Datenschutz-Blog

Seit heute ist hier im Datenschutz-Blog eine Werbeanzeige enthalten. Mit dieser Werbeanzeige vom und für den Haufe-Verlag mache ich eines deutlich (und somit auch der Haufe-Verlag): Die Mär von der Unmöglichkeit, Werbung Datenschutzkonform zu schalten, ist vorbei. Die Anzeige nutzt ein GIF-Bild, kein Flash - somit gibt es keine versteckten Flash-Cookies. Das Bild liegt lokal und ist via a-Link verlinkt - keine Möglichkeit der externen Benutzeranalyse, keine Möglichkeit, die Besucher der Webseite auszuspionieren, kein Javascript etc.

All dies muss man heute angeblich unternehmen, um Werbung auf seiner Webseite schalten zu können. Ich beweise hier nun, dass dies Unsinn ist. Es geht problemlos auch ohne, solange man sich Werbepartner aussucht, die auch die notwendige Sensibilität mitbringen.

Sicherlich macht es das schwieriger und langwieriger, einen Partner zu finden - doch darf dies nicht zu Lasten der eigenen Besucher gehen. Ich hoffe, hiermit ein kleines Zeichen gegen die spionierenden Werbeanzeigen gesetzt zu haben.

Das Bundeskabinett hat den neuen Personalausweis beschlossen - damit muss er jetzt noch durch das übliche Gesetzgebungsverfahren. Aus der Mitteilung der Bundesregierung:

Der neue elektronische Personalausweis ist kleiner, handlicher und macht das Leben leichter

Ganz so einfach möchte ich es mir nicht machen und gebe kurz ein paar Hinweise.

Read the rest of this entry »

Der Spiegel weiss interessantes zu dem traurigen Fall zu berichten, der als “Holzklotz-Fall” Schlagzeilen machte:

Der tödliche Holzklotz-Anschlag in Oldenburg zeigt, wie selbstverständlich sich Fahnder mittlerweile der massenhaften Auswertung von Telefondaten bedienen.[…] Der Täter muss also gegen 20 Uhr auf der Brücke gewesen sein, das ist vorerst alles, was die “Sonderkommission Brücke” über ihn weiß. Es ist nicht viel, und deshalb startet die Oldenburger Polizei eine technisch zeitgemäße, aber juristisch umstrittene Operation: Sie beginnt mit einer digitalen Großfahndung, die sich einen Gegenstand zunutze macht, den heutzutage nahezu jeder mit sich führt - das Mobiltelefon.

Bis zu 10.000 Menschen geraten in diese Fahndung, ein Dutzend von ihnen werden zu Beschuldigten erklärt und ihre Gespräche abgehört. Die meisten sind unbeteiligte junge Leute,[…] Reicht schon der vage Verdacht, dass der Täter in der Nähe eines Tatorts auch telefoniert hat, um Tausende von Unbeteiligten Teil einer Großfahndung werden zu lassen, wie die Staatsanwälte und Polizisten meinen?

Wer wirklich anonym surfen möchte, kann das mittels “Torpark” schnell und einfach: Nichts installieren oder konfigurieren, sondern einfach entpacken und loslegen. Torpark selbst hat zwar eine schwierige Zeit hinter sich (F!xmbr berichtete), jedoch hat der Foebud das Ganze neu aufgelegt.

Vom Foebud wird es einerseits als “PrivacyDongle” angeboten, das ist ein USB Stick den man kauft und einfach nur einstecken muss. Genauso gut kann man sich die Software aber auch kostenlos dort kopieren und selber auf einen USB-Stick packen. Wer einfach nur hin und wieder anonym surfen möchte, braucht auch keinen USB-Stick, man kann es überall entpacken und dann ausführen.

