Klage gegen LinkedIn wegen Passwort-Klau

21. Juni 2012

Wie heise.de berichtet, hat eine Nutzerin des Netzwerks LinkedIn in den USA eine Sammelklage gegen den Betreiber eingereicht. Vor zwei Wochen war bekannt geworden, dass LinkedIn über 6,5 Millionen Passwort-Hashes geklaut worden waren. Die Sammelklage im Namen weiterer Mitglieder zielt auf Schadensersatz in Höhe von mehr als fünf Millionen Dollar.

Der Vorwurf lautet, LinkedIn habe mit veralteter Sicherheitstechnik die personenbezogenen Daten der Nutzer gefährdet und die Nutzer nach dem Diebstahl nicht rechtzeitig informiert. Passwörter wurden bei LinkedIn der Klage nach mit dem Hash-Algorithmus SHA1 aus dem Jahr 1995 verschlüsselt, der nicht mehr aktuellen Standards genüge und keine Zufallswerte hinzufüge, die eine Rückführung der Hashes erschweren. LinkedIn habe die Daten der Nutzer erheblichen Risiken ausgesetzt.

Linkedin entgegnete, dass es bei keinem Nutzerprofil zu Risiken oder Störungen gekommen sei. Die Klage sei gegenstandslos und das Werk von Anwälten, die nur die Gelegenheit ausnutzen wollten, so der Bericht weiter.

Verstöße gegen Datenschutz in jedem vierten Unternehmen

19. Juni 2012

Nach einem Bericht von heise resale bestätigen 70 Prozent der Datenschutzbeauftragten aus den 1000 größten deutschen Unternehmen, dass der Datenschutz in ihrem Unternehmen zumindest  „wichtig“ oder sogar „sehr wichtig“ genommen wird. Quelle dieser Zahlen ist eine aktuelle Umfrage von PwC, die im Vorjahr noch zu einem deutlich schlechteren Ergebnis für die Beachtung des Datenschutzes in den Unternehmen kam. Damals waren nur 56 Prozent der Datenschutzbeauftragten mit der Datenschutzsituation in ihrem Unternehmen zufrieden.

Hinter der theoretischen Einschätzung offenbarte die Umfrage aber noch deutliche Defizite in der Praxis. Fast in jedem vierten Großunternehmen habe es im Jahr 2011 mindestens einen Verstoß gegen Datenschutzgesetze gegeben. Verstöße folgten meist aus Unachtsamkeit oder Unwissenheit der Mitarbeiter, die oftmals nicht ahnten, dass sie gegen Richtlinien verstoßen. Ursache sind in der Regel Schulungs- und Aufklärungsdefizite.

Dies belegen auch weitere Details der Erhebung, denn 70 Prozent der Verstöße seien fahrlässig erfolgt, davon 60 Prozent aus reiner Unkenntnis. Bewussten Datendiebstahl durch Beschäftigte oder Dritte habe es nur in sechs Prozent der Fälle gegeben.

Patientenbeauftragter der Bundesregierung: Neues Patientenrechtegesetz noch in 2012

18. Juni 2012

Wie der Patientenbeauftragte der Bundesregierung Wolfgang Zöller (CSU) jetzt auf einer Podiumsdiskussion beim Hauptstadtkongress in Berlin ankündigte, soll das Patientenrechtegesetz noch in diesem Jahr in Kraft treten. Um hinsichtlich des inhaltlich umstrittenen Gesetzes diesen Zeitplan einhalten zu können, sei er auch bereit, umstrittene Punkte wie die IGeL (Individuelle Gesundheitsleistung, also Leistungen, die Ärzte ihren gesetzlich versicherten Patienten gegen Selbstzahlung anbieten können) erst nachträglich zu berücksichtigen. Drei Punkte erklärte er für einen Konsens seinerseits als notwendig. So lehnt er Härtefallfonds auf Kosten der Patienten grundsätzlich ab. Ferner plädiert er für ein Mitbestimmungsrecht der Patientenvertreter im Gemeinsamen Bundesausschuss (G-BA) in Verfahrensfragen sowie dafür auch Beinahefehler in Meldesystemen zu erfassen.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hatte sich bereits Ende Mai mit einer Entschließung bei der Bundesregierung für eine Stärkung der Patientenrechte innerhalb des Patientenrechtegesetzes eingesetzt. Zentrales Anliegen der Konferenz war hierbei u.a. die Förderung des Rechts der Patienten auf Zugang zur Dokumentation ihrer Behandlung und eine aktive Informationsverpflichtung bei Behandlungsfehlern.

Das parlamentarische Verfahren um das Patientenrechtegesetz beginnt am 27. September dieses Jahres.

