Klage gegen Vodafone wegen der Speicherung von Standortdaten

25. Juli 2012

Bereits letztes Jahr hat der AK Vorratsdatenspeicherung die Speicherpraxis von sechs großen deutschen Mobilfunkbetreibern bezüglich eingehender Telefonverbindungen und Aufenthaltsorten der Nutzer gegenüber der  Bundesnetzagentur angeprangert. Die führte zu einem Verfahren nach §115 TKG, wonach die Mobilfunkprovider der Bundesnetzagentur Auskunft über die Speicherpraxis erteilen müssen.

Daraus ergab sich, dass Standortdaten von Nutzern, welche durch die Einbuchung in eine Funkzelle ermittelt werden, wie folgt gespeichert werden:

  • Vodafone bis zu 210 Tage lang
  • The Phonehouse Telecom: 120 Tage
  • Drillisch/SIMply: 92 Tage
  • E-Plus: 80 Tage
  • Telekom: 30 Tage
  • EWETEL: keine Speicherung
  • O2/Telefonica verweigerte die Auskunft mit dem Verweis auf das Geschäftsgeheimnis

Die Bundesnetzagentur hält eine solche Speicherung des Aufenthaltsorts zu Abrechunungszwecken jedoch „nur […] bei standortabhängigem Tarif [für] zulässig“

Unter anderem aufgrund dieser Erkenntnisse möchte nun eine Handy-Nutzerin von dem AG Düsseldorf festgestellt wissen, dass Vodafone verpflichtet ist, unverzüglich nach Beendigung der Verbindung, folgende Daten zu löschen:

  • Funkzelle von der der Anruf getätigt wurde (Standortkennung)
  • Kennung des genutzten Endgerätes (IMEI)
  • Kennung der benutzten SIM-Karte (IMSI)

Der Klage vorausgegangen war der Versuch, Vodafone zu einer Unterlassung der Speicherung dieser Daten zu verpflichten. Begründet wurde dies mit einem Verstoß gegen §§ 96 Abs. 1 S. 3, 97 Abs. 3 S. 2 TKG.  Das Begehren wurde von Vodafones Datenschutzbeauftragten jedoch abgelehnt. Die Standortdaten seien zur Abrechnung standortbasierter Dienste, im konkreten Fall etwa zur Abrechnung des Zuhause-Tarifs, notwendig.

Ausweislich der Klageschrift behauptet die Klägerin jedoch, keinen solchen standortbasierten Dienst zu nutzen. Somit muss nun das AG Düsseldorf klären, ob eine solche Speicherung von Standortdaten rechtens ist.

Die Übersicht der Bundesnetzagentur enthält darüber hinaus auch Angaben, wie lange Verbindungsdaten, IMEI und ISMI gespeichert werden. Ausgehende Verbindungen werden dabei selbst bei Nutzung eines Pauschaltarifs von Vodafone bis 210 Tage, bei EWETEL 180 Tage, bei The Phonehouse Telecom 120 Tage, bei Drillisch/SIMply 92 Tage, bei E-Plus 80 Tage und bei der Telekom 30 Tage lang gespeichert.

Gegenüber M-Net beanstandete die Bundesnetzagentur die „Speicherung von Verkehrsdaten bei eingehenden, für den annehmenden Kunden kostenfreien Verbindungen innerhalb Ihres Netzes, bei denen auch kein anderer Serviceprovider beteiligt ist.“ Bei netzinternen „abgehenden kostenfreien sowie pauschal abgegoltenen Verbindungen“ seien „Verkehrsdaten [ebenfalls] nicht abrechnungsrelevant“ und daher „unverzüglich zu löschen“.

Die hier in Rede stehenden Daten fallen bei sämtlichen Mobiltelefonen an – bei Smartphones fallen darüber hinaus wesentlich mehr Daten an, so dass von Wissenschaftlern bereits darüber sinniert wird, ob man Smartphones nicht in Wanzen mit Telefonfunktion umbenennen müsste.

