10. Oktober 2011
Gerade erst wurde der elektronischen Entgeltnachweis (ELENA) zu Grabe getragen, schon wird über den Nachfolger diskutiert. Der Bundesdatenschutzbeauftragte, Peter Schaar, forderte den Gesetzgeber dazu auf, bei dem von der Bundesregierung angestrebten einfacheren und unbürokratischen Meldeverfahren in der Sozialversicherung den Datenschutz zu gewährleisten. Dabei dürfe es keine Abstriche geben, der Umfang der personenbezogenen Daten müsse so gering wie möglich gehalten werden und es müsste den Betroffenen möglich sein, von Anfang an Auskunfts- und Berichtigungsansprüche geltend zu machen. Bereits die Vereinheitlichung der vielen im Sozialrecht verwendeten Einkommensbegriffe könne auf dem Gebiet des Datenschutzes zu Fortschritten führen. (se)
29. September 2011
Google sorgte jüngst mit seinem Facebook-Konkurrenten Google+ für ein starkes mediales Echo, als einige Profile gelöscht wurden, deren Ersteller Pseudonyme anstelle der von Google geforderten Klarnamen verwendet hatten. Die Löschung wurde mit Punkt 13 der Inhalts- und Verhaltensrichtlinien für Nutzer begründet. Dort gibt Google Folgendes vor: „Verwenden Sie den Namen, mit dem Sie normalerweise von Freunden, Familie und Kollegen angesprochen werden. Dies dient der Bekämpfung von Spam und beugt gefälschten Profilen vor. Wenn Ihr voller Name beispielsweise Sebastian Michael Müller ist, Sie normalerweise aber Bastian Müller oder Michi Müller verwenden, sind diese Namen auch in Ordnung.“
Mit einem offenen Brief an Google reagierte ein Bündnis aus Bloggern, Internetaktivisten, Journalisten und einigen Bundestagsabgeordneten aller Fraktionen (außer der Linken) auf diese Praxis und fordert Google auf, Pseudonyme zu gestatten.
Der stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, Günter Krings, und deren innenpolitische Sprecher Hans-Peter Uhl sehen in einer Stellungnahme für einen derartigen „politischen Aufschrei mehrerer Abgeordneter… dagegen keinen Grund„. Ihre Erwägungen leiten sie dabei mit mit folgender Aussage ein: „Es kann im Internet ebenso wie in der realen Welt kein grundsätzliches Recht auf Anonymität geben.“ Auffällig ist, dass auch im weiteren Text immer wieder von Anonymität gesprochen wird. Uhl und Krings scheinen insofern dem Fehler aufgesessen zu sein, nicht zwischen einem Pseudonym und dem Konzept der Anonymität zu unterscheiden.
Diese indifferente Verwendung der beiden Begriffe ist derart verbreitet, dass sich in der Wikipedia ein eigener Artikel zur Unterscheidung zwischen Anonymisierung und Pseudonymisierung findet. Der maßgebliche Unterschied besteht darin, dass nach einer Anonymisierung keine Rückschlüsse auf die Person mehr möglich sind. Bei einer Pseudonymisierung wird die „wirkliche“ Identität zwar zunächst durch die Wahl eines fingierten Namens auch verschleiert, der Bezug zwischen den pseudonymisierten Daten und der dahinterstehenden Person kann jedoch wieder hergestellt werden, wenn das verbindende Element – der Schlüssel – bekannt ist. Wer also weiß, dass Kurt Tucholsky auch Texte als Theobald Tiger und Peter Panter veröffentlicht hat, kann jederzeit die so veröffentlichten Beiträge der Person Tucholskys zuordnen. Im Internet ist die Pseudonymisierung recht häufig anzutreffen: Fast jeder selbst gewählte Benutzer- oder Forenname stellt ein Pseudonym dar.