Read the rest of this entry »

Via Weblawg wurde ich auf einen Leitfaden der Bitkom zum sicheren Löschen von Dateien aufmerksam. Der Leitfaden ist zwar sehr gut, leider aber bleibt am Ende der ratlose Leser zurück mit der Frage “Wie lösche ich denn nun sicher?”. Daher hier kurz zwei Software-Hinweise:

1. Die kommerzielle Safe-Erase Lösung von O&O ist sehr gut, kostet aber - momentan gibt es die Version 3 aber kostenlos zum Download bei SternTV hier. Die Chance würde ich nutzen solange sie besteht.
2. Im Opensource Bereich ist das kostenlose Tool Eraser ansonsten meine Empfehlung.

Es mehren sich jetzt die Meldungen hinsichtlich des Vorwurfs an StudiVZ, die Facebook-Geschichte einfach nur kopiert zu haben. Ein alter Screenshot wird da bei Golem in den Kommentaren rausgesucht, der pikanterweise in PHP-Fehlermeldungen entlarven soll, dass einst das Verzeichnis der Webseite als “fakebook” bezeichnet war.

Zu dem Screenshot aus dem Jahre 2006 gibt es gleich ein paar Links, ich möchte hier aber auf die Frage eingehen, ob es gefälscht ist: So merkt ein Kommentator bei Golem zurecht an, dass der PHP-Parser zeilenweise arbeitet und somit im Screenshot die Meldung der Zeile 1265 vor Zeile 1231 ausgeschlossen ist.

Jedenfalls dies kann ich hier verneinen: Es kann auch beim PHP-Parser vorkommen, dass eine Fehlermeldung eine Zeile vor einer anderen nennt, obwohl die im Code erst später kommt. Erklärung: Der Aufruf von später definierten Funktionen, so erreicht man den Effekt etwa auch mit diesem Codeschnippsel:

<?php
error_reporting(E_ALL);
test();
$test[test2]=4;
function test()
{
$test[test1] = 5;
}
?>

Zu sehen live dann hier.

Damit ist nicht bewiesen, ob der Shot echt ist oder nicht, aber jedenfalls dieses Argument kann nicht für die Behauptung stehen, dass der Shot eine Fälschung ist. Ich rechne damit, dass das Thema in den nächsten Tagen hochkocht und wollte es hier daher schonmal “präventiv” behandeln.

Weitere Links zu dem Screenshot sind der Beitrag bei Psychosaka,  das originale Bild bei Flickr, sowie der Beitrag bei Robert Basic (alles um 2006 rum).

Der unter anderem für das Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hatte in zwei Fällen darüber zu entscheiden, inwieweit es Unternehmen verboten ist, Waren oder Dienstleistungen mittels Telefaxschreiben oder E-Mail nachzufragen.

Hinweis: Dieses Urteil ist sehr wichtig und stellt fest, dass durch die Bekanntgabe von Fax-Nummern und Mail-Adressen in “öffentlichen Verzeichnissen” eine Einwilligung in Werbe-Zusendungen darstellt. Der BGH dazu (weiter unten):

Die Faxnummer und die E-Mail-Adresse eines Unternehmens seien gerade dazu bestimmt, Anfragen hinsichtlich des Waren- oder Leistungsangebot entgegenzunehmen.

Jedoch differenziert der BGH stark nach Inhalt der Webseite und dem konkreten Angebot.

Read the rest of this entry »

Kurzmeldung zum selber lesen: Wer wissen will, was so in etwa auf uns zurollt (wenn es nach der Bundeskanzlerin und den Ministerpräsidenten der Länder geht), der klickt mal auf Deutschland-Online.de. Dort findet man den aktuellen Aktionsplan und die “weiteren Vorhaben” in Sachen Erfassung der Deutschen und Ihrer Daten. Da findet man u.a. (sehr positive) Darstellungen zu den -nicht immer bekannten- Projekten:

• Infrastruktur
• Standardisierung
• Kfz-Wesen
• Personenstandwesen
• Meldewesen
• Dienstleistungsrichtlinie
• Amtliche Statistik
• BAföG
• Deutsches Signatur- und Kartenforum
• EU-Benchmarking
• Geodaten
• Gewerberegister
• Justizregister
• SAFE
• VEMAGS
• Verbund Internetportale / Zuständigkeitsfinder
• XAusländer

