BSI: Warnung vor Schadcode in vermeintlichen ELSTER-Steuerbescheid

1. Februar 2013

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf eine Spam-Welle hin, mit der aktuell angebliche ELSTER-Steuerbescheide an Bürger versendet werden. Die Spam-Mail informiere den Empfänger, dass “von Ihrem Finanzamt bzw. Ihrer Steuerverwaltung über das Verfahren ELSTER eine verschlüsselte Zip-Datei zur Abholung bereitgestellt” wurde. Diese Datei enthalte jedoch einen Schadcode. Bislang seien als Versandadressen “finanzamt-online@elster.de”, “online@elster.de”, “einkommensteuerbescheid@elster.de” und “steuerverwaltung@elster,de” verwendet worden. Die Versandadressen könnten jedoch variieren. Derzeit werde diese Spam-Mail von vielen Virenschutzprogrammen nicht zuverlässig erkannt. Empfehlenswert sei es daher, die Spam-Datei zu löschen.

Kategorien: Allgemein
Schlagwörter: ,

BfDI: De-Mail bietet viele Vorteile

31. Januar 2013

Nach einer Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Schaar können Zweifel, die an der Zuverlässigkeit, Vertraulichkeit und Integrität einer einfachen E-Mail zu Recht bestehen, durch die Nutzung von De-Mails grundsätzlich ausgeräumt werden. Im Vergleich zum klassischen Postweg oder der E-Mail verbessere eine De-Mail die Sicherheit und auch den Datenschutz in den Kommunikationsbeziehungen mit den Bürgern. In den meisten Bereichen könne eine De-Mail ohne zusätzliche Sicherheitsmaßnahmen verwendet werden. Aufmerksamkeit sei jedoch dort angebracht, wo sensible Daten (z.B. Gesundheitsdaten) versandt werden sollen. Denn es bestünde das Restrisiko, dass insbesondere Administratoren des De-Mail-Anbieters vom Nachrichteninhalt Kenntnis nehmen können, da eine durchgängige Verschlüsselung (“Ende-zu-Ende-Verschlüsselung”) – entgegen der Empfehlung des BfDI – nicht verpflichtend für das De-Mail-Verfahren ist. Daher  müsse auf die Versendung mittels De-Mail verzichtet werden, wenn sensible Daten betroffen sind und keine zusätzlichen Schutzmaßnahmen realisiert wurden.

 

Kategorien: Allgemein
Schlagwörter: ,

BITKOM: EU-Datenschutzgrundverordnung “schießt über Ziel hinaus”

30. Januar 2013

Anlässlich des 7. Europäischen Datenschutztages hat der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) vor einer Überregulierung aus Brüssel gewarnt. Die kürzlich von dem Europaparlament vorgelegten Vorschläge für eine weitere Verschärfung der EU-Datenschutzgundverordnung seien nicht geeignet, das Ziel, den Datenschutz zu modernisieren, zu erreichen.

Der Schutz der Privatsphäre werde nicht dadurch verbessert, dass jeder Datenverarbeitung mit bürokratischen Hürden versehen wird, kommentierte der Hauptgeschäftsführer der BITKOM Rohleder die Vorschläge. Viele bislang kostenlose Online-Dienste würden nach der EU-Datenschutzgrundverordnung nicht mehr möglich sein. Der Grundsatz “Keine Datenverarbeitung ohne Einwilligung” klinge zwar sinnvoll, sei aber in der Praxis kaum unzusetzen und schränke die Benutzerfreundlichkeit massiv ein. Die ITK-Branche unterstütze die Bemühungen der EU, den Datenschutz in Europa auf ein einheitlich hohes Niveau zu bringen. Dabei müsse aber auch verhindert werden, dass die Regelungen eine sinnvolle Nutzung von Daten zu stark einschränken oder unmöglich machen.