Großbritannien: Streit um gesammelte WLAN-Daten von Google Street View

Der Streit um im Rahmen von Street View-Kamerafahrten zwischen 2007 und 2010 von Google gesammelten WLAN-Daten geht laut dem Onlineportal heise.de in die nächste Runde. Nachdem das Britische Information Commissioners Office Ende 2010 das Verfahren mit einer Ermahnung für Google abgeschlossen und Google aufgefordert habe, die erlangten Daten zu löschen, schienen die Unstimmigkeiten zwischenzeitlich beigelegt. Nun habe sich der britische Datenschutzbeauftragte Christopher Graham jedoch erneut herausgefordert gesehen, das Verfahren wieder aufzunehmen und gegen den US-Konzern vorzugehen. Auslöser hierfür sei ein im April vorgelegter Untersuchungsbericht der US-Amerikanischen Federal Communication Commission, welcher Grund zur Annahme gebe, dass die erlangten WLAN-Daten absichtlich von den Google-Mitarbeitern gesammelt wurden. Bisher sei indes von Google den Standpunkt vertreten worden, die Daten seien lediglich aufgrund eines Programmierfehler erlangt worden. Geprüft werde nun, ob die Führungsetage von den Praktiken wusste.

Kategorien: Online-Datenschutz
Schlagwörter: ,

Klinikum Kassel: Liste mit Patientendaten in Fußgängerzone “verloren”

14. Juni 2012

Medienangaben zufolge hat ein Passant in der Kasseler Fußgängerzone eine Liste mit Namen, Geburtsdaten und Diagnosen von 20 Patienten der Psychiatrie des Klinikums Kassel gefunden. Die Sprecherin des verantwortlichen Klinikums habe den Vorfall bestätigt. Es handele sich um ein Übersichtsblatt, wie es für Visiten oder internen Übergaben verwendet werde. Nach intensiven Recherchen gehe man davon aus, dass “menschliches Versagen einer einzelnen Person” die Ursache sei, heißt es in einer Stellungnahme der Geschäftsführung. Der Vorfall sei dadurch erklärbar, “dass ein Mitarbeiter oder eine Mitarbeiterin die Liste versehentlich nicht im Datenmüll entsorgt, sondern in einer Kleidungstasche vergessen und später aus Unachtsamkeit verloren hat.”

Die mit dem Vorfall befasste Referatsleiterin für das Gesundheitswesen bei dem Hessischen Datenschutzbeauftragten, Rita Wellbrock, soll diesen Datenfund als “bedauerlichen Einzelfall” bezeichnet haben. Man erwarte nun einen Bericht der verantwortlichen Stelle. Das Klinikum habe bereits eine weitere Schulung der Abteilung mit dem internen Datenbeauftragten zugesagt und die Anschaffung zusätzlicher Geräte für eine zeitnahe Aktenvernichtung vor Ort in Aussicht gestellt. Wenn adäquate Maßnahmen ergriffen würden, werde von einer Beanstandung abgesehen, so Wellbrock.

Schufa: Forschungsprojekt gestoppt

13. Juni 2012

Das Forschungsprojekt der Schufa, Daten aus sozialen Netzwerken zur Bonitätsprüfung heranzuziehen, ist Medienangaben zufolge nach intensivster Kritik von Politikern und Datenschützern abgesagt worden. Das Hasso-Plattner-Institut (HPI), das den diesbezüglichen Forschungsauftrag erhalten haben soll, habe den Vertrag gekündigt.

“Angesichts mancher Missverständnisse in der Öffentlichkeit über den vereinbarten Forschungsansatz und darauf aufbauender Reaktionen könne ein solches wissenschaftliches Projekt nicht unbelastet und mit der nötigen Ruhe durchgeführt werden”, kommentierte HPI-Direktor Christoph Meinel die Aufgabe des Projektes.

EU-Kommission: Datenschutzrechtliche Bedenken gegenüber intelligenten Stromzählern

Die datenschutzbezüglichen Angriffspunkte werden seit Jahren immer größer, was im Wesentlichen der fortschreitenden Technik zugeschrieben wird, die sich durch Vernetzung und Kommunikationsmöglichkeiten immer häufiger von einfachen mechanischen Vorrichtungen zu interagierenden Rechnern entwickelt. Eines der neuesten Beispiele dafür dürften die von der EU-Kommission zum Einsatz in ganz Europa geplanten intelligenten Stromzähler sein.