Gut zu wissen, dass man sich um uns sorgt. Beim EU-Benchmarking findet man eine Ankündigung, die man angesichts der bisherigen Maßnahmen und der aufgezeigten Projektvielfalt schon fast als Drohung verstehen könnte:

In der wichtigsten europäischen Vergleichsstudie über nationale E-Government-Angebote, die von der EU-Kommission jährlich durchgeführt wird, liegt Deutschland 2007 bei den beiden wichtigsten Indikatoren auf Platz 10 […] Aufbauend hierauf gibt es die Zielsetzung, bis 2010 diese Platzierung weiter zu verbessern und eine Spitzenposition in Europa zu erreichen. […] Hierfür müssen Bund, Ländern und Kommunen zusammen arbeiten.

Ich habe bereits in dem Beitrag zum Thema “Konsequenz aus IPs als personenbezogenes Datum” geäußert, das man vorsichtig sein muss, wenn die eigene IP in “dubiosen Logfiles” auftaucht. zu denken ist etwa, dass ein übereifriger Staatsanwalt die (nur einmalig) auftauchende IP in einem Logfile für Ermittlungsverfahren zum Anlass nimmt. Das gibt es heute bereits und ist heftigster Kritik ausgesetzt.

Neben dem Laden von externen Bildern auf Webseiten stellt sich dieses Problem aber auch beim so genannten “Prefetching”, wenn also der Browser automatisch Webseiten im Hintergrund lädt, obwohl man diese gar nicht aufgerufen hat. Im FireFox ist das aber eine versteckte und von Beginn an aktivierte Option, dazu aus dem FireFox-Wiki:

Link-Prefetching ist eine Technologie, mit der verlinkte Webseiten schon im Voraus geladen werden. […] Ein zweites Problem ist, dass Daten zu einer Webseite gesendet werden, obwohl diese nicht aufgerufen wird. Dadurch könnten eventuell persönliche Daten über den Benutzer ermittelt werden.

Korrekt, und darum sollte man es vielleicht abschalten. Dazu in die FireFox-Adresszeile einfach “about:config” eingeben, kurz den Warn-Hinweis bestätigen und dann nach “network.prefetch-next” suchen. Ein Doppelklick schaltet es dann aus.

Die genauen Details dazu findet man im Mozilla-Development-Center, hier nachzulesen. Bitte beachten, dass von Haus aus nicht jeder <a>-Tag verfolgt wird, sondern nur entsprechende <link>-Tags, scheinbar gab es da Mißverständnisse. Anders ist dies, wenn man AddOns wie FasterFox einsetzt, aber auch hier kann man selber einstellen, was geladen werden soll und was nicht.
Harmloser ist das deswegen aber nicht, da man nicht weiß, wo das Tag eingebaut wird - wer bei Google etwas sucht, wird z.B. feststellen, dass die Google-Ergebnisse mit dem Prefetch-Tag mitunter verziert sind. Im Jahr 2005 hat Google die Unterstützung für Prefetch-Links aufgenommen.

Bei dem Urteil des BGH, eben von mir hier Infos eingestellt, ergibt sich zwischen den Zeilen ein Problem. Man lese den Absatz zur Angabe des Geburtsdatums nochmal in Ruhe:

Die Angabe des Geburtsdatums dient der Zweckbestimmung des Vertrags des Beklagten mit dem Verbraucher (§ 28 Abs. 1 Satz 1 Nr. 1 Alt. 1 BDSG).*** Schon angesichts der Vielzahl der Teilnehmer am Payback-Programm gehört eine praktikable und gleichzeitig sichere Methode der Identifizierung der Programmteilnehmer zu den Vertragszwecken. Die Angabe des vollständigen Geburtsdatums ist bei einem Bonusprogramm, welches nach den Feststellungen des Berufungsgerichts rund dreißig Millionen Teilnehmer hat, zur Vermeidung von Identitätsverwechslungen in besonderer Weise geeignet.

