EU-Parlament beschließt Fluggastdatenspeicherung

18. April 2016

Das EU-Parlament stimmte vergangenen Donnerstag in Straßburg der Richtlinie zur EU-Fluggastdatenspeicherung zu. Zeitgleich dazu erfolgte die Verabschiedung der EU-Datenschutzgrundverordnung. Während einerseits in der EU das “Recht auf Vergessenwerden” normiert wird, werden die Fluggastdaten in der EU weitgehend gespeichert.

Der neuen Richtlinie zufolge dürfen nunmehr Fluggastdatensätze (sog. PNR – Passenger Name Records) zu Zwecken der Verhütung, Aufdeckung und strafrechtlichen Verfolgung terroristischer Strafdaten und schwerer Kriminalität verwendet werden. Die Luftfahrtgesellschaften werden verpflichtet, die Fluggastdaten für Flüge von der EU in Drittländer und andersherum den nationalen Behörden zu übermitteln, während Fluggastdaten für Flüge innerhalb der EU lediglich verarbeitet werden dürfen, nachdem die EU-Kommission davon in Kenntnis gesetzt wurde.

Fluggäste müssen sich in Zukunft also auf mehr staatliche Überwachung einstellen. Konkret handelt es sich u. a. um Angaben zum Reiseverlauf, zu Buchungsinformationen oder zur Zahlung. Für die Erhebung, Speicherung und Nutzung der PNR-Daten sowie deren Übermittlung an die zuständigen Behörden sollen PNR-Zentralstellen zuständig sein, deren Einrichtung durch die Mitgliedstaaten erfolgt. Die Fluggastdaten werden nach der Richtlinie für eine Dauer von fünf Jahren gespeichert, sechs Monate nach deren Übermittlung müssen sie jedoch unkenntlich gemacht werden.

Die Richtlinie sieht verschiedene Datenschutzmechanismen vor. Beispielsweise ernennen die nationalen PNR-Zentralstellen Datenschutzbeauftragte, die für die Einhaltung datenschutzrechtlicher Bestimmungen zuständig sind. Die Verarbeitung der PNR-Daten muss ferner protokolliert und dokumentiert werden. Werden durch die Verarbeitung besondere personenbezogene Daten (z. B. ethnische Herkunft oder Gesundheitsdaten) kenntlich, ist diese Verarbeitung untersagt.

Die Mitgliedstaaten haben nach der noch ausstehenden formellen Billigung der Richtlinie durch den Rat zwei Jahre Zeit, die Richtlinie umzusetzen.

 

Kategorien: Allgemein
Schlagwörter:

BDI Berlin: Umgang mit Datenträgern bei gemieteten IT-Geräten

Im betrieblichen Alltag gehen mehr und mehr Unternehmen dazu über, allein wegen der hohen Anschaffungskosten IT-Geräte (z. B. Multifunktionsdrucker, Laptops, Festplatten) zu mieten oder zu leasen. Dabei gerät schnell in Vergessenheit, dass Geräte, die über einen nicht flüchtigen Langzeitspeicher wie Festplatten und sog. „Flashspeicher-Bausteine“ verfügen, beim bestimmungsgemäßen Gebrauch (z. B. Kopieren und Faxen) personenbezogene Daten erzeugen. Diese Daten werden für einen unbestimmten Zeitraum auf diesen Speichern abgelegt. Daher sollte bei der Rückgabe von geleasten oder gemieteten IT-Geräten darauf geachtet werden, dass nicht versehentlich personenbezogene Daten an den Leasinggeber oder Vermieter weitergegeben werden.

Dazu hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BDI Berlin) in ihrem jüngst vorgestellten 15. Tätigkeitsbericht Stellung bezogen. Neben dem expliziten Hinweis, dass gerade auch Multifunktionssysteme, die in das eigene Netzwerk integriert werden können und internetfähig sind, ähnliche Sicherheitsvorkehrungen benötigen wie PCs oder Server, appelliert sie, dass die einsetzende Stelle sicherstellt, dass bei der Rückgabe gemieteter/ geleaster IT-Geräte die in den Geräten enthaltenen Datenträger – sofern diese nicht hinreichend verschlüsselt sind, was regelmäßig ausreichend ist – datenschutzkonform gelöscht sind bzw. die Datenträger datenschutzkonform vernichtet werden. Die Löschung/ Vernichtung durch ein in Deutschland zertifiziertes Unternehmen sei dabei regelmäßig als datenschutzkonform einzustufen.

