11. Juli 2012
Das soziale Netzwerk Facebook hat Medienangaben zufolge eine Initiative gegen pseudonymisierte User gestartet. Dies ist angesichts der von Facebook verwendeten Namensrichtlinien innerhalb der Allgemeinen Geschäftsbedingungen weder überraschend noch verwerflich. Diese besagen unter Punkt 4 (Registrierung und Sicherheit der Konten) ausdrücklich, dass Facebook-User ihre wahren Namen und Daten anzugeben haben. Auch der Verweis, dass Facebook sich bei der Durchsetzung dieser Richtlinien der Hilfe seiner Mitglieder bedient, ist klar geregelt.
Die konkrete Maßnahme erscheint jedoch angesichts der “bespitzelnden” Vorgehensweise zumindest als fragwürdig. Loggte sich ein User bei Facebook ein, erschien eine Pop-Up-Meldung, in der um die Mithilfe des Users gebeten wurde. Dem Nutzer wurde ein Profilbild und ein Name mit folgenden zusätzlichen Text präsentiert: “Bitte hilf uns dabei zu verstehen, wie Nutzer Facebook verwenden. Deine Antwort bleibt anonym und hat keinen Einfluss auf das Konto deines Freundes. Ist dies der echte Name deines Freundes?”. Als Antworten standen “Ja”, “Nein”, “Ich kenne diese Person nicht” und “Ich möchte nicht antworten” zur Auswahl.
Facebook soll seine Vorgehensweise damit gerechtfertigt haben, dass es sich um einen “begrenzten Test handele, mit dem Accounts bestätigt werden können”. Ziel sei es, auf diese Weise Fake-Accounts zu identifizieren und die Plattform sicherer zu machen.
10. Juli 2012
Zur Zeit nutzen Kriminelle nach Angaben von Heise Online vermehrt E-Mail-Accounts des Providers GMX, um über diese ungewünschte Werbung (“Spam”) zu versenden. Höchstwahrscheinlich mittels eines Brute Force Angriffs soll auf E-Mail-Accounts, die lediglich über ein unsicheren Passwort geschützt wurden, Zugriff genommen und die dort gespeicherten Kontakte als Empfängeradressen gewählt worden sein. Nach Angaben des Providers werde solchen Angriffen im Regelfall durch Rate-Limits und andere Anomalie-Detection-Verfahren entgegengewirkt, was bedeute, dass Login-Versucher bestimmter IP-Adressen nach einer vorab definierten Anzahl von Fehlversuchen abgewiesen werden. Diese Schutzfunktion sei bei den aktuellen Angriffen wohl ausgetrickst worden.
Derzeit wird geraten, E-Mails von GMX-Absenderadressen kritisch zu prüfen bevor dort enthaltene Links oder Anhänge geöffnet werden. Für GMX-Nutzer sei es empfehlenswert, zu prüfen, ob der jeweilige E-Mail-Account mit einem sicheren Passwort geschützt ist.
9. Juli 2012
Die vergangene Woche vorgestellte App “SRT AppGuard” ermöglicht Android-Nutzern, die Berechtigungen der installierten Apps zu kontrollieren. Das Programm stammt von der Firma Backes SRT, einem Universitäts-Spin-Off initiiert von Prof. Dr. Michael Backes. Die App ist kostenlos herunterladbar, jedoch in Googles Play-Store derzeit nicht verfügbar. Die Anbieter haben die App auf ihrer Webseite zum Download bereitgestellt.
Android ist von Hause aus nur darauf ausgelegt, den Nutzer über die Berechtigungen von Apps zu informieren – eine Chance, einzelne teils sehr weitgehende Berechtigungen bei der Installation abzulehnen, besteht nicht. Lässt sich beispielsweise eine Wecker-App die Berechtigung zum Lesen der Kontaktdaten sowie vollständigen Internetzugriff einräumen, müsste man entweder auf die gesamte App verzichten oder hinnehmen, dass das Adressbuch den Weg ins Internet finden könnte. Eine Möglichkeit zur Kontrolle besteht nur auf solchen Smartphones, bei denen unter Verlust der Herstellergarantie der Root-Zugriff freigeschaltet wurde.
Die App “SRT AppGuard” kommt jedoch ganz ohne Root-Zugriff aus: Sie errichtet keine Blockade oder Firewall auf Systemebene, sondern entzieht jeder App einzeln ihre Berechtigungen. In drei Schritten wird die App zunächst deinstalliert, dann modifiziert und schließlich wieder installiert. Anschließend hat man über “SRT AppGuard” die Wahl, Berechtigungen bestehen zu lassen oder gezielt zu deaktivieren. Auch der Internetzugriff lässt sich so vollständig abschalten oder auf einzelne erlaubte Adressen beschränken.