Datenschützer sagen schon länger, dass man Daten wie ein Geburtsdatum bei einem Vertrag nicht wahrheitsgemäß angeben muss - wenn die daten nicht gebraucht werden, so etwa Dr. Thilo Weichert in der Welt:

Es ist übrigens auch zulässig, Fantasieangaben zu machen, wenn die Informationen für den Vertragsabschluss nicht unbedingt gebraucht werden.

Das Problem ist nur, siehe oben, dass der BGH sagt, Rabattkarten brauchen das Geburtsdatum zur Identifikation. Man sollte sich also hüten, bei PayBack & Co. ein falsches Datum anzugeben. Und wer dies bereits getan hat, sollte nochmals drüber nachdenken. Mit der Argumentation des BGH jedenfalls lässt sich nicht mehr klar differenzieren, wann überhaupt noch Daten überflüssig sind - die Rabattkarten-Herausgeber verfügen ja u.a. auch noch über die Anschrift der Verbraucher. Wirklich viel Platz für “überflüssiges” verbleibt da, dank dem BGH, nun nicht mehr.

Folgend die Mitteilung des BGH zum heute gesprochenen Urteil hinsichtlich der Datenerhebungs-Klauseln bei PayBack. Dazu bitte auch den Beitrag beachten: Lügen nicht mehr erlaubt dank dem BGH?

Der Kläger ist der Bundesverband der Verbraucherzentralen und Verbraucherverbände. Der Beklagte unterhält das Kundenbindungs- und Rabattsystem “Payback”. Der Kläger nimmt den Beklagten im Wesentlichen auf Unterlassung der Verwendung dreier Klauseln in Anspruch, die dieser in Papierformularen verwendet, mit denen sich Verbraucher zur Teilnahme am Rabattprogramm anmelden können. Das Berufungsgericht hat die Verwendung der Klauseln nicht beanstandet.

Read the rest of this entry »

Die SPD hat ja momentan das ein oder andere Problem, in der Debatte um Sicherheit, Terrorismus und Vorratsdatenspeicherung die Menschen zu erreichen, die noch vor 10 Jahren ihr Klientel gewesen wären. Die Aktion der NRW-SPD in Sachen Meinungsfreiheit wird da sicherlich nicht zuträglich sein:

Krefelder Juso darf kein Forum gegen den Parteichef betreiben: SPD schaltet Beck-Kritiker ab

“Keine Zukunft mit Kurt Beck!” hatte der Juso Philipp Geldmacher getitelt - in einem von der SPD betriebenen Online-Forum. Der Berliner SPD-Zentrale war das zuviel, sie löschte das Forum des Krefelder Jungsozialisten. (Quelle: WDR, ebenfalls Heute.de)

Mir fehlt wegen meiner Klausurphase die Zeit, dazu noch mehr zu schreiben - der nächste Freitags-Kommentar von mir wird sich aber diesmal an die SPD wenden. Und an den Abgeordneten Rix der SPD, der mir vor einiger Zeit erklärte, was er von verfassungswidrigen Gesetzen hält (sowas vergesse ich nicht, Herr Abgeordneter Rix).

Jedenfalls scheint bei der SPD Marketing-Technisch der Tiefpunkt noch lange nicht erreicht: Ein solches Verhalten, in der jetzigen Zeit und im Sommerloch, spricht für echte Genialität. Alleine der Bericht auf 1Live soeben dürfte die NRW-SPD einige Prozentpunkte bei jungen Wählern kosten. Die Hoffnung, das das endlich zu einem Kurs- und Gedankenwechsel bei der SPD insgesamt führt, habe ich längst aufgegeben.

Ich wurde bei einem Blog-Voting nominiert und bitte mal kurz um eure Stimme hier: Abstimmung. Ich bezweifle zwar stark, gegen jemanden wie den Spiegelfechter eine Schnitte zu haben, aber irgendwo trage ich ja doch Sportsgeist in mir

Update: Auf der dortigen Seite läuft Google Analytics, was mir leider anfangs nicht aufgefallen ist.

