BfDI: Datenschutzmängel bei staatlicher Überwachungssoftware

21. Februar 2012

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, hat Medienberichten zufolge die Trojanersoftware zur Überwachung von Computern, die seitens des Bundeskriminalamtes, des Zollfahndungsamtes sowie der Bundespolizei eingesetzt wurde, auf ihre Datenschutzkonformität hin untersucht. Er sei zu dem Ergebnis gekommen, dass zwar kein unerlaubtes Kopieren von Daten und keine rechtswidrige Überwachung via Mikrofon oder Kamera von staatlicher Seite erfolgt seien, der Einsatz der Trojanersoftware den Kernbereich privater Lebensgestaltung dennoch nicht wahre, da aus der Gesamtdatei von abgehörten Gesprächen die privaten Abschnitte nicht einzeln zu löschen seien. Zudem sei das Entfernen der Trojanersoftware von überwachten Computer datenschutzrechtlich problematisch, was u.a. darauf zurückzuführen sei, dass es für Dritte mit Systemzugriff möglich wäre, einen von Ermittlern auf einem Rechner zurückgelassenen Trojaner wieder zu aktivieren und brauchbar zu machen. Die Rechtsmäßigkeit der Nachladefunktion soll Schaar noch offen gelassen habe, weil er bisher keinen Zugriff auf den Quelltext des Programms erhalten habe. Eine Überprüfung werde allerdings bald nachgeholt. (sa)

Kritik an geplanter Internetabfrage des Schuldnerverzeichnisses

10. Februar 2012

Ab dem 1. Januar 2013 soll der Inhalt des Schuldnerverzeichnisses, welches von den Vollstreckungsgerichten geführt wird, über eine zentrale, länderübergreifende Internetabfrage eingesehen werden können. Die durch das Bundesministerium der Justiz vorbereitete Rechtsverordnung zur Ausgestaltung der Intenetabfrage wurde nun von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zum Anlass einer Entschließung genommen, in der das Bundesministerium aufgefordert wird, für einen besseren Datenschutz Sorge zu tragen.

Nach der derzeitigen Rechtsverordnung bewirke bereits die Eingabe eines Nachnamens und des zuständigen Vollstreckungsgerichts zur Anzeige einer Ergebnisliste mit allen Personen, auf die diese beiden Kriterien zutreffen. Da Vollstreckungsgerichte jeweils zentral für ein Bundesland eingerichtet sind, erhielte der Anfragende bei einer Vielzahl von zu erwartenden Namensgleichheiten auch Einsicht zu Angaben über Schuldner, deren Kenntnis er nicht für den angestrebten Zweck benötigt. Dies könne u.a. nachhaltige Folgen für die wirtschaftliche Reputation von Personen, die namensgleich mit im Schuldnerverzeichnis aufgenommenen Personen sind, haben. Es sei daher notwendig, durch eine entsprechende Gestaltung der Suchkriterien – beispielsweise durch die Pflichtangabe weiterer Identifikationsmerkmale – sicherzustellen, dass möglichst nur der tatsächlich gesuchte Schuldner angezeigt wird. (sa)

Niedersachsen: Polizeiliche Fahndungen über Facebook

8. Februar 2012

Der niedersächsische Innenminister Schünemann hat am gestrigen Tag bekannt gegeben, dass die Polizei Niedersachsen ihre Fahndungen über das soziale Netzwerk Facebook weiter ausbauen werde. Bisherige Fahndungserfolge würden eindeutig belegen, dass sich die Polizei diesem Medium nicht verschließen dürfe. Die datenschutzrechtlichen Bedenken, die noch vor rund zwei Wochen dazu geführt haben, dass Fahndungen der Polizei Hannover über Facebook vorläufig eingestellt wurden, seien mittlerweile ausgeräumt. Künftig seien nicht mehr die Inhalte der Fahndungsaufrufe auf Facebook zu finden, sondern die Polizei werde lediglich Verlinkungen auf eigene Inhalte implementieren. Eine Speicherung von personenbezogenen Daten erfolge ausschließlich auf polizeieigenen Servern. Damit sei gewährleistet, dass die Polizei die datenschutzrechtliche Hoheit über diese behalte. Eine Übermittlung von personenbezogenen Daten in die USA sei ausgeschlossen. (sa)