Nachdem bereits Forscher der FH Münster im Rahmen des vom Bund geförderten Projekts DaPriM (Data Privacy Management) in Versuchen herausgefunden haben, dass es anhand sog. Smart-Meter sogar möglich sei, aufgrund des anzeigespezifischen Stromverbrauchs Rückschlüsse auf das angezeigte Fernsehbild zu ziehen, äußerste sich nun der EU-Datenschutzbeauftragte Peter Hustinx in einer Stellungnahme kritisch. Mittels intelligenter Stromzähler könne unter anderem verfolgt werden, “was die Mitglieder eines Haushaltes in ihren eigenen vier Wänden tun, ob sie im Urlaub oder auf der Arbeit sind, ob sie spezielle Geräte oder ein Babyphon benutzen und wie sie ihre Freizeit verbringen”. Diese Informationen seien potentielle Grundlagen für das Erstellen unzulässiger Marketingprofile oder für Preisdiskriminierungen. Zwar sei ein Nutzen zweifelsfrei vorhanden, gerade im Zusammenspiel mit anderen Datenquellen sei aber eine erhebliche Gefahr für Data-Mining gegeben. Hustinx befürwortet daher  einen verantwortungsvollen Umgang mit der Einrichtung der Smart-Meter. Diesen sieht er in einer nachhaltigen Koordination zwischen Mitgliedsstaaten, EU-Kommsission und der Artikel-29-Gruppe der europäischen Datenschutzbeauftragten.

Auch Hustinx Stellvertreter, Giovanni Butarelli, machte sich für eine datenschutzorientierte Einführung intelligenter Stromzähler stark. Er forderte, dass vor allem die Auswirkungen auf die Privatsphäre der Nutzer nachhaltig abgeschätzt werden sowie der Einsatz der Geräte auf freiwilliger Basis geschehen müsse. Zudem müsse eine datenschutzfreundliche Technik verwendet, das Prinzip der Datensparsamkeit geachtet und die Speicherfristen für Nutzungsdaten eindeutig festgelegt werden.

Schufa-Projekt: Daten aus sozialen Netzwerken für Kreditwürdigkeitsprüfung nutzen

8. Juni 2012
Medienangaben zufolge hat Deutschlands führende Auskunftei Schufa ein Projekt in Gang gesetzt, das realisieren soll, Nutzerdaten aus sozialen Netzwerken wie Facebook, Xing oder Twitter mit allen bereits vorgehaltenen Daten, z.B. aus Verträgen und Bankverbindungen, sowie Klarnamen und echter Adresse zu verknüpfen und abschließend für die Kreditwürdigkeitsbegutachtung heranzuziehen. So sollen beispielsweise die Kontakte von Facebook-Mitgliedern herangezogen werden, um Beziehungen zwischen Personen zu untersuchen und Zusammenhänge mit der Kreditwürdigkeit der Verbraucher herzustellen. Zusätzlich sei auch die Analyse von Textdaten denkbar, um “ein aktuelles Meinungsbild zu einer Person zu ermitteln.”

Die kritischen Reaktionen von Daten- und Verbraucherschützer ließen – zu Recht – nicht lange auf sich warten. “Sollte die Schufa die gewonnenen Daten tatsächlich einsetzen, wäre das eine völlig neue Dimension”, soll der Datenschutzbeauftragte des Landes Schleswig-Holstein Weichert gewarnt haben. Er zweifle daran, dass eine Umsetzung der Projektideen rechtlich überhaupt haltbar sei. Die Verbraucherzentrale Hamburg wiederum soll das Schufa-Projekt als “Grenzüberschreitung” bezeichnet haben. “Wenn diese sehr privaten und persönlichen Datensammlungen wie Facebook von der Schufa zusammengeführt und ausgenutzt werden, dann wird es hochgefährlich.“

“Do Not Track” auf dem Weg zum Industriestandard

6. Juni 2012

Bereits seit Längerem wird nach gangbaren Ansätzen gesucht, um dem Nutzer eine einfache Möglichkeit zu bieten, eine websiteübergreifende Profilbildung zu verhindern. Bei diesem sogenannten Tracking wird der Nutzer mithilfe von Cookies und anderen Techniken über ein Angebot hinaus verfolgt. Dadurch soll ein möglichst präzises Profil erstellt werden, welches wiederum dazu genutzt wird, um “interessengerechte” Werbung einzublenden.

Bereits Anfang 2011 hat die gemeinnützige Mozilla Stiftung, die beispielsweise hinter dem Firefox Browser steht, damit begonnen die sogenannte “Do Not Track” (DNT) Technik voranzutreiben. Dieser Ansatz basiert darauf, dass der Nutzer in seinem Browser die “Do Not Track” (DNT) Funktion aktiviert. Dadurch wird beim Aufruf von Websites eine Header-Kennung gesendet, die Werbenetzwerken signalisiert, dass der Nutzer nicht verfolgt werden möchte. Eine Profilbildung findet dann nicht statt und der Nutzer erhält nur generische Werbung.