Hosting-Provider will Ordner löschen – und ruiniert sein Unternehmen

15. April 2016

Wie gleich mehrere Online-Medien mit Verweis auf die Online-Community „Server Fault“ berichten, hat ein Kleinunternehmer durch die Eingabe eines Löschbefehls nicht nur den anvisierten Zielordner gelöscht, sondern gleich seinen kompletten Datenbestand – inklusive Back-Ups. Umso dümmer, dass das Unternehmen vor allem das Hosting geschäftlicher Websites betreibt, oder ja: betrieben hatte.

Um den Zielordner zu löschen, erteilte er den Befehl “rm -rf {foo}/{bar}”. Dabei beinhaltet das Kürzel „rf“ (recursive force) das Kommando einer Löschung unter Ignorieren aller Systemwarnungen. Dieser Löschbefehl bedarf allerdings der weiteren Information, welches Ziel denn überhaupt zu löschen sei. Offenbar war es die unterlassene Spezifizierung des Befehls, die zur Löschung sämtlicher Verzeichnisse, Ordner und Unterordner auf dem Server führte.

Der Unternehmer wandte sich ratsuchend an die Online-Community. Helfen könne ihm jetzt aber nur noch ein Anwalt, so der Tenor.

Die Tipps eines Users kann man aus Datensicherheitsaspekten allerdings nur unterschreiben:

  • BackUps sichern.
  • Tools, die nicht bekannt sind, nicht nutzen.
  • Einen Befehl nie überall auf einmal nutzen.
  • Befehle vor der Eingabe doppelt und dreifach checken.

Für den Unternehmer dürften diese Tipps wohl zu spät kommen.

EU-Parlament verabschiedet Datenschutzgrundverordnung

EU-Parlament verabschiedet Datenschutzgrundverordnung

Diesen Donnerstag hat das Parlament der Europäischen Union die Datenschutzgrundverordnung verabschiedet. Damit endet nach über vier Jahren der Gesetzgebungsprozess. Die Datenschutzgrundverordnung ersetzt die seit 1995 geltende EU-Datenschutz-Richtlinie.

Die Mitgliedsstaaten haben nun zwei Jahre lang Zeit die EU-Datenschutzgrundverordnung in nationales Recht zu integrieren. Im Unterschied zu der bislang geltenden Datenschutz-Richtlinie, die den Mitgliedsstaaten lediglich umzusetzende Mindeststandards vorschreibt, werden durch die Grundverordnung ab 2018 europaweit einheitliche Standards gelten.

Wie bereits auf datenschutzticker.de berichtet, sollen durch die Grundverordnung zum einen die Rechte der EU-Bürger gestärkt und Rechtsklarheit und -sicherheit für Unternehmen hergestellt werden, die Daten von Europäern verarbeiten und nutzen.

WhatsApp – Revolution durch und durch?

8. April 2016

Die Nachricht, dass WhatsApp nun die Nachrichten seiner Nutzer verschlüsselt, ging durch alle Kanäle. WhatsApp selbst zieht die Marketingregister, preist den Datenschutz und den Mehrwert für die Kunden.

Die nun eingeführte Ende-zu-Ende-Verschlüsselung (kurz: e2e) bewirkt, dass die Nachrichten nur vom Sender und Empfänger gelesen werden können. Wenn die Nachricht unterwegs abgefangen wird, zeigt sich nur wirrer Datensalat. Was vor drei Jahren (also vor Snowden) noch undenkbar gewesen wäre, ist nun Wirklichkeit – eine Milliarde Menschen nutzen nun plötzlich e2e-Verschlüsselung, und das, ohne es wirklich zu merken oder etwas dafür tun zu müssen.

Aber auch wenn die Verschlüsselung als Revolution gefeiert wird – WhatsApp führt streng genommen nur endlich auch das ein, was Threema, Telegram und andere schon lange machen.