ICO bietet Advisory Visits und freiwillige Audits in UK

7. Februar 2012

Wie huntonprivacyblog.com berichtet, setzen sich die obersten Datenschützer im Vereinigten Königreich verstärkt für freiwillige Datenschutz-Audits ein. Das Information Commissioner’s Office (ICO) empfiehlt den Unternehmen die freiwilligen Audits, weil sie nicht mit Kosten für die Unternehmen verbunden seien. Würden während des Audits Verstöße gegen Datenschutzgesetze festgestellt, werde das Unternehmen nicht mit Geldstrafen belegt. Eine Zusammenfassung des Datenschutzberichts werde anschließend auf der Website des ICO veröffentlicht.

Darüber hinaus bietet das ICO den Unternehmen  so genannte „Advisory Visits“  an. Diese „Beratungsbesuche“ sollen in erster Linie kleinen und mittleren Unternehmen helfen, den Datenschutz zu verbessern. Die Besuche sind ebenfalls freiwilligen zu empfangen, kostenfrei und sollen im Unternehmen praktische Grundlagen zum Datenschutz vermitteln. Im Fokus stehen die Datensicherheit, die Archivverwaltung und Zugangsregelungen für Mitarbeiter. Der Besuch und eine Zusammenfassung werden ebenfalls auf der Webseite des ICOs veröffentlicht.

Bislang gab es im Dezember letzten Jahres zwei Beratungsbesuche, für 2012 hofft das ICO auf reges Interesse bei den Unternehmen.

Kategorien: Allgemein

BITKOM: Steigende Bedeutung des Datenschutzes

2. Februar 2012

Eine im Auftrag des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) durchgeführte Studie unter 1.300 deutschen Bürgen hat ergeben, dass Datenschutz einen grundsätzlichen wichtigen Stellenwert einnimmt. 63 Prozent der Befragten sollen das Thema Datenschutz eher als unterschätzt ansehen, nur 15 Prozent seien der Auffassung, dass datenschutzrechtliche Themen „aufgebauscht“ werden. 93 Prozent der Befragten seien außerdem überzeugt, dass Datenschutz in Zukunft immer wichtiger werden wird.

„Wenn immer größere Teile unseres Berufs- und Privatlebens im Internet abgebildet werden, steigen auch die Anforderungen an Datenschutz und Verbraucheraufklärung“, sagte BITKOM-Präsident Prof. Kempf. Gemeinsam mit Bundeverbraucherministerin Aigner plant er, anlässlich der Fachkonferenz „Safer Internet Days“ aktuelle Einschätzungen und neue Studienergebnisse zu Datenschutz und Datensicherheit in Deutschland vorzustellen. (sa)

 

LDI NRW: Stellungnahme zur Europäischen Datenschutzverordnung

1. Februar 2012

Die Europäische Kommission hat am 25. Januar ihren Entwurf für eine Europäische Datenschutzverordnung, die einen einheitlichen Datenschutz in Europa gewährleisten soll, vorgelegt. Dies hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Lepper zum Anlass für eine Bewertung der beabsichtigten Regelungen genommen. Positiv sehe er die Weiterentwicklung der Rechte, die Betroffenen gegenüber den Daten verarbeitenden Stellen eingeräumt werden, sowie die künftige Bindung außereuropäischer Unternehmen, die über das Internet Angebote an Europäer unterbreiten, an das europäische Recht. Außerdem befürworte er den mit der Verordnung intendierten einheitlichen Datenschutz in Europa.