Einer der Schwachpunkte der EU-Datenschutzgrundverordnung sei, dass deren Anwendungsbereich auszuufern drohe und damit Sachverhalte des täglichen Lebens und Wirtschaftslebens erfasst würden, die keinen Zusammenhang mehr mit dem eigentlichen Schutzzweck der EU-Datenschutzgrundverordnung aufweisen. Weitere Schwachpunkte seien, dass – um die zahlreichen Einwilligungserklärungen für die Datenverarbeitung bei Online-Angeboten korrekt einzuholen – letztlich mehr Daten erhoben werden müssten als zuvor und Arbeitnehmer auf freiwillige Leistung ihrer Arbeitgeber (z.B. Aktien- oder Gesundheitsprogramme) verzichten müssen, weil diese die Daten künftig nicht mehr legal verarbeiten können. Zuletzt würden die Rahmenbedingungen für Start-ups und die Entwicklung innovativer Geschäftsmodelle wegen der Unsicherheiten im Hinblick auf die künftige Zulässigkeit von Datenverarbeitungen massiv verschlechtert und damit die Wettbewerbsfähigkeit Europas in jeder Hinsicht erheblich beeinträchtigt.

 

Belgien: “Datenpanne” bei Eisenbahngesellschaft

29. Januar 2013

Bei der staatlichen Eisenbahngesellschaft Belgiens SNCB konnten Medienberichten zufolge Ende des vergangenen Jahres 1,4 Millionen Kundendaten über eine simple Suchanfrage bei Google abgerufen werden. Diese Datenbestände – bestehend aus Namen  und E-Mail-Adressen sowie in einigen Fällen darüber hinaus Telefonnummern und Adressen – seien mehrere Wochen für jedermann zugänglich gewesen. Diese Datenpanne wurde erst durch eine Information der Bürgerrechtsorganisation EDRI öffentlich. Eine § 42a BDSG entsprechende Informationspflicht besteht in Belgien nicht.

Kategorien: Allgemein
Schlagwörter: , ,

Instagram prüft Nutzerdaten anhand von Ausweisen und Geburtsurkunden

Der Fotodienst Instagram, welcher erst im vergangenen Jahr durch das Social-Media-Netzwerk Facebook übernommen wurde, sorgt mit einer unkonventionellen Maßnahme zur Prüfung diverser Nutzerdaten für Aufsehen in den Vereinigten Staaten. Wie das Onlineportal Futurezone.at berichtet, wurde eine unbestimmte Anzahl von Nutzern dazu aufgefordert, eine Kopie ihres Lichtbildausweises einzusenden. Sofern dieser nicht den Anforderungen des Online-Netzwerkes entsprach, wurde gar die Übersendung der Kopie der Geburtsurkunde verlangt.

Rätselhaft erscheint die Intention der Maßnahme, insbesondere da es bei Instagram üblich ist, Pseudonyme statt Klarnamen zu verwenden. Zur Verifizierung solcher hatte Facebook bereits angekündigt, Nutzer um die Übersendung entsprechender amtlicher Urkunden zu ersuchen. Nach ersten Angaben von Instagram handelt es sich nun um eine nicht näher bestimmte Reaktion auf mögliche Verletzungen der Nutzungsbedingungen von Instagram. Gegenüber dem US-Blog TPM äußerte eine Sprecher von Facebook: “Es ist übliche Praxis für Facebook und Instagram, den Ausweis zu verlangen, um den Nutzer zu identifizieren.”. Nach derzeitigen Erkenntnissen ist eine so geartete Maßnahme auf dem europäischen Markt, jedenfalls vorerst, nicht vorgesehen.

eBay: Zurückweisung der vorgeworfenen Datenschutzproblematik

28. Januar 2013

Medienberichten zufolge habe ein pseudonymisierter Mitarbeiter eines für eBay arbeitenden Callcenters im Forum Sellerforum.de schwere Vorwürfe über zwei Datenschutz-Probleme erhoben: dass zum einen die Mitarbeiter des Dienstleisters alle privaten Nachrichten haben lesen können und zum anderen Betrüger sich ohne viel Aufwand Zugang zu einem Nutzerkonto verschaffen könnten. eBay soll gegenüber Heise online erwidert haben, dass der Zugriff auf die privaten Nachrichten der Nutzer mit dem Ziel, Betrugsversuche zu entlarven, von der Bundesnetzagentur 2008 als „rechtskonform beurteilt“ worden sei und es im Unternehmen verschiedene Formen der Verifizierung gebe, sodass der Zugriff auf „keinerlei sensible Daten eines Mitgliedskontos“ möglich sei.