Gleichzeitig wird bei aller Begeisterung um die Verschlüsselung der Nachrichten ein Aspekt nur selten angesprochen: Die Metadaten bleiben nach wie vor unverschlüsselt. Wer mit wem wann kommuniziert hat, ist nach wie vor für WhatsApp erkenn- und verwertbar. Und das ist oft spannender als der eigentliche Inhalt der Nachrichten. WhatsApp ändert auch nach wie vor nicht seine regelmäßigen Suchen durch die Adressbücher der Nutzer nach weiteren WhatsApp Nutzern und gehört weiterhin zu Facebook, aber das nur am Rande.

Um es kurz zu machen: Ja, die Verschlüsselung der WhatsApp Nachrichten wird gefeiert. Ja, es ist ein guter Schritt in die richtige Richtung. Aber es bleiben nach wie vor genügend interessante Daten zur Auswertung übrig. Unverschlüsselt.

 

 

Bundesinnenminister Thomas de Maizière für europäischen Datenaustausch

6. April 2016

Nach den Terroranschlägen von Brüssel hat sich Bundesninnenminister Thomas de Maizière (CDU) erneut für eine stärkere Verknüpfung der europäischen Behörden ausgesprochen. “Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang”, konstatierte Bundesinnenminister Thomas de Maizière in den Tagesthemen der ARD. “An den Außengrenzen des Schengenraums sind zu viele Lücken.” so de Maizière weiter, “Wir brauchen ein Ein- und Ausreiseregister für den Schengenraum.” De Maizière reiht sich mit seinen Forderungen in eine traditionelle Riege seiner Amtsvorgänger ein, die mit ähnlichen Aussagen bereits den Datenschutz gegenüber den Sicherheitsaspekten zurück stehen lassen wollten. So hatte etwa Hans-Peter Friedrich (CDU) im Jahr 2013 den Begriff des “Supergrundrechts” für die Sicherheit der Bürger intoniert und sich dabei seinerseits auf seinen Amtsvorgänger Otto Schily (SPD) und dessen Aussagen aus dem Jahr 1997 berufen. Gegenwind bekommt de Maizière unter anderem von Peter Schaar. Der ehemalige Bundesdatenschutzbeauftragte erklärte gegenüber dem Tagesspiegel: “Ich finde es falsch, den Datenschutz hier zum Prügelknaben zu machen”. Schaar konstatierte weiter, dass sofern es bei der Kooperation hapere, dies oft daran liege, dass “das Meldeverhalten der nationalen Behörden an europäische Institutionen, etwa an das Schengen-Informationssystem oder an Europol, von Land zu Land höchst unterschiedlich” sei.

Studie zu Apps und Webdiensten – Umgang mit Auskunfts- und Löschungsansprüchen der Nutzer

4. April 2016

Einer Pressemitteilung der Gesellschaft für Informatik zufolge sei es für App-und Internetnutzer oftmals schwierig, bei Dienste-Anbietern ihre Rechte auf Auskunft und/oder Löschung geltend zu machen. Dies ist das Ergebnis einer Studie der Universitäten Hamburg und Siegen. Im Rahmen der Studie machten Wissenschaftler bei – hierzulande besonders beliebten – Anbietern von 120 Internetseiten und 150 Smartphone-Apps, Auskunfts- und Löschungsanprüche geltend. Lediglich bei einem Viertel der Anbieter war das Ergebnis befriedigend; erst beim zweiten Versuch gelang eine zufriedenstellende Antwort. Fast 60 Prozent der Anbieter hingegen gab nicht oder nur ungenügend Auskunft.

Besorgniserregend ist ferner, dass es den Wissenschaftlern teilweise gelang, unter Angabe einer gefälschten E-Mail-Adresse Auskunft über gespeicherte personenbezogene Daten zu erlangen. Die Dienste-Anbieter überprüften demnach vor Erteilung der Auskunft nicht, ob es sich bei dem Anfragenden in Wirklichkeit um den Dateninhaber handelt oder nicht.