Kritisch äußerte er sich jedoch gegen die weit reichende Befugnisse, die der Europäischen Kommission eingeräumt werden. „Ich halte die Verordnung für eine Mogelpackung, denn nicht in der Verordnung sondern letztlich durch die Kommission wird festgelegt werden, welche Datenschutzregeln in Europa gelten“, so Lepper. Es sei nicht abzusehen, welche Auswirkungen das auf die Datenverarbeitung in Unternehmen und Behörden und für die von der Datenverarbeitung Betroffenen haben wird. „Beispielsweise haben wir in Deutschland zum Schutz der Verbraucherinnen und Verbraucher derzeit strenge Gesetze für Auskunfteien, die die Kreditwürdigkeit von Menschen einschätzen. Das wird mit der Verordnung wegfallen und es ist völlig offen, ob und wodurch diese Regeln ersetzt werden“, erläutert Lepper das Problem. Europaweit werde durch die Verordnung außerdem eine zentralistisch ausgerichtete Datenschutzsuper- bürokratie aufgebaut, die unter der Oberaufsicht der Kommission stehe. (sa)

Google führt ab März Daten aller Dienste zu einem einheitlichen Profil zusammen

31. Januar 2012

Google hat im eigenen Blog angekündigt, in Zukunft statt einer Datenschutzerklärungen für jeden Dienst, nach Möglichkeit nur noch eine Datenschutzerklärung zu verwenden, die für alle Google Dienste Gültigkeit besitzt.

Was für den Nutzer, der sich zukünftig nicht mehr mit über 70 verschiedenen Datenschutzerklärungen auseinandersetzen muss, zunächst wie eine Vereinfachung klingt, hat jedoch auch eine Kehrseite: Statt die Daten der einzelnen Dienste wie bisher getrennt zu halten, wird Google alle personenebezogenen Daten zu einem einheitlichen Profil zusammenfassen.

Laut Google bringt dies für den Nutzer nur Vorteile mit sich: Bei einer Suche nach einem Münchener Restaurant könne man durch die Verknüpfung sämtlicher Daten direkt auch die passenden Google+ Posts oder entsprechende Photos aus geteilten oder eigenen Alben angezeigt bekommen. Ein weiteres Beispiel für die Nützlichkeit des umfassenden Profils seien intelligentere Vorschläge bei der Suche. So wisse diese in Zukunft auf Grund der gesammelten Daten beispielsweise schon, ob man das Obst oder die Elektronikmarke meint, wenn man „Apple“ eingibt. Das vielleicht weitreichendste Szenario, das Google für das neue Gesamtprofil vorsieht, ist die Möglichkeit, dem Nutzer in Abhängigkeit von dessen Position automatisch eine Erinnerung schicken möchte, wenn unter Berücksichtigung der aktuellen Verkehrslage die Gefahr besteht, zu spät zu einem im Google-Kalender eingetragenen Termin zu kommen. Erklärtes Ziel von Google ist es, den Nutzern, die sich bereits mit allerhand Dingen rumschlagen müssten, das Leben so gut es geht zu erleichtern.

Um solch maßgeschneiderte Dienste zu bieten, möchte Google nicht einmal mehr Daten erheben, als dies bisher schon der Fall war. Nur werden jetzt die sozialen Kontakte von Google+, die eingegebenen Suchbegriffe, die aufgerufenen Webseiten auf denen personalisierte Werbung mit Hilfe des Google Werbenetzwerkes eingeblendet wird und die Bewegungsdaten, welche bei Nutzung von standortbezogenen Diensten (z.B Google Maps oder lokalen Suche) anfallen etc., zu einem einheitlichen Profil verknüpft. Auf Grund der Vielzahl der Webseiten, die Googles Werbenetzwerk verwenden, könnte die Verfolgung des Nutzers noch weitreichendere Dimensionen annehmen, als der datenschutzrechtlich berüchtigte Facebook-Button.

