Kategorie: Datenschutz

Anscheinend haben die vielen Anfragen, die in letzter Zeit zum Thema Smartphones eingegangen sind, ihr Ziel nicht verfehlt. Aktuell hat sich sogar das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI – mit diesem Thema beschäftigt. Herausgekommen ist ein erstes IT-Grundschutz-Übersichtspapier, das in gewohnter IT-Grundschutz-Manier in kompakter Form Informationen zu typischen Risiken und den entsprechenden Schutzmaßnahmen bereithält. Diesem Überblickspapier werden in Kürze weitere folgen.

Zum neuen Bereich „Überblickspapiere“ geht es hier lang: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/Ueberblickspapiere/Ueberblickspapiere_node.html.

Ich wünsche Ihnen viel Erfolg damit.

Der Leasing-Vertrag unseres Kopierers läuft bald aus. Nachdem ich beim bisherigen und beim neuen Leasinggeber auf viel Unverständnis im Bezug auf den Datenschutz gestossen bin, will ich hier ein paar Infos notieren.

Ist Ihnen eigentlich bewusst, dass mit Ihren ausgemisteten Kopierern und Druckern meist auch unbemerkt personenbezogene und andere hochsensible Daten das Haus verlassen? Diese Geräte haben allesamt Festplatten eingebaut. Und wenn ich sage Festplatten, dann meine ich auch Festplatten. 250 GB bringt z.B. unser neuer mit. Da passt ganz schön was drauf!

Leider werden diese internen Festplatten nur allzuoft im Eifer des Geräte-Austauschs vergessen. Der Nachbesitzer kann dann ohne große Probleme geheime Firmeninternas des Vorbesitzers rekonstruieren.

Überlegen Sie mal: Was haben Sie alles im letzten Monat gedruckt, das nicht unbedingt für die Öffentlichkeit oder Ihren Mitbewerber bestimmt war? Daher sollten Sie Ihre Kopierer und Drucker unbedingt in das Datenschutz- und IT-Sicherheits-Konzept miteinbeziehen.

Nachdem ich bei unserem bisherigen Leasinggeber nachgefragt habe, gab es dann doch plötzlich ein Konzept für die Datenlöschung beim alten Leasing-Kopiergerät. Ich erwarte nun sehnlichst den schriftlichen Nachweis für die gesetzeskonforme Löschung. Warum nicht gleich so?

Am 8.12.2011 hat der Düsseldorfer Kreis einen Beschluss zum Datenschutz in sozialen Netzwerken gefasst.

Daraus geht u.a. hervor, dass der Anbieter bei der Verwendung von Social Plugins auf seiner Webseite  selbst für die Daten seiner Seitenbesucher verantwortlich ist. Dies bedeutet für den Anbieter, dass er von den Besuchern seiner Webseite die Zustimmung für die Verarbeitung ihrer Daten bei den sozialen Netzwerken einholt. Eine Einbindung von sozialen Netzwerken auf der eigenen Webseite ist damit „ohne weiteres“ nur noch „eingeschränkt“ möglich.

Der Düsseldorfer Kreis ist der Zusammenschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich.

Die dritte Kammer des Europäischen Gerchtshof führte in seinem Urteil vom 24. November 2011 – C-468/10 und C-469/10 aus „It follows that, under Article 5 of Directive 95/46, Member States also cannot introduce principles relating to the lawfulness of the processing of personal data other than those listed in Article 7 thereof, nor can they amend, by additional requirements, the scope of the six principles provided for in Article 7.“

Damit stellt sich die Frage, was von den deutschen Datenschutzvorschriften eigentlich noch wirksam ist und ob es überhaupt gesetzgeberischen Spielraum für die geplante Neuregelung des Beschäftigtendatenschutzes gibt.

Volltext: http://curia.europa.eu/jurisp/cgi-bin/gettext.pl?where=&lang=de&num=79888875C19100468&doc=T&ouvert=T&seance=ARRET

Gegenüber Verbrauchern trifft dies zu. Sogenannte „Cold Calls“, also Anrufe ohne vorherige Einwilligung des Angerufenen, sind nicht rechtens. Im geschäftlichen Umfeld reicht eine mutmaßliche Einwilligung. Es sollte also zumindest inhaltliche Verbindungen vom Anrufer zum Angerufenen geben, die nahelegen, dass der Angerufene ein Interesse an Werbeanrufen hat.

Der Chaos Computer Club hat bekannt gegeben, am Samstag, 7. Oktober 2011 den Bundestrojaner gehackt zu haben.

In diesem Zusammenhang stellt sich die Frage, wie Anbieter von Sicherheitssoftware ihre Sicherheitssoftware gestalten, um ein mögliches Eindringen des Bundestrojaners zu verhindern.

Der Softwareanbieter F-Secure teilte in seiner Pressemitteilung vom 11. Oktober 2011 mit, dass für F-Secure-Kunden keine Gefahr der Spionage durch den Bundestrojaner bestanden habe.
In der Pressemitteilung heißt es: „F-Secure wird zu keiner Zeit Lücken in der Sicherheitssoftware zulassen – ganz gleich, woher die Schadprogramme auch kommen mögen“.

Es bleibt abzuwarten, wie sich amerikanische Sicherheitssoftware-Hersteller in dieser Hinsicht äußern und ob sie eine ähnlich lautende Selbstverpflichtungserklärung ablegen.