„Die Ergebnisse der Studie zeigen deutlich, wie verantwortungslos teilweise die Internetanbieter mit personenbezogenen Daten umgehen. Allein deshalb sollte grundsätzlich das Gebot der Datensparsamkeit gelten, sprich: Die Nutzer sollten grundsätzlich so wenig Daten über sich preisgeben wie möglich, also nur die Daten, die für einen Dienst unbedingt erforderlich sind.“, sagt Hannes Federrath, Vizepräsident der Gesellschaft für Informatik e.V. (GI) und Sprecher des GI-Fachbereichs „Sicherheit“.

Die Ergebnisse der Studie werden auf der am 7. April 2016 in Bonn stattfindenden Konferenz “Sicherheit 2016” dargestellt.

Kategorien: Allgemein
Schlagwörter: , , ,

AG Köln: Verwertung von Videoaufnahmen im Strafverfahren

Das Amtsgericht (AG) Köln hat entschieden (AG Köln, Urt. v. 11.11.2015 – Az.: 526 Ds 490/14), dass Videoaufnahmen, die eine Einbrecherin bei der Tat zeigen, in einem gerichtlichen Strafverfahren auch dann als Beweismittel zugelassen sind, wenn sie das allgemeine Persönlichkeitsrecht der Angeklagten verletzen.

In dem zugrundeliegenden Sachverhalt wurde die Angeklagte bei der Begehung eines Einbruchsdiebstahls in eine Privatwohnung durch eine im Türspion angebrachte Kamera gefilmt, wobei nicht mittels Hinweisschildes auf die Aufzeichnungen durch die Kamera hingewiesen wurde. Zu klären war daher, ob dies zu einem Bewertungsverbot der Aufnahmen führt. Dies wurde seitens des Gerichts explizit abgelehnt.

Soweit in den Aufnahmen eine Verletzung des allgemeinen Persönlichkeitsrechts der Angeklagten gesehen werden kann, stehe diese Verletzung hinter dem Strafverfolgungsinteresse der Öffentlichkeit zurück, führt es in der Urteilsbegründung aus. Zu berücksichtigen sei, dass die Angeklagte zwar nicht auf die Möglichkeit von Videoaufnahmen hingewiesen wurde. Doch sei auch zu berücksichtigen, dass sie sich in dem Mehrfamilienhaus nicht rechtsmäßig aufhielt. Weder habe sie eine dort wohnende Person besuchen wollen, noch habe eine dort wohnende Person ihr den Zutritt zum Treppenhaus des Mehrfamilienhauses erlaubt. Insoweit sei von einem widerrechtlichen Aufenthalt der Angeklagten auszugehen, der ihr allgemeines Persönlichkeitsrecht – hier das Recht am eigenen Bild – vor dem Hintergrund des Strafverfolgungsinteresses der Allgemeinheit eingrenzt. Im Rahmen einer Abwägung überwiegt nach Auffassung des Gerichts somit das allgemeine öffentliche Interesse an Strafverfolgung einem – nur möglichen – Eingriff in das allgemeine Persönlichkeitsrecht der Angeklagten aus Artikel 2 Abs. 1 i. V. m. Artikel 1 Abs. 1 Grundgesetz.

Die Interessen der Täterin würden hinter dem Strafverfolgungsinteresse der Öffentlichkeit zurücktreten. Zwar sei die Angeklagte nicht auf die Möglichkeit von Videoaufnahmen hingewiesen worden sei. Es sei jedoch zu berücksichtigen, dass sie sich in dem Haus nicht rechtsmäßig aufgehalten habe. Weder wollte sie eine dort wohnende Person besuchen noch habe eine dort wohnende Person ihr den Zutritt zum Treppenhaus des Mehrfamilienhauses erlaubt.