“SRT AppGuard” vermag auf diesem Weg beim Schutz der eigenen persönlichen Daten wie auch der unternehmensbezogenen Daten auf privaten Geräten im dienstlichen Einsatz – Stichwort BYOD (“Bring Your Own Device”) – zu helfen.
Medienangaben zufolge sollen personenbezogene Daten von Müttern, die bei der Geburt ihres Kindes ihre eigene Identität nicht preisgeben wollen, künftig sechzehn Jahre unter Verschluss gehalten werden. Erst nach Ablauf dieser Frist soll das Kind ein Recht darauf haben, seine Abstammung zu erfahren. Dies gehe aus einem Eckpunktepapier des Bundesministeriums für Familie, Senioren, Frauen und Jugend (BMFSFJ) zur “vertraulichen Geburt” hervor, was einem zu erarbeitenden Gesetz zugrunde gelegt werden soll.
Man habe damit eine ausgewogene Regelung gefunden, die den Wunsch der Mutter nach Anonymität respektiere und dem Recht des Kindes auf eine eigene Identität nachkomme, so Bundesfamilienministerin Schröder gegenüber der Rheinischen Post. Ziel sei es, dass Frauen die vertrauliche Geburt statt der Babyklappe nutzen. Babyklappen sollen auf diesem Weg möglichst überflüssig werden. Die anonymen Abgabemöglichkeiten für Neugeborene sollen dennoch weiter geduldet, neue Babyklappen allerdings nicht mehr eröffnet werden.
6. Juli 2012
Das Landgericht (LG) Berlin hat entscheiden (Urt. v. 01.11.2011 – Az.: 6 O 479/10), dass der datenschutzrechtliche Auskunftsanspruch nach § 34 BDSG auch die einer Scoring-Berechnung zugrunde liegenden Parameter umfasst.
Beklagte in dem Rechtsstreit war die Auskunftei Schufa Holding AG, Scoring-Werte über die Bonität von Personen ermittelt. Der Kläger begehrte Auskunft auch über die Parameter, die in diese Berechnung einfließen, was die Beklagte ablehnte.
Nach Auffassung des Gerichts besteht indes nach § 34 BDSG ein solcher Anspruch, der auch die Information, welche Daten dem Scoring-Wert zugrunde gelegt würden, beinhaltet. Dem Auskunftsanspruch des betroffenen Klägers stünde kein schutzwürdiges Interessen der Beklagten entgegen. Insbesondere könne sich die Beklagte nicht auf die Wahrung ihres Geschäftsgeheimnis berufen. In § 34 Abs. 4 BDSG habe das Geschäftsgeheimnis keinen Eingang gefunden, ohne dass es zu es sich dabei um eine planwidrige Lücke im Gesetz handelt. Die Auskunftsverpflichtung eines Scoring-Unternehmen trage insgesamt dazu bei, Bonitätsprüfungen dem Betroffenen gegenüber transparenter zu machen, weswegen auch die zu Grunde liegende Datenbasis mitzuteilen ist. Außerdem müsse mitgeteilt werden, welche Elemente die Score-Berechnung beeinflussen, welche Daten die Auskunftei zu einer Bewertung des Zahlungsverhaltens der Vergleichsgruppe führt sowie welchen Einfluss die der Auskunftei vorliegenden personenbezogenen Daten auf die Bildung eines Wahrscheinlichkeitswertes haben.
5. Juli 2012
Nach einer im Auftrag des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) durchgeführten Studie ist jedem zehnten Deutschen (7,7 Millionen) schon einmal sein Mobiltelefon abhanden gekommen, wobei 3,5 Millionen Deutschen das Gerät gestohlen wurde und 2,8 Millionen Deutsche nicht bestimmen konnten, ob das Gerät gestohlen oder verloren wurde. In 73 Prozent der Fälle blieb das Gerät den Studienergebnissen zufolge verschwunden.