In welchem Umfang Google selber glaubt, über seine Nutzer Bescheid zu wissen, lässt sich folgender Passage aus den neuen Datenschutzbestimmungen entnehmen: „Wenn wir Ihnen auf Sie zugeschnittene Werbung anzeigen, werden wir Cookies oder eine anonyme Kennung nicht mit sensiblen Kategorien, beispielsweise basierend auf Rasse, Religion, sexuelle Orientierung oder Gesundheit, verknüpfen.“ Diese Aussage lässt erkennen, dass Google durchaus davon ausgeht, auch in Bezug auf die sexuelle Orientierung und die Gesundheit über den Nutzer informiert zu sein, nur dass diese Daten eben nicht verknüpft werden.

Möglicherweise erkennt mancher Nutzer erst durch solch eine weitreichende Verknüpfung, dass die vielen praktischen Internet-Dienste nicht kostenlos sind: Es ist zwar kein Geld dafür zu entrichten, aber der Nutzer muss mit seinen persönlichen Daten und deren werbetechnischer Ausbeutung zahlen. (se)

Schleswig-Holstein: Neues Landesdatenschutz- gesetz

Am 26. Januar ist das neue Datenschutzgesetz des Landes Schleswig-Holstein in Kraft getreten, mit der einige materiell- und verfahrensrechtliche Änderungen einhergehen, die primär der gesetzlichen Anpassung an neue technische Gegebenheiten zu dienen bestimmt sind. Besonders hervorzuheben sind der neue § 5 LDSG, in dem an moderne Datenschutzziele angepasste technisch-organisatorische Maßnahmen festgelegt werden, und § 20 LDSG, wo die Videoüberwachung thematisiert wird. Erstmalig ist außerdem mit § 21 LDSG eine materiell-rechtliche Regelung zur Veröffentlichung von Daten im Internet getroffen. Der eingefügte § 27a LDSG schreibt eine Informationspflicht bei unrechtmäßigen Übermittlungen von Daten vor („Data Breach Notification“) und ist § 42a BDSG nachempfunden. Zudem ist die  Rechtsstellung des Landesbeauftragten für Datenschutz (LfD) und seiner Dienststelle, dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), geändert worden. Der LfD unterliegt nun keiner Rechts- und Fachaufsicht mehr. Gleichzeitig wurden die Serviceaufgaben des ULD erweitert. Eine Behörde kann jetzt auch ohne ein Behördenaudit ihre technisch-organisatorischen Verfahren durch das ULD prüfen lassen. Führt das ULD für Behörden des Landes Schleswig-Holstein Vorabprüfungen durch, sind diese von nun an gebührenfähig (§ 43 Abs. 4 LDSG). (sa)

Facebook führt Timeline ein – ob man will oder nicht

Die neue Funktion „Timeline“ (deutsch „Chronik“) ist eine gravierende Umstellung für alle Nutzer des Internetportals Facebook. Denn sie gräbt alles aus, was ein Nutzer jemals im social Network sichtbar gemacht hat. Zwar lassen sich alle Einträge im Nachhinein verbergen oder löschen, aber das Internet vergisst nie. Die Timeline gibt einen direkten Zugriff auf alle Statusnachrichten, Fotos, Pinnwandeinträge, und neu: eine Karte, auf der alle besuchten Orte und derzeitigen Standorte eingezeichnet sind. Zudem kann der jeweilige Nutzer seine Seite noch individueller gestalten, da die Timeline eine weitere Neuigkeit mit sich bringt: das sogenannte „Cover“ ist ein großformatiges Foto am oberen Rand des Profils, dass das Profil noch persönlicher gestalten soll. Laut Marc Zuckerberg hat es den Vorteil „alle wichtigen Geschichten deines Lebens auf einer einzigen Seite zu erzählen“.