LG München I: Betrieb von anonymen öffentlichen WLAN Hotspots weiterhin möglich

24. Juli 2012

Das Landgericht (LG) München I hat entscheiden (Urt. v. 12.01.2012 – Az.: 17 HK O 1398/11), dass Betreiber von öffentlichen WLAN Netzwerken ihre Nutzer nicht vor Zugang zum Internet identifizieren können müssen. Demnach ist der Betrieb von anonymen WLAN Hotspots, beispielsweise in Cafés, Bars, Restaurants und Hotels weiterhin möglich. Nach Auffassung des Gerichts besteht keine rechtliche Verpflichtung der Betreiber zur Erhebung und Speicherung der aus der Nutzung des Hotspots gewonnenen Nutzerdaten. Insbesondere könne eine solche weder aus den Regelungen des Telekommunikationsgesetzes (TKG) noch aus dem Gesetz über Urheberrecht und verwandte Schutzrechte (UrhG) hergeleitet werden.

In einer Pressemitteilung begrüßte Michael Ebeling vom Arbeitskreis Vorratsdatenspeicherung die Entscheidung des Landgerichts. “Wenn eine Identifizierung von Nutzern kostenloser Hotspots nicht erforderlich ist, wie das Landgericht München festgestellt hat, dann ist sie auch nicht zulässig: Denn das Telekommunikationsgesetz verbiete(t) die Erhebung nicht erforderlicher Daten“, so Elbing.

Offene Fragen bleiben jedoch bestehen. So ist nach wie vor ungeklärt, ob und in welchen Umfang sich Haftungsrisiken für die Betreiber von anonymen WLAN Hotspots für rechtswidriges Verhalten der Nutzer realisieren und wie sich die Betreiber hiergegen absichern können.

Kategorien: Allgemein · Mobile Business
Schlagwörter: , , ,

BITKOM: 28 Millionen Bundesbürger nutzen Online-Banking

23. Juli 2012
Nach Angaben des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) erledigen über 28 Millionen Bundesbürger, also 45 Prozent aller Bürger im Alter von 16 bis 74 Jahren, ihre Bankgeschäfte online. Dies seien rund eine Millionen Nutzer mehr als im Vorjahr, wobei eine steigende Tendenz bestünde. Im europäischen Vergleich soll Deutschland jedoch nur im Mittelfeld liegen. Spitzenreiter beim Online-Banking sei Norwegen, wo 85 Prozent der Bevölkerung davon Gebrauch machen sollen. Schlusslicht sei Bulgarien mit einer Quote von lediglich drei Prozent. Deutsche sollen außerdem besonders häufig Sicherheitsbedenken gegenüber dem Online-Banking hegen: Jeder vierte Internetnutzer verzichte aus Sicherheitsgründen auf die Nutzung des Online-Banking. Dies stelle einen geringen Rückgang von drei Prozent gegenüber dem Vorjahr dar.
Kategorien: Allgemein
Schlagwörter: ,

BfDI: Kritik an Aktenvernichtung des Bundesamtes für Verfassungsschutz

19. Juli 2012

Der Bundesdatenschutzbeauftragte für den Datenschutz und die Informations- freiheit (BfDI) Schaar hat Medienangaben zufolge das Bundesamt für Verfassungsschutz wegen der Ende Juni bekannt gewordenen Aktenvernichtung im Zusammenhang mit der Mordserie der rechtsextremen Terrorzelle NSU kritisiert. Die Vernichtung der Akten sei gesetzlich nicht gedeckt. Das Argument, man habe die Akten aus datenschutzrechtlichen Gründen vernichten müssen, sei gleichermaßen nicht legitim und “völlig unverständlich”. Es gebe nur die Vorschrift zur Sperrung von Akten, keine “Aktenvernichtungsverpflichtung”. Außerdem verdiene die Arbeit des Datenschutzbeauftragten beim Bundamt für Verfassungsschutz eine Rüge. Dessen Aufgabe bestünde nicht nur aus der Wahrung des Datenschutzes, sondern auch darin, dass Daten verfügbar seien. Die  entscheidende Aufgabe, dass die Strukturen der Datenhaltung ordentlich sind, weise “offensichtliche Mängel” auf. Auch bei der Schulung der Mitarbeiter gebe es offenbar “erschreckende Wissenslücken”, so Schaar.