Da der Verlust eines Mobiltelefons, insbesondere der Verlust eines Smartphones, schwerwiegende Konsequenzen haben kann, empfiehlt der BITKOM, hinreichende Sicherheitsvorkehrungen zu treffen. So sei zum einen stets eine PIN-Sperre einzustellen, die es einem Finder oder Dieb verwehrt, das Gerät zu nutzen oder Zugriff auf die gespeicherten Daten zu nehmen. Zum anderen sei es empfehlenswert, die IMEI-Nummer des Mobiltelefons zu notieren, mittels derer das Gerät eindeutig identifiziert werden kann und die zusätzlich benötigt werde, um bei der Polizei Anzeige wegen Diebstahls erstatten zu können. Nach Bemerken des Verlusts sei es außerdem ratsam, die Sim-Karte bei dem Mobilfunk-Provider sperren zu lassen und so zu verhindern, dass ein Unbefugter mittels des Gerätes telefonieren, SMS verschicken oder im Internet surfen kann. Hilfreich für das Wiederauffinden eines verlorenen Mobiltelefons seien des Weiteren Lokalisierungs-Dienste, wobei viele der Services für Smartphones zudem das Löschen der eigenen Daten aus der Ferne zulassen, was der Schadensminderung erheblich dienen könne.
4. Juli 2012
Bei ihrem Juni-Treffen hat sich die Artikel 29 Datenschutzgruppe nicht nur zu Binding Corporate Rules geäußert, sondern auch dazu Stellung genommen, wann nach der sogenannten Cookie-Richtlinie keine Einwilligung zum Setzen eines Cookies erforderlich ist. Ein Cookie darf generell ohne Einwilligung gesetzt werden, wenn die Ausnahmekriterien von Artikel 5 Absatz 3 der Richtlinie vorliegen. Demnach muss der alleinige Zweck [des Cookies] die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz sein, oder [das Setzen eines Cookies] unbedingt erforderlich sein, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Anhand praktischer Beispiele führt die Artikel 29 Datenschutzgruppe auf, welche Situationen von dieser Ausnahmeregelung gedeckt sein können:
- „Nutzer-Eingabe“ Cookies, die dazu genutzt werden, um dem Nutzer Eingaben bei mehrseitigen Formularen oder die richtigen Artikel im Warenkorb zuzuordnen, sollen der Ausnahme unterfallen können, wenn es sich um First-Party Cookies handelt, die nur für kurze Dauer (z.B. die aktuelle Sitzung) Gültigkeit haben.
- Authentifizierungscookies, z.B. das Login bei einer Online-Bank, sollen ebenfalls unter den genannten Voraussetzungen von der Ausnahme umfasst sein. Über die Dauer einer Sitzung gespeicherte Authentifizierungscookies bedürfen jedoch einer Einwilligung des Nutzers. Dazu soll aber bereits die Checkbox „Eingeloggt bleiben (setzt ein Cookie)“ ausreichend sein.
- Nutzerbezogene Sicherheitscookies, z.B. die Aufzeichnung wiederholt fehlgeschlagener Loginversuche, können sogar einwilligungsfrei sein, wenn sie dauerhaft gespeichert werden, da sie sonst ihren Zweck nicht erreichen könnten.
- Audio-Video Session Cookies / Flash Cookies sind solche Cookies, die dazu genutzt werden, um technische Daten zur Wiedergabe von Audio- oder Videoinhalten (Bildqualität, Verbindungsgeschwindigkeit, Zwischenspeicherungsparameter) zu speichern. Auch diese sollen keine Einwilligung voraussetzen, solange sie ausschließlich diesem Zweck dienen und nur bis zum Ende der aktuellen Sitzung gespeichert werden.
- Load-Balancing Session Cookies sollen ebenfalls für die Dauer einer Sitzung ohne Einwilligung gesetzt werden könne, wenn es erforderlich ist, dass der Nutzer immer demselben Server zugewiesen wird.
- Cookies zur Speicherung von Anzeigepräferenzen, bei denen beispielsweise die gewünschte Sprache oder die Anzahl der Suchergebnisse pro Seite gespeichert wird, können nach Ansicht der Artikel 29 Datenschutzgruppe ebenfalls der Ausnahmeregelung unterfallen, solange sie nur bis zum Ende der aktuellen Sitzung gespeichert werden. Soll die Einstellung dauerhaft gespeichert werden, ist jedoch eine Einwilligung notwendig, die bereits darin liegen könne, dass neben der Flagge, auf die der Nutzer klickt, um die Sprache zu wechseln, der Hinweis „verwendet Cookies“ angezeigt wird.