Bereits seit längerem fällt mir auf, dass als Datenschutzbeauftragte so genannte “IT-Consultants” oder “erfahrene EDVler” auftreten, die vor allem mit “langjähriger Erfahrung” punkten möchten. Ich finde das soweit OK, zumal die mir bekannten Seminare der Szene alle recht Praxisnah sind und ein praktischer Datenschützer ist ein echter Gewinn für jedes Unternehmen.
Dennoch handelt es sich um keine (ausgebildeten) Juristen, was sicherlich kein Weltuntergang ist - gäbe es nicht das Rechtsdienstleistungsgesetz (hier als PDF). Zu Zeiten des Rechtsberatungsgesetzes fand ich die Lage zu kritisch, um es überhaupt anzusprechen, jetzt aber (wo sich in der Tat Möglichkeiten bieten), möchte ich es öffentlich problematisieren: Wie sieht es denn aus, wenn ein (zumindest externer) Datenschutzbeauftragter bestellt wird?

Möchte man den §5 RDG anwenden? Ich sehe das Problem, dass die konkrete Rechtsdienstleistung bei einem aktiven DSB alles andere als nur “Nebenleistung” ist, vielmehr ist es m.E. Hauptleistung. Der §6 RDG wird regelmässig an der Unentgeltlichkeit scheitern, abgesehen davon, dass er zur konkreten Tätigkeit wieder eines Juristen bedarf (Absatz 2). Die §7-8 RDG werden im Regelfall ebenfalls nicht vorliegen, so dass nur die Registrierung nach §12 RDG i.V.m. der Verordnung zum RDG (PDF) verbleibt.

Auf die Schnelle - der Artikel ist jetzt quasi mit der “heissen Nadel” gestrickt - würde ich sagen, man sollte entweder Rechtsanwalt sein, oder sich zumindest registrieren lassen. Wie sieht das die Leserschaft? Bitte nicht politisch motiviert für eine weite Auslegung des §5 RDG plädieren, sondern fundiert argumentieren.

Einige Argumente vorab: Das Argument für eine restriktive Auslegung wäre etwa, dass Datenschutz mehr als nur die technische Analyse ist und sicherlich auch viel mehr, als das reine Abarbeiten von Handbüchern oder Lesen von Kommentaren. Andererseits wäre vielen Juristen die technische Seite schon wieder zu viel und ein bezahlbarer Datenschutz, geschweige denn eine FIrmeninterne Lösung, wäre gar nicht möglich, was nicht im Sinne des §4f BDSG ist, der ja gerade eigene Merkmale mit “Sachkunde” und “Zuverlässigkeit” setzt. Das RDG nutzt ja dabei nicht nur ebenfalls diese Kriterien, sondern geht auf den Datenschutzbeauftragten gar nicht ein, was für eine losgelöste Betrachtung sprechen könnte. Oder will man die Tätigkeit des Datenschutzbeauftragten gar nicht als Rechtsdienstleistung inordnen und so das RDG ganz aushebeln? (Fände ich kritisch, da die Tätigkeit für mich eine klare Rechtsdienstleistung ist - man denke an die Anfragen Betroffener und die konkrete Anwendung von Rechtsnomen, die im Einzelfall erfolgt).

Bereits Anfang des Jahres wurde thematisiert, dass das BVerfG suggerierte, dessen Urteile würden einem Urheberrecht unterliegen. Nach wie vor bleibe ich bei meiner Meinung, dass das UrhG amtliche Dokumente wie z.B. Urteile ausdrücklich “frei gibt”. Sicherlich sind eventuell vorhandene Datenbanken in Ihrer Gesamtheit geschützt, so wie eventuell vorgenommene Formatierungen - der einzelne Text für sich aber steht, aus gutem Grund, frei zur Verfügung. Telemedicus meinte dazu zutreffend:

Das Gericht suggeriert, die Urheber- und Verwertungsrechte an den Urteilen zu besitzen und eine kommerzielle Nutzung ausschließen zu können. Das ist jedoch nicht der Fall.