Schlußendlich kommen Krings und Uhl, der in der Diskussion um Street View noch an vorderster Front gegen Googles Begehrlichkeiten kämpfte, zu der Einschätzung, dass die Entscheidung, ob eine Pflicht zur Offenlegung des Klarnamens bestehe, letztlich auf Seiten der Betreiber läge. Schließlich gäbe es auch keine allgemeine Rechtspflicht für Nutzer, sich zu identifizieren. Dabei verkennen Sie jedoch den § 13 Abs. 6 TMG, der vorschreibt, dass ein Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen hat, soweit dies technisch möglich und zumutbar ist. Auch der BGH führt im Spickmich-Urteil explizit aus, dass die anonyme Nutzung dem Internet immanent sei. Dies muss dann erst recht für eine zumindest pseudonyme Nutzung gelten. (se)
26. September 2011
Wie der Online-Dienst H-Security berichtet, haben Forscher der Fachhochschule Münster einen technischen Report zum Thema Smart-Meter und Datenschutz vorgelegt. Überraschendes Ergebnis: Schon eine Messung des Stromverbrauchs im Zwei-Sekunden-Takt lässt auf das gelaufene Fernsehprogramm schließen. Aktuelle LCD-TVs schwanken in der Stromaufnahme, Grund sind unterschiedlich helle oder dunkle Bilder bzw. variierende Lautstärken. Verglichen mit einer Referenz ist dann ein Rückschluss auf das eingeschaltete Programm möglich.
Zwar sinke die Wahrscheinlichkeit, einen Spielfilm oder das Programm zu erkennen, wenn mehrere Verbraucher aktiv seien. Ein Spielfilm von 90 Minuten Länge biete aber genug Sequenzen zur Feststellung, auch wenn zwischendurch andere Geräte liefen.
In dem Report erwähnen die Forscher auch die grundsätzlich mögliche, aber als missbräuchlich anzusehende Nutzung der Stromverbrauchsdaten, um Konsumenten von urheberrechtlich geschütztem Material aufzuspüren. Diese Nutzung sei denkbar, weil nachträglich festgestellt werden könnte, welche Haushalte beispielsweise einen Film abgespielt hätten, der zu diesem Zeitpunkt noch nicht auf DVD erschienen war.
Als Gegenmaßnahme schlägt das Team der FH Münster vor, Ablese-Intervalle zu vergrößern oder nur statistische Zusammenfassungen der Verbrauchsdaten zu übertragen. (ssc)
19. September 2011
Fast zwei Jahre wurde verhandelt, jetzt die Einigung: Der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, verkündete am Donnerstag vergangene Woche, dass Google die Bedingungen für das Statistik-Tool Google Analytics geändert hat.
Im Kern waren für die Datenschützer drei Punkte entscheidend, um Google Analytics den Segen zu erteilen:
- Künftig haben Nutzer über eine Browser-Erweiterung die Möglichkeit, Google Analytics persönlich zu deaktivieren. Dieses Add-on wird Google für alle gängigen Browser anbieten.
- Seitenbetreiber können die so genannte IP-Maskierung aktivieren. Dann wird Google Analytics die IP-Adresse der Nutzer nur anonymisiert speichern. Anonymisierung bedeutet dabei, dass der letzte Zahlenblock der IP-Adresse nicht mitgespeichert wird. Eine Zuordnung der Adresse zu einem Nutzer ist dann nicht mehr möglich.
- Außerdem wird Google mit den Seitenbetreibern einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes (§ 11 BDSG) abschließen.
Die Datenschutzbehörde bietet auf ihrer Website eine Checkliste (pdf) für Seitenbetreiber an, die Google Analytics datenschutzkonform verwenden möchten. Neben den Änderungen müssten vor allem die alten Daten ohne IP-Maskierung gelöscht werden.