Ein solcher Ansatz steht und fällt natürlich mit einer breiten Unterstützung durch Browserhersteller, Websitebetreiber und Werbenetzwerke. Auf Browserseite gaben neben Mozilla (Firefox) auch Microsoft (Internet Explorer) und Apple (Safari) ihre Unterstützung innerhalb kürzester Zeit bekannt. Zögerlicher reagierte Opera, welches den Ansatz erst aufgriff, nachdem das W3C (World Wide Web Consortium) bekanntgab, “Do Not Track” zum Webstandard erheben zu wollen. Google, welches als Betreiber eines der größten Werbenetzwerke lange gegen den Ansatz opponierte, kündigte mittlerweile an, die Technik bis Ende 2012 im populären Chrome Browser unterstützen zu wollen. Bisher ist für Chrome ausschließlich ein Plug-In von Jonathan Mayer, einem der Köpfe hinter “Do Not Track”, verfügbar. Zu Googles Sinneswandel trugen maßgeblich auch die voranschreitenden Überlegungen zu einem Consumer Privacy Bill of Rights (in etwa: Grundrecht auf Verbraucherdatenschutz) durch die Obama Administration bei. Auch dort wird sich klar für den “Do Not Track” Ansatz ausgesprochen. Auf Smartphones wird DNT bisher ausschließlich von Firefox für Android unterstützt.

Im Zuge der Diskussion um das Consumer Privacy Bill of Rights hat sich auch die DAA (Digital Advertising Alliance) zur Unterstützung des DNT Standards verpflichtet. Die DAA ist ein Konsortium von Firmen aus der Werbebranche, in dem unter anderem auch große Werbenetzwerke wie Akamai, Google oder Yahoo vertreten sind.

Auch der populäre Kurznachrichtendienst Twitter ist mittlerweile auf den DNT Zug aufgesprungen, bevor wenige Tage später das vielfach eingesetzte Website-Analyse-Tool Piwik in seiner neuesten Version die Unterstützung von “Do Not Track” aktivierte.

Mit der Ankündigung beim kommenden Internet Explorer 10 die “Do Not Track” Kennung standardmäßig zu aktivieren, hat Microsoft insbesondere bei der DAA, zu deren Kreis auch Microsoft selbst gehört, einen Aufschrei ausgelöst. Damit wäre der Internet Explorer der erste große Browser, der als Voreinstellung Tracking ablehnt. Somit könnte Microsoft die Anforderungen der Artikel-29 Gruppe erfüllen, die bei Browser basierten Mechanismen ein Opt-In verlangt. Mozilla hingegen bekräftigte die Position bei einem Opt-Out System bleiben zu wollen.

Wer nun “Do Not Track” gerne einsetzen möchte, kann auf der Website donottrack.us in der oberen rechten Ecke erkennen, ob der eigene Browser dies unterstütz, und ob die Funktion bereits aktiviert ist. Ebenfalls dort finden sich Anleitungen, um “Do Not Track” zu aktivieren.

Tracking-Schutz für Internet Explorer TÜV-zertifiziert

Einem Bericht von heise.de zufolge hat Microsoft eine Erweiterung für den Browser Internet Explorer zertifizieren lassen, mittels derer sich Nutzer vor Tracking beim Surfen schützen können. Das Zertifikat stamme von der österreichischen TÜV Trust IT GmbH und sei für eine von der britischen Organisation Privacy Online betriebene Tracking-Schutzliste vergeben worden, die sich in den IE 9 integrieren lasse. Microsoft unterstütze das Projekt Privacy Online der London School of Economics finanziell.

Das Prinzip hinter Tracking-Schutzlisten soll mehr Schutz vor Tracking bieten als „Do Not Track“. Denn während der Seitenbetreiber die Browsereinstellung respektieren müsse, blockiere eine Tracking-Schutzliste stets den Datenverkehr zu gelisteten Domains und Webseiten. Derzeit biete Privacy Online zwei solcher Listen an, die je für Webanalytics und verhaltensorientierte Werbung gesperrte Domains enthalten. Weitere Listen, zum Beispiel zum Schutz speziell von Kindern, seien in Planung. Der TÜV habe die Umsetzung mit selbstständiger Aktualisierung der Listen durch den Browser, sodass der Schutz aktuell bleibe, gelobt. Bereits jetzt seien nicht nur große Anbieter von Tracking-Diensten in den Blockierlisten enthalten, auch vor kleineren Diensten werde zuverlässig geschützt.

Kategorien: Allgemein
Schlagwörter: ,
1 250 251 252 253 254 279