Leider muss ich heute feststellen, dass man auch in Hessen versucht, anderes zu erklären. Dort findet sich in der Rechtsprechungsdatenbank folgender Hinweis:

Der kostenfreie Abruf der Entscheidungen zur eigenen Information - einschließlich der Nutzung zur individuellen Rechtsberatung, insbesondere durch Rechtsanwälte - ist zulässig. Nicht gestattet ist die Weiterverarbeitung zur darüber hinausgehenden gewerblichen Nutzung und die Nutzung, die nicht ausschließlich zur eigenen Information bestimmt ist.

Das ist meines Erachtens nicht nur falsch, sondern schlichtweg unverschämt.

Meine Plugin-Liste für den FireFox geht in die dritte Runde. Während der 2. Teil leider (fast) nur Erweiterungen für die Version 2 bereithält, gibt es heute wieder Updates, die für alle Interessant sind.

Das Ganze ist inzwischen eine Art Serie bei mir, dazu bitte auch die bisherigen Teile beachten:

• Analysetools an den Kragen
• Safer Surfen mit dem FireFox I
• Safer Surfen mit dem FireFox II

Read the rest of this entry »

In einem am 1.7.2008 verkündeten Urteil hat der 11. Zivilsenat des Oberlandesgerichts zu der Frage Stellung genommen, inwieweit der Inhaber eines Internetanschlusses für die unberechtigte Nutzung einer WLAN-Verbindung durch Dritte einzustehen hat.

Erklärung: Die Entscheidung behandelt den Fall, dass jemand angeblich etwas in einer Tauschbörse angeboten hat - und sich dann darauf beruft, dass jemand drittes dies über sein (offenes) WLAN ohne dessen Wissen und Wollen getan hat Ursprünglich hieß es noch, der WLAN-Betreiber müsse hier Vorkehrungen treffen - das OLG Frankfurt hat dies nun verneint.

Dazu auch dieses Urteil beachten: Strafbarkeit des “Schwarz-Surfens” im ungesicherten WLAN (Update), sowie die Beiträge zum Thema WLAN auf unserer Kanzlei-Seite.

Read the rest of this entry »

Kurzer Hinweis: Ich habe meine Datenschutzerklärung einer CC-Lizenz unterstellt. Wer Sie also als Vorlage nutzen möchte, darf sich frei bedienen - die Lizenzbedingungen aber bitte beachten. Die sind bewusst so gewählt, da ich regelmässig an der DSE arbeite und sie überarbeite; Jeder der sie (ob direkt oder indirekt) als Vorlage nutzt muss zwingend wissen wo sie herstammt und kontrollieren, ob sie sich ändert. Ab sofort werde ich wesentliche Änderungen auch in Artikeln kommentieren, damit sie für Verwender sichtbar sind.

Die DSE darf zwar auch kommerziell genutzt werden, das wird aber nur selten sinnvoll sein. Wer als Unternehmen eine DSE nutzen möchte, sollte sich immer fachlichen Rat holen.

Aktuelle Meldung von Heise:

85 Prozent der Webseiten, die Kontaktformulare als Kommunikationsmittel nutzen, informieren ihre Nutzer nicht über die Verwendung dieser Daten. Das ist das Ergebnis der Studie “Wie Unternehmen im Internet bei Konsumenten Misstrauen säen”[…] Kriterien der maschinellen Analyse: Fragt die Webpräsenz persönliche Daten wie Name, Anschrift und E-Mail-Adresse ab? Ist eine Datenschutzerklärung hinterlegt, die der Nutzer mit höchstens einem Klick vom Kontaktformular aus abrufen kann? […] Bereits Ende 2007 hatte Xamit die Studie “Wissen Sie, was Sie tun? Wissen Sie, wer es noch weiß? - Surfen im Internet” vorgelegt. Auch bei dieser Studie hagelte es Kritik in Sachen Datenschutz: Die meisten Betreiber kommerzieller Websites, die Webstatistiken externer Tracking-Dienstleister wie Google Analytics einsetzen, verraten ihren Besuchern nichts über die damit verbundene Speicherung ihrer Daten. (Die Studie gibt es kostenlos hier).