Caspar erinnerte auch daran, dass letztendlich die Seitenbetreiber für den Datenschutz verantwortlich seien – und nicht Google. Hamburgs oberster Datenschützer wies darauf hin, dass die jetzige Abstimmung mit Google nur der Anfang sei. Technische Fortschritte und die Umsetzung der E-Privacy-Richtlinie machten auch in Zukunft Gespräche notwendig. (ssc)
15. September 2011
Der Sicherheitssoftwarehersteller Symantec hat seinen Cybercrime Report 2011 vorgestellt. Dieser listet u.a. diejenigen Kosten auf, die nach eigenen Erhebungen in den vergangenen 12 Monaten durch Cybercrime entstanden sind. In Deutschland sollen sich die Kosten während dieses Zeitraumes auf einen Gesamtschaden von 33,7 Milliarden US-Dollar (USD) belaufen, wobei 10,9 Milliarden USD als Zeitkosten und 22,8 Milliarden USD als direkter finanzieller Schaden – wozu u.a. die Investitionen in die Folgenbeseitigung und erbeutete Geldbeträge gehören – zu verbuchen seien. Weltweit belaufe sich dieser direkte Schaden auf 114 Milliarden USD. Berücksichtigt man zusätzlich den Arbeitszeitverlust, so wären es weltweit 388 Milliarden USD Gesamtschaden. Damit übersteigt der ermittelte Schaden den geschätzten Wert des weltweiten Schwarzmarktes für Marihuana, Kokain und Heroin, so Symantec. (sa)
14. September 2011
Medienangaben zufolge ist der Twitter-Account des US-Nachrichtensenders NBC News Ende der vergangenen Woche von Hackern kompromittiert und für die Veröffentlichung gefälschter Beiträge („Tweets“) genutzt worden. Danach wurde ein gefälschter Tweet über einen vermeintlichen Terroranschlag auf Ground Zero veröffentlicht, wozu sich die bisher unbekannt Gruppe „The Script Kiddies“ bekannt haben soll.
Dies wäre nicht das erste Mal, dass Twitter-Accounts missbraucht werden. Im Frühjahr wurde z.B. der Account des Nachrichtensender Fox News gehackt und die Nachricht verbreitet, dass US-Präsident Obama erschossen worden sei. Das Twitter-Konto des Apple-Gründers Steve Wozniak ist erst vergangene Woche übernommen und zur Verbreitung von Spam entfremdet worden.
Graham Cluley , Sicherheitsexperte von Sophos forderte Twitter entsprechend auf, die bisherigen Sicherheitsmaßnahmen zu verbessern. Nur die Kombination aus Benutzername und Passwort reiche nicht aus, wenn ein Social-Media-Account ein wichtiger Teil des Geschäftes oder des öffentlichen Images ist. Für solche Accounts müsse eine weitere Authentifizierungs-Stufe eingeführt werden, wie man das etwa vom Onlinebanking kennt. Ansonsten müsse man weiter zusehen, wie Twitter-Accounts gehackt und Marken geschädigt werden, weil Hacker sie „zum Narren machen“. (sa)
13. September 2011
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Lepper hat bekannt gegeben, gegen die Easycash GmbH – ein Dienstleistungsunternehmen, das Lastschriftverfahren im Rahmen der EC-Kartenzahlung für Einzelhändler abwickelt – ein Bußgeld in Höhe von 60.000 Euro verhängt und damit die unzulässige Weitergabe von rund 400.000 Kontodaten und Daten über Ort, Zeitpunkt und Höhe von Zahlungsvorgängen sanktioniert zu haben. Diese Daten wurden einem Schwesterunternehmen der Easycash GmbH, das Kunden- und Bonusprogramme anbietet, zur statistischen Auswertung übermittelt.