- Cookies um Inhalte per Social-Plugins zu teilen – Auch die vielfach umstrittenen Social-Plugins sollen einwilligungsfrei Cookies setzen können, wenn diese dem Nutzer das Teilen und Kommentieren der Inhalte der Betreiberwebsite in einem sozialen Netzwerk ermöglichen. Diese Ausnahme kann nach Ansicht der Datenschützer jedoch nur für Nutzer gelten, die aktuell bei einem sozialen Netzwerk eingeloggt sind. Selbst in diesem Fall soll die Einwilligungsfreiheit auf die aktuelle Sitzung beschränkt sein.
Weiterhin führt die Artikel 29 Gruppe auch Szenarien auf, die nicht von der Ausnahmeregelung gedeckt sein sollen. Eine Einwilligung soll in diesen Fällen folglich nicht entbehrlich sein:
- Social-Plugin Tracking Cookies – Während das Teilen von Inhalten noch unbedingt erforderlich sein könne, um den vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen, könne davon bei verhaltensbasierter Werbung, Analyse oder Marktforschung etc. infolge eines Nutzertrackings nicht mehr die Rede sein.
- Third-Party Advertising / Werbenetzwerke – Hier halten die Datenschützer fest, dass für jegliche Form von Third-Party Advertising nicht von einem Vorliegen der Ausnahmen ausgegangen werden könne, da es immer an dem ausdrücklichen Wunsch des Nutzers fehle. Dies gelte auch für eher technische Zwecke wie Frequency Capping, Financial Logging, Ad Affiliation, Click Fraud Detection, Forschung und Marktanalyse, Produktverbesserung und Debugging.
- Websiteanalyse-Tools – An dieser Stelle arbeitet die Artikel 29 Gruppe schön heraus, dass zwar viele Seitenbetreiber Websiteanalyse-Tools als absolut notwendig ansehen, aber nur die Sicht des Nutzers maßgeblich sei. Demnach fallen weder Tools, bei denen die Daten auf dem Server des Betreibers bleiben (z.B. Piwik), noch Tools, bei denen die Daten zu einem Dritten übertragen werden (z.B. Google Analytics), unter die Ausnahmeregelung der Richtlinie. Nichtsdestotrotz vertritt die Arbeitsgruppe die Auffassung, dass Cookies von First-Party Websiteanalyse-Tools keine Risiken für die Privatsphäre begründen, solange diese sich ausschließlich auf durch den Websitebetreiber (First-Party) aggregierte statistische Zwecke beschränken, die Website verständliche Informationen über diese Cookies in Ihrer Datenschutzerklärung enthält und angemessene Schutzmaßnahmen für die Privatsphäre getroffen werden. Solche Schutzmaßnahmen sollen nach Meinung der Arbeitsgruppe einen nutzerfreundlichen Opt-Out-Mechanismus sowie Anonymisierungsmechanismen bezüglich solcher Informationen, die zur Identifizierung von Nutzern verwendet werden könnten (z.B. IP-Adressen), umfassen. Infolge dieser Einschätzung schlägt die Arbeitsgruppe vor, bei einer zukünftigen Richtlinienrevision eine dritte Ausnahme für solche First-Party Websiteanalyse Cookies aufzunehmen.
Die Datenschützer weisen darauf hin, dass sich keine allgemein gültige Aussage derart treffen lässt, dass beispielsweise ein First-Party Cookie für die Dauer einer Sitzung immer einwilligungsfrei wäre, wohingegen ein dauerhaftes Cookie eines Dritten immer eine Einwilligung erfordere. Vielmehr käme es auf die konkrete Implementierung des Cookies im Einzelfall an. Insbesondere sei zu beachten, dass ein Cookie, welches mehreren Zwecken dient, z.B. dem Tracking und Speicherung von Nutzerpräferenzen, nur dann einwilligungsfrei sein könne, wenn sämtliche Zwecke von der Ausnahmeregelung umfasst würden.
Ferner gibt die Arbeitsgruppe zu bedenken, dass diese Erläuterungen nicht auf Cookies im technischen Sinne beschränkt seien, sondern Geltung für sämtliche Methoden zum Speichern von Informationen auf dem Endgerät des Nutzers hätten.
Nachdem die Artikel 29 Datenschutzgruppe bereits im Jahr 2008 die Anforderungen an Binding Corporate Rules für die verantwortliche Stelle (Controller) dargelegt hat, soll ein neues Arbeitspapier der datenverarbeitenden Stelle (Processor) aufzeigen, welche Bedingungen für den rechtlich wirksamen Einsatz von Binding Corporate Rules zu erfüllen sind.