HmbBfDI: Bußgeld wegen GPS-Ortung von Mietwagen

Der Hamburgische Datenschutzbeauftragte für Datenschutz und Informations- freiheit (HmbBfDI) Caspar hat bekannt gegeben, ein Bußgeld in Höhe von 54.000 Euro gegen die Europcar Autovermietung GmbH festgesetzt zu haben, die einen Teil ihrer Flotte ohne Wissen der betroffenen Mieter  per GPS hat orten lassen.

Die Übermittlung der Ortungsdaten soll nach der ersten Einlassung des Unternehmens dazu gedient haben, Diebstähle aufzuklären. Außerdem habe man damit kontrollieren wollen, ob sich der Mieter noch im zulässigen Gebiet befindet, da die Benutzung der Fahrzeuge in verschiedenen Ländern vertraglich ausgeschlossen ist. Neben dem Standort seien Datum, Zeit und auch die Geschwindigkeit der Fahrzeuge erhoben worden. Bei weiteren Vor-Ort-Ermittlungen habe die Aufsichtsbehörde jedoch überdies feststellen müssen, dass auch ohne Anlass zusätzlich alle 48 Stunden eine Ortung der Fahrzeuge vorgenommen wurde und eine automatische Übermittlung der Daten erfolgte, sobald ein Fahrzeug ein Hafengebiet befährt.

Mittlerweile habe Europcar die regelmäßige Ortung alle 48 Stunden abgestellt. Über die Übermittlung der Ortungsdaten in den anderen Fällen sollen Mieter jetzt im Vorfeld informiert werden, indem sie ihr im Rahmen des Mietvertrags zustimmen müssen. Dadurch sollen heimliche Überwachungen ausgeschlossen werden.

„Der Einsatz von Ortungssystemen bei Mietfahrzeugen setzt zumindest eine vollständige Information über Art und Weise der Ortung sowie die ausdrückliche Einwilligung der Betroffenen in das Tracking voraus. Jeder Mieter muss das Recht haben, selbst darüber zu entscheiden, ob er Fahrzeuge anmieten will, deren Nutzung beim Vermieter oder dessen Vertragspartnern unmittelbar eine individuelle digitale Nutzungsspur hinterlässt. Diese Vorgaben werden nun von Europcar erfüllt“, so Caspar.

Hackerangriffe auf Nvidia und androidforums.com

18. Juli 2012

Nach Yahoo und GMX wurden auch der Grafikkartenhersteller Nvidia und das englischsprachige Portal androidforums.com Opfer von unautorisierten Zugriffen auf ihre Datenbanken.

Nach einer Stellungnahme von Nvidia waren sowohl das allgemeine Forum (forum.nvidia.com), der Entwicklerbereich (developer.nvidia.com) als auch der Forschungsbereich (research.nvidia.com) betroffen. Hierbei hatten die Hacker Zugriff auf: Nutzername, E-Mail Adresse; gesalzene Passworthashes und öffentliche “Über mich” Informationen. Mittlerweile wurde auf Pastebin über 4.000 der erbeuteten Datensätze durch eine Gruppe namens Team Apollo veröffentlicht. Dabei handelt es sich nur um einen kleinen Teil der Daten; die weiteren Daten sollen dem Pastebin-Beitrag zufolge jedoch zu einem späteren Zeitpunkt veröffentlicht werden.

Bei androidforums.com stellt sich die Lage ähnlich dar: Der Betreiber hat in einem sehr offenen und ausführlichen Beitrag einige Hintergrundinformationen erläutert und bekanntgegeben, dass möglicherweise folgende Daten betroffen sein könnten: Einzigartige IDs, E-Mails, gesalzene Passworthases, IP-Adresse von der aus die Registrierung erfolgte. Ferner könnten auch unwichtigere Daten, wie Zeit des letzten Besuchs, Anzahl der Nachrichten etc. übertragen worden sein. Im Gegensatz zum Vorfall bei Nvidia sind bisher jedoch keine der Daten in öffentlich zugänglichen Quellen aufgetaucht.