„Wer Zahlungsvorgänge quasi als Treuhänder für Einzelhandelsunternehmen abwickelt, muss besonders sorgfältig mit diesen Daten umgehen. Er darf so sensible Daten über Zahlungsverhalten und Kontoverbindungen, die durchaus auch Profilbildungen erlauben würden, nicht für andere Zwecke an Dritte übermitteln. Deswegen musste ich hier einschreiten“, kommentierte Lepper sein Vorgehen. Er zeigte sich jedoch erfreut, dass sich das Unternehmen in Datenschutzfragen kooperativ gezeigt und das Bußgeld bereits gezahlt habe. Außerdem habe Easycash nicht nur die Weitergabe von Kontoverbindungsdaten an Dritte umgehend eingestellt, sondern auch die von ihm geforderten Änderungen umgesetzt. (sa)
12. September 2011
Der Sächsische Landesdatenschutzbeauftragte hat in einem Bericht zu der nichtindividualisierten Funkzellenabfrage und anderen Maßnahmen der Telekommunikationsüberwachung, die von Ermittlungsbehörden in Dresden im Februar dieses Jahres durchgeführt wurden, kritisch Stellung bezogen. Seiner Ansicht nach ist die Funkzellenabfrage der SoKO 19/2 über „das Ziel hinausgeschossen“. Zwar sei ein Konzept zur Reduzierung der Daten auf das für die Strafverfolgung erforderliche Maß vorhanden gewesen, eine über die zeitliche und örtliche Beschränkung hinausgehende Prüfung der Verhältnismäßigkeit sei jedoch ausgeblieben. Die Funkzellenabfragen des LKA Sachsen wiederum sollen „weit über das Ziel“ hinaus gegangen sein, da die zeitlichen und örtlichen Ausmaße unangemessen gewesen seien und überdies auf eine Verhältnismäßigkeitsprüfung sowie ein Konzept zur Reduzierung der Daten auf das erforderliche Maß gänzlich verzichtet worden sei. Daher hat der Sächsische Landesdatenschutzbeauftragte die Polizeidirektion Dresden, das Landeskriminalamt sowie die Staatsanwaltschaft Dresden jeweils nach § 29 SächsDSG beanstandet.
Er verlangt nun, dass die namentlich bekannt gewordenen Betroffenen rückwirkend informiert und die gespeicherten Datenbestände in den Arbeitsdateien unverzüglich reduziert werden. Die für die Strafverfolgung nicht erforderlichen Daten sollen gelöscht, Rohdaten wiederum gesperrt werden. Für die Zukunft sollen Funkzellendaten nicht für Gefahrenabwehrzwecke gespeichert und der Kennzeichnungspflicht der erhobenen Daten nachgekommen werden. Des weiteren solle diese Enscheidung über die Verwendung von Verkehrsdaten aus den Funkzellenabfragen künftig bei anderen Verfahren Berücksichtigung finden. Dies bedinge, dass in den zu stellenden Anträgen die genaue Bezeichnung der Rechtsgrundlagen erfolge und anhand eines allgemeinen Reduzierungskonzepts, welches für solche Fälle zu erstellen ist, vorgegangen werde. Explizit fordert er ferner, die Schaffung untergesetzlicher Handlungsanweisungen und die Präzisierung der gesetzlichen Grundlagen. (sa)
8. September 2011
Nach den verheerenden Angriffen auf das Playstation Network und Qriocity reagiert Sony mit der Ernennung eines neuen IT-Sicherheitschefs.
Um den „Sommer der Schicksalsschläge, Katastrophen und Unglücke“, wie Sonys Vorstandsvorsitzender Howard Stringer die Vorfälle gegenüber der FAZ nannte, nicht zu einem ganzen Jahr werden zu lassen, ernannte das japanische Unternehmen nun Philip R. Reitinger zum Chef der globalen IT-Sicherheit. Reitinger war zuvor in Schlüsselpositionen der US-Heimatschutzbehörde, bei Microsoft sowie im amerikanischen Verteidigungs- und Justizministerium tätig.
Eine weitere Maßnahme zur Bewältigung des Skandals besteht darin, dass der in Verruf geratene Name Qriocity in Zukunft nicht mehr verwendet wird. Anlässlich der IFA in Berlin gab das Unternehmen bekannt, seine Musik- und Videodienste künftig unter dem Dach des „Sony Entertainment Network“ anzubieten. (se)
Wie bereits im Vorfeld erwartet, reagierte die indische Regierung auf die anhaltende Kritik aus der Wirtschaft, die in Bezug auf 43a IT Act laut wurde. In einer Mitteilung vom 24.08.2011 wird nunmehr klargestellt, dass die angegriffenen Regeln ausschließlich auf indische Unternehmen, die in einem direkten Vertragsverhältnis mit einer natürlichen Person stehen, anzuwenden sind. Es wird weiterhin explizit ausgeführt, dass die Regeln nicht anwendbar sind, wenn ein Auftragsdatenverarbeitungsverhältnis mit einem indischen Unternehmen besteht.
Unternehmen, die ihre Datenverarbeitung nach Indien ausgelagert haben, sind somit voraussichtlich durch die Neuregelung nicht betroffen. (se)