Zu diesem Zweck hat die Artikel 29 Gruppe einen Leitfaden ausgearbeitet. In dessen erstem Teil findet sich eine Liste, anhand derer man Punkt für Punkt prüfen kann, ob sämtliche Voraussetzungen für die Wirksamkeit von Binding Corporate Rules vorliegen. Hier wird einerseits dargestellt, welche Anforderungen an die Binding Corporate Rules selber zu stellen sind, andererseits wird darauf eingegangen, welche Erfordernisse bei dem Antrag zur Genehmigung von Binding Corporate Rules zu beachten sind. Insgesamt ergibt sich so eine neunseitige Liste, die über 20 Einzelpunkte zu bedenken gibt. Dabei werden vielfach erläuternde Beispiele zur besseren Verständlichkeit genannt.
Im zweiten Teil des Leitfadens fordert die Artikel 29 Gruppe dazu auf, Binding Corporate Rules mit einem Service-Level-Agreement zu verbinden und führt aus, welche Verpflichtungen in Bezug auf Binding Corporate Rules in einem Service-Level-Agreement aufgenommen werden sollten.
Vergangene Woche ist Medienangaben zufolge die von CDU/CSU und FDP vorangetriebene Gesetzesreform zum Geodatenzugangsgesetz (GeoZG) ohne Einschränkungen verabschiedet worden. Damit stehen geographische Informationen des Bundes sowie darauf basierende Dienste und deren zugehörige Metadaten zukünftig “grundsätzlich geldleistungsfrei” zur Verfügung und können sowohl kommerziell als auch privat genutzt werden.
Ziel des Vorstoßes war es, das den Geodaten innewohnende Wertschöpfungs- potenzial besser zu nutzen und die bisher bestehenden bürokratischen Hürden durch einheitliche und verbindliche Nutzungsbedingungen abzubauen. Schrittweise soll eine nationale Geodateninfrastruktur entstehen, so dass die Geodaten des Bundes über Geodatendienste und das Geoportal des Bundes Bürgerinnen und Bürgern, Wissenschaft und Wirtschaft zur Verfügung stehen. Auf Bundesebene existiert allerdings noch keine spezialgesetzliche Rechtsgrundlage zur Festlegung von Nutzungsbedingungen für die Bereitstellung von Geodaten und Geodatendiensten. Die Änderung des Geodatenzugangsgesetzes würde für eine geldleistungsfreie Nutzung von Geodaten und Geodatendiensten für eine allgemeine Nutzung eine Rechtsgrundlage schaffen.
Politiker von SPD und Grünen hatten sich hinsichtlich des eingebrachten Vorschlags enthalten. Lediglich die Linken hatten gegen die Reform votiert. Kritiker sehen angesichts einer Gefahr für das informationelle Selbstbestimmungsrecht durch die “massenhafte Auswertbarkeit” bereitgestellter geographischer Informationen die Notwendigkeit gesetzliche Schutzmaßnahmen zu treffen.
Das Sozialgericht (SG) Düsseldorf hat am vergangenen Donnerstag die Klage eines Versicherten gegen die beabsichtigte Einführung der elektronischen Gesundheitskarte abgewiesen (Az.: S 9 KR 111/09). Der von mehreren Interessenverbänden unterstützte Kläger hat von der beklagten Bergischen Krankenkasse Solingen unter Berufung auf datenschutzrechtliche Bedenken und das Recht auf informationelle Selbstbestimmung die Befreiung von der elektronischen Gesundheitskarte gefordert.
Nach Auffassung des Gerichts verletzt die Karte jedoch nicht das Recht des Versicherten auf informationelle Selbstbestimmung. Eine Befreiung von der Pflicht zur elektronischen Gesundheitskarte sei gesetzlich nicht vorgesehen, was keine verfassungsrechtlichen Bedenken aufwerfe. Schließlich bestimme der Versicherte selbst, welche Informationen auf der Karte gespeichert würden. Die Pflichtangaben wie Name, Anschrift und Gültigkeitsdauer entsprächen denen der bisherigen Krankenversicherungskarte. Nur das Lichtbild sei neu. Im Hinblick auf den konkreten Streitgegenstand gebe es daher keine Veranlassung, auf die datenschutzrechtlichen Bedenken bezüglich der weiteren jedoch freiwilligen und erst zukünftigen Speichermöglichkeiten auf elektronischen Gesundheitskarten im Allgemeinen einzugehen, begründete das Gericht.
Pages: 1 2 ... 263 264 265 266 267 ... 294 295