Kategorien: Hackerangriffe
Schlagwörter: ,

Verlag Axel Springer bezeichnet Anfrage zur Auskunft über personenbezogene Daten als Computersabotage

Der Onlinedienst Heise.de berichtet über Nachwirkungen der bundesweiten Verteilung von Gratis-„Bild“-Zeitungen im Juni: Zahlreich wurde zum Boykott aufgerufen, unter anderem machte der Blog netzpolitik.org den Vorschlag, den Springer Verlag zur Auskunft der gespeicherten personenbezogenen Daten nach § 34 Bundesdatenschutzgesetz aufzufordern. Der Autor des Blogs empfahl, das Auskunftsverlangen per E-Mail an mindestens acht Adressen zu senden, damit sichergestellt sei, dass es ankommt.

Zwar reagierte der Verlag per Brief, Angaben zu den personenbezogenen Daten machte er jedoch nicht. Die daraufhin erneute Welle von Anfragen konterte Springer mit der Aussage, dass nicht die datenschutzrechtliche Auskunft im Vordergrund stehe, sondern dass es den „Petenten“ vielmehr darauf ankomme, die „Kommunikationseinrichtungen zu blockieren“. Die als „E-Mail-Bombing“ bezeichnete Aktion bedeute einen „rechtswidrigen Eingriff in unseren eingerichteten und ausgeübten Gewerbebetrieb und erfüllt … den Tatbestand der Computersabotage gem. § 303b StGB“. Meinten die Absender ihre Anfrage ernst, sollten sie eine Kopie von Vor- und Rückseite ihres Personalausweises nachsenden, weil Springer verpflichtet sei, die Identität zu überprüfen.

Die an acht E-Mail-Adressen versendeten Anfragen als Computersabotage im Sinne des § 303b StGB zu bezeichnen, sei jedoch unhaltbar, so der Bericht weiter. Schon die insgesamt zu erwartende Menge an E-Mails anlässlich dieser Aktion dürfte kaum ausreichen, um die Server von Springer in die Knie zu zwingen.

Datenschutzrechtlich umstritten ist die Frage nach der Identifikation dessen, der eine Auskunft über gespeicherte personenbezogene Daten verlangt. Die verantwortliche Stelle muss die Legitimation der Anfragenden prüfen, weil jede falsche Herausgabe der Daten an Unberechtigte dem strafbewehrten Verbot der unbefugten Datenübermittlung unterliegt. Wie die Identifikation konkret auszugestalten ist, gibt das Gesetz nicht vor. Entscheidend ist jedenfalls auch die Art der Daten: Geht es allein um wenig sensible Daten wie Name und Anschrift, spricht nichts dagegen, diese Daten postalisch an die jeweilige Adresse zu versenden.

Die Forderung nach einer Kopie des Personalausweises als Legitimation geht nach dem Bericht zu weit. Das Personalausweisgesetz regle inzwischen für den neuen Personalausweis die Zwecke, für die eine Kopie verlangt werden dürfe. Die pauschale Legitimation im Rahmen datenschutzrechtlicher Auskunftsverlangen falle nicht darunter.

Inzwischen beschäftigt die Aktion auch den Berliner Beauftragten für Datenschutz, der die Bedenken gegen die ablehnende Haltung von Springer teilt.

Kategorien: Allgemein
Schlagwörter: ,

Yahoo: Hacking-Angriff auf Altdaten des Dienstes Yahoo Voices

17. Juli 2012

Vergangene Woche ist es Medienangaben zufolge der Gruppe D33Ds Company gelungen, auf 400.000 Nutzernamen und Passwörter einer Datei des Yahoo Contributer Network – bei Nutzern als “Yahoo Voices” bekannt – zuzugreifen. Das Unternehmen Yahoo habe den Hack dieses Dienstes bestätigt. Allerdings seien weniger als fünf Prozent der betroffenen Daten noch gültig, da es sich der Hacking-Angriff auf eine Altdatei bezogen habe. Aus Sicherheitsgründen werde den Yahoo-Nutzern jedoch empfohlen, das Passwort zu ändern. Sofern dieselbe Kombination aus E-Mail und Passwort auch für andere Dienste verwendet werde, sei auch dort ein Passwortwechsel ratsam. Ob der eigene Account kompromittiert worden sei, könne durch die Eingabe der E-Mail-Adresse bei Sucuri Labs überprüft werden.