Doch fraglich ist, ob man damit nicht zu viel von sich Preis gibt. Alles in allem ist die Timeline ein öffentlich einsehbarer Lebenslauf mit Details, die man lieber verschweigen würde, oder sogar sollte, denn viele User verwechseln ihr Profil mit einem Tagebuch.

Datenschutzrechtlich wirft das aktuelle Vorgehen diverse Bedenken auf:

  • Zunächst wird das Transparenzgebot nicht gewahrt; der Nutzer wird nicht (genügend) über die Verwendung seiner personenbezogenen Daten aufgeklärt.
  • Auch hat der Nutzer beim Hochladen von Informationen keine Wahl sich zu schützen, da alles sofort publiziert wird. Es gibt keinen regelmäßigen Opt-in, der sich auf diese Frage bezieht. Der Nutzer kann also im extremsten Falle erst durch nachträgliche Löschung von Daten aus der Timeline seine Privatsphäre schützen.
  • Auch ist fraglich, was mit den preisgegebenen personenbezogenen Daten passiert. Denn was in Facebook veröffentlicht wird, wird in den USA gehostet. Dies ist datenschutzrechtlich angesichts der unterschiedlichen Datenschutz-Niveaus rechtlich bedenklich, wenngleich immer wieder eingewendet wird, dass Facebook ja Mitglied des sog. Safe Harbor Abkommens ist. Letzteres erlaubt den Datentransfer auch nicht per se sondern nur unter bestimmten Voraussetzungen. Vor diesem Hintergrund beschloss der Düsseldorfer Kreis am 8.Dezember 2011 „auch außereuropäische Anbieter sozialer Netzwerke, müssen das nationale Datenschutzrecht beachten, wenn sie ihr Angebot an deutsche Nutzerinnen und Nutzer richten“. Dies wird gerade jetzt zu einem so wichtigen Thema, da die Timeline für Mitglieder verpflichtend wird, d.h. diese wird bald für sämtliche Nutzer eingeschaltet, egal ob er dies will, oder nicht.

Den Usern, denen die Timeline zuwider ist, bleibt nichts anderes übrig, als sich bei Facebook abzumelden. Und das ist bekanntlich nicht leicht, jedenfalls wenn man seine Daten nach der Kündigung des Accounts auch wirklich gelöscht wissen will. (evn)

IHK erhebt Klage gegen Unterlassungsverfügung des ULD

26. Januar 2012

Nach Meldungen der dpa geht der Streit um Facebook-Fanseiten in die nächste Runde: Das Bildungswerk der Industrie-und Handelskammer Schleswig-Holstein hat nach Angaben der IHK beim VG Schleswig Klage erhoben. Ziel sei, die Unterlassungsverfügung des Landeszentrums für Datenschutz (ULD) zu beseitigen. Eine gerichtliche Klärung sei erforderlich, um die bereits entstandenen Wettbewerbsverzerrungen für die Wirtschaft auszuräumen, begründete die IHK den Schritt.

Vorausgegangen war die Forderung des ULD, alle Betreiber von Webseiten in Schleswig-Holstein müssten den „Gefällt mir“-Button von ihren Webseiten entfernen. Nach Auffassung des ULD verstoßen derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH). Schuld sei die Weitergabe von Verkehrs- und Inhaltsdaten in die USA, sobald eine Website mit dem „Gefällt mir“-Button von Facebook aufgerufen werde. Außerdem würde für den Seitenbetreiber eine Reichweitenanalyse erstellt.

Das ULD begründet den Verstoß gegen deutsches und europäisches Datenschutzrecht damit, dass Nutzer nicht oder nicht ausreichend über die Vorgänge informiert würden. Was Facebook als Nutzungsbedingungen oder Datenschutzrichtlinien vorweise, erfülle nicht annähernd die Anforderungen an eine wirksame Einwilligung in die Datensammlung. (ssc)

1 193 194 195 196 197 215