Nix Privacy Shield: Datentransfer in die USA künftig nur noch analog

1. April 2016

Salto rückwärts bei der EU-Kommission. Nachdem der Europäische Gerichtshof das Safe-Harbor-Abkommen im Oktober 2015 gekippt hatte, warteten Datenschützer und betroffene Unternehmen sehnsüchtig auf das auch als „Safe Harbor 2.0“ betitelte EU-US-Privacy Shield, nach welchem künftig ein legaler Transfer von personenbezogenen Daten von Europa in die Vereinigten Staaten von Amerika geregelt werden sollte. Der von der EU-Kommission im Februar dazu verabschiedete Entwurf sollte ursprünglich am 7. April 2016  in das Ausschussverfahren der Vertreter der Mitgliedstaaten übergehen, bis ein formaler Beschluss der Kommission ergeht. Nun hat diese völlig überraschend dem Privacy Shield den Stecker gezogen und heute ad hoc eine Presseerklärung veröffentlicht, wonach Datensätze nur noch in analoger Form in die USA übermittelt werden dürfen. Ein Kommissionsmitglied zu Journalisten: „Ob unter Safe Harbor, Privacy Shield oder bloßem guten Willen – die NSA hat doch überall die Nase drin, sobald EU-Bürger-Daten in die USA gelangen. Der Patriot Act öffnet da auch anderen Behörden Tür und Tor. Und seitens der US-Behörden hören wir auch nur Lippenbekenntnisse. Daher haben wir entschieden, dass wirklich sicherer Datentransfer künftig nur noch papiergebunden stattfinden kann und darf.“ Innereuropäischer Datentransfer sei davon nicht betroffen. „Wobei“, so der EU-Bürokrat weiter, „den Engländern traue ich auch nicht so…“

Statt auf eine elektronische Verschlüsselung solle nun vor allem auf manuelle Maßnahmen zur Datensicherheit gesetzt werden, wie etwa verstärktes Klebeband beim Verkleben der Versandkartons.

Ein Mitarbeiter der Facebook Deutschland GmbH, der – wie dort nicht unüblich – hier nur „Oli Ver“ genannt werden möchte, äußerte sich gegenüber datenschutzticker.de: „Natürlich müssen und wollen wir weiterhin einen legalen Weg finden, Nutzer-Daten in die USA zu übermitteln, und akzeptieren die Lösung der EU-Kommission daher ohne Wenn und Aber. Unser Praktikant druckt schon fleißig Nutzerprofile aus und heftet die Informationen in Ordner. Schon nächste Woche schicken wir den ersten Karton mit Akten nach  Kalifornien. Hauptsache ist doch, wir haben jetzt Rechtssicherheit“.

Positiven Anklang fand die Entscheidung auch beim Verband Deutscher Papierfabriken e.V.: „Datenschutz war für uns bisher nie ein großes Thema, wir haben ja einen Reißwolf. Für uns ist das nun der Jackpot, ganz klar. Lobby-Arbeit in Brüssel haben wir aber nicht betrieben“, beteuerte der Pressesprecher gegenüber datenschutzticker.de.

Kategorien: Safe Harbor
Schlagwörter:

FBI entschlüsselt Smartphones

Der Rechtsstreit zwischen Apple und dem FBI hinsichtlich der Entschlüsselung der iPhones von Tatverdächtigen hat sich erledigt. Zwischenzeitlich hat das FBI ohne Mithilfe von Apple einen Weg gefunden, an die auf dem Smartphone gespeicherten Daten zu gelangen. Hintergrund des Rechtsstreits war, dass das FBI im Rahmen der Strafverfolgung der mutmaßlichen Täter des Attentats von San Bernadino im Dezember 2015 den iPhone-Hersteller um Zugriff auf die Daten in deren Smartphones bat. Apple weigerte sich jedoch mit dem Argument des Datenschutzes der Anordnung nachzukommen.

Die Terroranschläge in Europa entfachen auch in den EU-Mitgliedsstaaten erneut die scheinbar endlose Debatte um die Abwägung von Sicherheit vs. Datenschutz. Das Argument der Sicherheitsbehörden auf Daten in Smartphones, PCs und weiteren Endgeräten zum Zwecke einer effektiven Gefahrenabwehr und Strafverfolgung zugreifen zu dürfen, erscheint plausibel. Gleichzeitig muss bedacht werden, dass das Streben nach Sicherheit nicht die Grundrechte der Bürger auf informationelle Selbstbestimmung und Vertraulichkeit und Integrität informationstechnischer Systeme ausgehöhlt und diese nur noch auf dem Papier existieren.

Da sich in dieser Hinsicht pauschale Regelungen verbieten, wird und sollte die öffentliche Debatte um die Abwägung von Sicherheit vs. Datenschutz weiterhin geführt werden.

1 191 192 193 194 195 313