Bevor nun die Leser hektisch anfangen zu klicken: Ich biete diese Erklärungen hier im Blog in der Tat - auch ohne Kontaktformular und speziell hinsichtlich Mails die mich erreichen.
Ich empfehle sensiblen Bereichen, wie Rechtsanwälten, heute ausdrücklich, gar kein Formular mehr zu verwenden: Trotz ausdrücklicher Hinweise sind zu viele bereit, sensible Daten in Formulare einzutragen und auch ohne SSL-Verschlüsselung abzuschicken. Man sollte seinen (potentiellen) Mandaten hier einfach zur eigenen Sicherheit diese Möglichkeit nicht mehr bieten. Zumal -wie in der Studie richtig angemerkt- manches Formular ohnehin auf den lokalen Mail-Client zurückgreift und damit eine evt. vorhandene SSL-Verschlüsselung umgeht. Wenn der User nur selber eine Mail schicken kann, hat er notgedrungen die Kontrolle was er tut.

Nach der nächsten Woche, wenn ich wieder mehr Zeit habe, werde ich einen Beitrag zur “Datenschutzerklärung” und den vielen Mythen, die sich um sie ranken, schreiben. So zwingend, wie mancher meint, ist sie nämlich gar nicht - und rein deklaratorische Erklärungen entbehren ohnehin jeglicher rechtlicher Grundlage, denn: Entweder es ist eine Einwilligung oder schlichtweg ein gut gemeinter Hinweis.

Kleiner Running-Gag den ich mir angesichts von Problemen bei XING gerade einfach nicht verkneifen kann: XING hat heute seine Datensicherheit erhöht. Nichtmal ich kann mir mehr Kritik erlauben:

Ich habe in einem Artikel folgenden Satz geschrieben:

Abschließend möchte ich eines klar stellen: Ich unterstelle niemanden, auch nicht dem Bundesinnenminister, dass er einen Überwachungsstaat oder die Bürger unterdrücken will.

Da der Artikel gerne gelesen wird, bekomme ich speziell zu diesem Satz häufig kritischen Gegenwind - in der Art, wie es RA Melchior dort in seinem Kommentar sagte:

Wenn der OSM wirklich keinen Überwachungsstaat will - in den er die BRD mit aller Macht zu steuern versucht - was denn sonst ??

Nun, bis heute habe ich auf solche Fragen nicht geantwortet, denn ich denke, meine Position habe ich deutlich genug gemacht. Heute aber lese ich etwas von Günter Wallraff in einem SZ-Interview, das als ergänzende Antwort ganz gut herhalten und meine Position verdeutlichen kann:

Innenminister Wolfgang Schäuble ist nicht korrupt, sondern meint, aus inbrünstiger Überzeugung, dem Staatswesen zu dienen - aber während der Inquisition war der Klerus genauso überzeugt, er würde dem göttlichen Recht zum Durchbruch verhelfen.

Vielleicht ist es jetzt etwas klarer - vor allem auch, warum ich immer wieder betone, dass nur weil der Minister aus Überzeugung handelt und ich ihm gerade nicht unterstelle einen Überwachungsstaat errichten zu wollen, dies sein Verhalten noch lange nicht besser, sondern sogar schlimmer, macht.

Nachdem in Bayern der “Bayerntrojaner” beschlossen wurde, habe ich mir heute in Ruhe den neuen §34d Polizeiaufgabengesetz B angesehen. Aufgrund des Heise-Artikels, der schreibt:

Die bayerische Polizei darf künftig verdeckt auf Informationssysteme von Verdächtigen zugreifen […]

und dem fehlenden öffentlichen Aufschrei gehe ich mal davon aus, dass kaum einer den §34d gelesen hat - oder vestanden hat. Das was Heise.de schreibt ist nämlich nur ein kleiner Teil des Ganzen.