“Wir beseitigen die Schwachstelle, die zur Aufdeckung der Daten geführt hat, ändern die Passwörter der betroffenen Anwender und informieren die Firmen, deren Nutzerkonten möglicherweise kompromittiert wurden. Wir entschuldigen uns bei allen Betroffenen. Wir empfehlen Nutzern, ihre Passwörter regelmäßig zu ändern und sich mit unseren Sicherheitstipps unter security.yahoo.com vertraut zu machen.”, teilte das Unternehmen mit.

 

Kategorien: Hackerangriffe
Schlagwörter: , , ,

ULD: Hinweise zum datenschutzkonformen Cloud Computing

16. Juli 2012

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat – auf einer Empfehlung der Artikel-29-Datenschutzgruppe vom 1. Juli 2012 beruhende – Hinweise zur datenschutzgerechten Erbringung und Nutzung von Cloud-Dienstleistungen nach deutschem und europäischem Recht veröffentlicht. Dort wird u.a. betont, dass der Vertrag zwischen Cloud-Anbieterin und -Anwenderin inhaltlich den Anforderungen des § 11 Abs. 2 S. 2 Bundesdatenschutzgesetz genügen müsse. Aus Gründen der Rechtssicherheit sei es ferner von Nöten, dass dieser Vertrag zusätzlich regelt, dass die Cloud-Anbieterin dazu verpflichtet ist, die Cloud-Anwenderin über alle Unterauftrags- verhältnisse und über alle Orte, an denen personenbezogene Daten gespeichert oder verarbeitet werden können, zu informieren. Bei der gesetzlich geforderten sorgfältigen Auswahl der Dienstleister, reiche des Weiteren ein Blick auf die Datensicherheit nicht aus. Neben Verfügbarkeit, Vertraulichkeit und Integrität sei es erforderlich, die Datenschutz-Schutzziele Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit umzusetzen. Ferner sei bei einer Übermittlung personenbezogener Daten in die USA seitens der verantwortlichen Stelle – auch nach Auffassung der Art. 29–Gruppe – ein schlichtes Verlassen auf eine Selbstzertifizierung nach den Safe Harbor Prinzipien nicht hinreichend. Vielmehr müsse die Zertifizierung und die Einhaltung der Prinzipien selbst überprüft werden.

Cloud Computing ist eine technische Realität, bei der die Beachtung der Datenschutzvorschriften zwingend gefordert ist. Dies gilt auch hinsichtlich der Zugriffe staatlicher Stellen, insbesondere durch Strafverfolgungsbehörden, in Drittstaaten. Transparenz ist für die Nutzerinnen und Nutzer gerade beim Cloud Computing unverzichtbar. Mit dem EuroPriSe-Zertifikat des ULD können Cloud-Anbieter die Einhaltung der europäischen Vorgaben verlässlich und transparent nachweisen. Die Bestrebungen der EU-Kommission, Clouds `Made in Europe´ besonders zu zertifizieren, sind zu unterstützen, wenn die Siegel – wie bei EuroPriSe – durch unabhängige Stellen auf der Basis qualifizierter Gutachten im Rahmen eines definierten, transparenten Verfahrens verliehen werden.“, so der Leiter des ULD Thilo Weichert.

Xamit: Datenschutzbarometer 2011

13. Juli 2012

Nach dem von der Xamit Bewertungsgesellschaft veröffentlichten Datenschutz- barometer 2011 haben deutsche Anbieter von Internetportalen im Jahre 2011 einen – skandalös hohen – Gewinn von 7,5 Mrd. Euro durch datenschutzrechts- widriges Verhalten erzielt. So sollen z.B. 22% der untersuchten Internetportale einen Tracking-Dienst wie Google Analytics rechtswidrig eingesetzt und 49% der Google-Analytics-Nutzer nicht die vorgeschriebene Datenschutzerklärung verwendet haben. Zudem sollen 65% der Internetportale ein Kontaktformular ohne die vorgeschriebene Erklärung über den Umgang mit den erhobenen personen- bezogenen Daten anbieten und 6,6% der Internetseiten den datenschutzrechtlich höchst umstrittenen Facebook-Like-Button direkt einbinden.

 

Kategorien: Allgemein
Schlagwörter: ,
1 244 245 246 247 248 277