Für unverlangt zugesandte E-Mail-Werbung haftet der Geschäftsführer eines Unternehmens. Das Landgericht Berlin entschied, dass Geschäftsführer auch haften, wenn sie die Versendung nicht beauftragt haben, aber Kenntnis davon hatten und sie nicht verhindert haben.
Anlass für diesen Urteilsspruch war der Hackerangriff  auf ein Unternehmen, in dessen Folge 180.000 Werbe-E-Mails verschickt wurden und einer der Empfänger auf Unterlassung klagte.
Dieser Unterlassungsanspruch gilt uneingeschränkt für alle unverlangt zugesandten E-Mails.

(Az. 15 S 1/11)

Der Verbraucherzentrale Bundesverband (vzbv) hat eine Online-Petition für eine gesetzliche Regelung gestartet, damit alle Geräte und Dienste bei ihrer Auslieferung so voreingestellt sind, das der Datenschutz maximal gewährleistet wird. Eine Umsetzung dieser Forderung würde vor allem den unerfahrenen Anwendern  entgegenkommen, denen meist nicht bewusst ist, welche (persönlichen) Daten die sozialen Netzwerke sonst über sie sammeln.

Auf der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29. September 2011 in München wurden u. a. zu folgenden Schwerpunktthemen Entschließungen getroffen:
a) Datenschutz bei sozialen Netzwerken:
Laut Konferenz müssen sich Anbieter von solchen Plattformen auch dann an europäische Datenschutzstandards halten, wenn sie ihren Sitz außerhalb von Europa haben.
b) Datenschutz als Bildungsaufgabe
Die Konferenz wies darauf hin, dass Datenschutz als Bildungsaufgabe verstanden und praktiziert werden müsse. Die digitale Aufklärung sei ein unverzichtbarer Bestandteil der Datenschutzkultur des 21. Jahrhunderts. Hierzu gehöre neben der Wissensvermittlung auch die Entwicklung eines wertebezogenen Datenschutzbewusstseins.
c) Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing
Die Konferenz fordert Cloud-Anbieter auf, ihre Dienstleistungen datenschutzkonform zu gestalten. Auf der anderen Seite müssen die Cloud-Anwender aber auch ihre Pflichten als verantwortliche Stelle wahrnehmen.

Zu den genannten Themen stellt der Hessische Datenschutzbeauftragte auf seiner Website die Entschließungen im Detail zusammen.
Die „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien kann dort ebenfalls heruntergeladen werden.

Google setzt Forderungen der Aufsichtsbehörden um

(hmbbfdi, 15.9.2011) Seit Ende 2009 haben der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises und Google Gespräche über die erforderlichen Änderungen zum gesetzeskonformen Einsatz von Google Analytics geführt. Hintergrund dafür bildete der entsprechende Beschluss der Aufsichtsbehörden der Länder zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten.

Durch konstruktive Gespräche ist es gelungen, sich gemeinsam auf zentrale Punkte zu einigen und diese umzusetzen. Insbesondere hat Google das Verfahren dahingehend geändert, dass

•    den Nutzern die Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten eingeräumt wird. Google stellt ein so genanntes Deaktivierungs-Add-On zur Verfügung (http://tools.google.com/dlpage/gaoptout?hl=de). Dieses Add-On war bisher für Internet Explorer, Firefox und Google Chrome verfügbar. Google hat nun Safari und Opera hinzugefügt, so dass alle gängigen Browser berücksichtigt sind;
•    auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Die Löschung erfolgt innerhalb Europas;
•    mit den Webseitenbetreibern ein Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abgeschlossen werden soll.

Für Webseitenbetreiber stellt der Hamburgische Datenschutzbeauftragte besondere Hinweise auf seiner Homepage www.datenschutz-hamburg.de zur Verfügung. Macht ein Webseitenbetreiber von diesen Möglichkeiten Gebrauch, wird dadurch ein beanstandungsfreier Betrieb von Google Analytics gewährleistet.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:

„Wir befinden uns am Ende eines langen, aber konstruktiven Abstimmungsprozesses. Die intensive Zusammenarbeit zwischen den Datenschutz-Aufsichtsbehörden einerseits und Google andererseits haben die erzielten Verbesserungen ermöglicht. Ausdrücklich begrüße ich auch die Ankündigung von Google, dass die technischen Änderungen europaweit umgesetzt werden sollen. Ich möchte jedoch auch daran erinnern, dass die Arbeit nicht abgeschlossen ist. Insbesondere ist zu berücksichtigen, dass nicht Google, sondern die Webseitenbetreiber, die das Produkt einsetzen, für den datenschutzgerechten Einsatz verantwortlich sind.“

Darüber hinaus wird künftig erforderlich sein, die technischen Anforderungen des Opt-Out auch auf Smartphones zu übertragen. Hinzu kommt, dass die Entwicklung der Analyse-Software mit dem derzeitigen Stand der Umsetzung keineswegs endgültig abgeschlossen ist. Technische und rechtliche Veränderungen erfordern eine kontinuierliche Weiterentwicklung. So werden die ausstehende Umsetzung der E-Privacy-Richtline, aber auch die Einführung von IPv6 neue Schritte erfordern.

Hierzu gilt es, auch weiterhin mit Google im Dialog zu bleiben.