DSK: Beschäftigtendatenschutz nicht abbauen, sondern stärken!

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat am vergangenen Freitag im Rahmen einer Entschließung Stellung zu den Plänen der Bundesregierung zum Beschäftigtendatenschutz bezogen. Man wolle zum einen an die Entschließung vom 16./17.03.2011 erinnern und zum anderen die Enttäuschung über den jetzt veröffentlichten Änderungsentwurf der Koalitionsfraktionen aussprechen. Bereits der ursprünglich von der Bundesregierung vorgelegte Entwurf sei aus datenschutzrechtlicher Sicht mangelhaft, der nun vorgelegte Änderungsentwurf nehme zwar einzelne Forderungen auf (z.B. zum Konzerndatenschutz), senke jedoch das Datenschutzniveau für die Beschäftigten in wesentlichen Bereichen noch weiter ab. Besonders bedenklich sei, dass die Möglichkeiten der offenen Videoüberwachung am Arbeitsplatz und die Datenerhebungsbefugnisse im Bewerbungsverfahren über das ursprünglich Geplante ausgeweitet werden sollen, dass Beschäftigte in Call-Centern noch stärker überwacht werden können sowie dass es dem Arbeitgeber auch gestattet sein soll, auch nicht allgemein zugängliche Beschäftigtendaten bei Dritten zu erheben, wenn die Beschäftigten eingewilligt haben. Bedenklich sei außerdem, dass die im Regierungsentwurf aufgenommene Vorgabe, Eignungstest grundsätzlich nach wissenschaftlich anerkannten Methoden durchzuführen, wieder entfallen soll.

Man appelliere an den Bundestag, bei den Beratungen zum Gesetz den Forderungen der Datenschutzbeauftragten Rechnung zu tragen.

Sony: Strafe für Datenschutzdisaster in Höhe von 295.000 Euro

25. Januar 2013
Medienberichten zufolge, soll Sony vom UK Information Commissioners Office zu einer Strafzahlung von 250.000 Britischen Pfund (umgerechnet rund 295.000 Euro) verurteilt worden sein. Die Strafe bezieht sich auf den im Frühjahr 2011 vollzogenen Cyber-Angriff auf das Playstation Network und die daraus entstandene Entwendung sensibler Kundendaten. Nachforschungen sollen ergeben haben, dass der Angriff durch aktuelle Software hätte verhindert werden können.
Laut Angaben, wird Sony in Berufung gehen und die Strafe nicht einfach akzeptieren. Es könne nicht nachgewiesen werden, ob die gestohlenen Kreditkartendaten durch die Hacker entschlüsselt wurden.

BGH: Anspruch auf Schadensersatz bei Ausfall eines Internetanschlusses

Nach einer Mitteilung der Pressestelle des Bundesgerichtshofes (BGH) hat der u.a. für das Telekommunikationsrecht zuständige III. Zivilsenat dem Kunden eines Telekommunikationsunternehmens Schadensersatz für den mehrwöchigen Ausfall seines DSL-Anschlusses zuerkannt (Urteil vom 24.1.2013 – III. ZR 98/12).

Infolge eines Tarifumstellungsfehlers konnte der Kläger seinen DSL-Internetanschluss insgesamt zwei Monate lang nicht nutzen. Deswegen verlangte er neben Mehrkosten, die wegen eines Anbieterwechsels und für die Nutzung eines Mobiltelefons anfielen, Schadensersatz in Höhe von 50 Euro täglich für den Fortfall der Möglichkeit, seien DSL-Anschluss während des Zweitraums für die Festnetztelefonie und den Telefax- und Internetverkehr zu nutzen. In den Vorinstanzen wurden dem Kläger 457,50 Euro für das bei dem anderen Anbieter anfallende Entgelt sowie für die Kosten der Mobilfunknutzung zuerkannt. Im Rahmen der Revision verfolgte der Kläger seinen weiteren Schadensersatzanspruch für die entgangene Nutzungsmöglichkeit des DSL-Anschlusses weiter.