Read the rest of this entry »

Auch wenn ich es erfreulich finde, dass durch die YouTube/Viacom-Geschichte Bewegung in die Einordnung von IPs als personenbezogenes Datum kommt, muss ich nun eine Warnung aussprechen: Wer (so wie ich) dieser Meinung ist, muss die rechtlichen Probleme sehen, die danach kommen.

Wenn die IP nämlich ein personenbezogenes Datum ist, und somit entsprechend §13 TMG einer Einwilligung des Betroffenen zur Erhebung und Übermittlung bedarf, gibt es einige Probleme (die ich schon in meinem ersten Artikel zum Thema dargelegt habe):

1. Javascripts von externen Servern zu laden, etwa um Werbung oder Analysetools einzubinden, wird nicht mehr möglich sein,
2. das Einbinden externer Inhalte ist sogar generell nicht ohne weiteres möglich: Nichtmal Bilder darf man von externen Servern her ohne Einwilligung laden, da somit immer die IP des Nutzers an einen Dritten übermittelt wird - ob der das in seinen Logfiles speichert ist nebensächlich, da die Übermittlung in jedem Fall stattfindet!

Dass das nicht Sinn der Sache sein kann liegt auf der Hand, daher plädiere ich seit langem dafür, das Problem schon jetzt anzugehen. Einer meiner Vorschläge ist eine extensive Auslegung des §11 III TMG, der privilegierungen für “Telemedien, die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen” vorsieht - ich subsumiere hier problemlos nicht nur einen Mailserver, sondern auch einen Webserver, so dass das Einbinden externer Inhalte kein Problem wäre.

Man muss dies nicht unbedingt begrüßen, doch vergrössert sich inzwischen zunehmend der Zwang, sich dieser Frage zu stellen. Solche Ansätze vermisse ich zur Zeit ganz.

Nach der peinlichen Herausgabe der Logdateien an Viacom, von mir hier mit Links kommentiert, finde ich nun beim ORF einen Artikel der beschreibt, wie Google “reagiert”:

Google reagierte auf den Datenschutz-GAU auch indirekt. Der Konzern ließ auf seiner Startseite unter der Suchmaske einen Link zu seiner “Privacy Center” genannten Sammlung von Datenschutzregeln anbringen. […] Im Übersichtsdokument ist unter anderem vermerkt, dass Google zusammengefasste entpersonalisierte Informationen an Drittanbieter weitergeben könnte. Das gelte insbesondere für “juristische Verfahren oder Fälle, in denen es darum geht, Betrug oder andere Schäden zu vermeiden sowie die Sicherheit unseres Werbenetzwerks und unserer Services zu gewährleisten”. […] Google vermerkt an dieser Stelle weiterhin, dass es den Unternehmen beigetreten ist, die auf der Safe-Harbor-Liste von US-Unternehmen stehen. Das Safe-Harbor-Abkommen ermöglicht den Unternehmen auf dieser Liste, Daten zwischen EU-Mitgliedsstaaten und den USA auszutauschen.

Dass Datenschützer sich nun zusehends Sorgen um die Nutzer machen ist alles andere als weit hergeholt - insbesondere da man bei Google anscheinend immer noch nicht von der Ansicht abrücken will, dass eine IP kein personenbezogenes Datum ist. Dies ist speziell deswegen kritisch, da es gerade diese Einschätzung von Google gewesen sein soll, die den Richter bewegt hat, die Datenherausgabe anzuordnen. Frei nach dem Motto: “Ihr sagt ja selber dass es nicht personenbezogen ist…”

Wieder einmal gesammelte News der letzten Woche - diesmal mit Schweden die heiss auf Blut sind, dem Verband Bitkom der mehr Komfort möchte und dem Kuschelkurs der EU und den USA.

Read the rest of this entry »