Der BGH hat dem Kläger jedenfalls Schadensersatz für den Fortfall der Möglichkeit zuerkannt, seinen Internetzugang für weitere Zwecke als für den Telefon- und Telefaxverkehr zu nutzen. Dazu führte er aus, dass die Nutzbarkeit des Internets ein “Wirtschaftsgut, dessen ständige Verfügbarkeit seit längerer Zeit auch im privaten Bereich für die eigenwirtschaftliche Lebenshaltung typischerweise von zentraler Bedeutung ist” sei. Das Internet stelle weltweit umfassende Informationen in Form von Text-, Bild-, Video- und Audiodateien zur Verfügung. Dabei würden thematisch nahezu alle Bereiche abgedeckt und verschiedenste qualitative Ansprüche befriedigt. So seien etwa Dateien mit leichter Unterhaltung ebenso abrufbar wie Informationen zu Alltagsfragen bis hin zu hochwissenschaftlichen Themen. Dabei ersetzte das Internet wegen der leichten Verfügbarkeit der Informationen immer mehr andere Medien, wie zum Beispiel Lexika, Zeitschriften oder Fernsehen. Darüber hinaus ermögliche es den weltweiten Austausch zwischen seinen Nutzern, etwa über E-Mails, Foren, Blogs und soziale Netzwerke. Zudem werde es zunehmend zur Anbahnung und zum Abschluss von Verträgen, zur Abwicklung von Rechtsgeschäften und zur Erfüllung öffentlich-rechtlicher Pflichten genutzt. Der überwiegende Teil der Einwohner Deutschlands bediene sich täglich des Internets. Damit habe es sich zu einem die Lebensgestaltung eines Großteils der Bevölkerung entscheidend mitprägenden Medium entwickelt, dessen Ausfall sich signifikant im Alltag bemerkbar mache.

Der Kläger könne mithin einen Betrag verlangen, der sich nach den marktüblichen, durchschnittlichen Kosten richtet, die in dem betreffenden Zeitraum für die Bereitstellung eines DSL-Anschlusses mit der vereinbarten Kapazität ohne Telefon- und Faxnutzung angefallen wären, bereinigt um die auf Gewinnerzielung gerichteten und sonstigen, eine erwerbwirtschaftliche Nutzung betreffenden Wertfaktoren.

BayLfD: BYOD in Krankenhäusern

24. Januar 2013

Im Rahmen seines jüngst vorgestellten 25. Tätigkeitsberichtes hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) begrüßenswerterweise auch Stellung zu dem zweifelhaften Trend “Bring Your Own Device” (BYOD) in Krankenhäusern bezogen. Mitarbeitern die Anbindung an das Unternehmensnetzwerk – insbesondere an das Krankenhausinformationssystem – mit privaten Endgeräten (z.B. Laptops, Smartphones, Tablet PCs) sowie die ortsungebundene Nutzung dieser privaten Geräte für dienstliche Zwecke zu gestatten, sei aus datenschutzrechtlichen Gründen unzulässig. Vorausgesetzt, ein externer Abruf von Patientendaten wäre erforderlich, müsste den betroffenen Mitarbeitern vielmehr ein Dienstgerät zur Verfügung gestellt werden. Bei privaten Geräten könne nicht hinreichend sichergestellt werden, dass ein Unbefugter keine Einsicht in die Daten der Krankenhauses nehmen kann. Durch den Abruf von Patientendaten von außen mittels privater Mitarbeitergeräte seien die mit einem Gewahrsam des Krankenhauses verbundenen ausschließlichen Verfügungs-, Einfluss- und Kontrollmöglichkeiten aus rechtlicher Sicht selbst dann nicht gegeben, wenn die Patientendaten nur einsehbar wären und eine Speicherung der Daten auf dem privaten Gerät tatsächlich technisch ausgeschlossen werden könnte.

1 221 222 223 224 225 274