Das Datenschutz-Blog

Via Kanzlei Hoenig wurde ich auf einen Bericht der taz aufmerksam und vermisse naheliegende Fragen. So liest man bei der taz:

Schon Donnerstag sollen die Sicherheitsbehörden des Freistaats neue Befugnisse zum heimlichen Zugriff auf private Computer bekommen. [...] Die Bayernpolizei soll Daten aus privaten Computern zudem nicht nur kopieren, sondern auch verändern und löschen dürfen.

Nehmen wir mal an, die müssen nicht unbedingt in Wohnungen einbrechen – etwa indem sie einen “Trojaner” via Mail einschleusen oder einen Laptop kurzzeitig greifen können. Zur Erinnerung: Hier handelt der Landesverfassungsschutz. Sind Probleme nicht absehbar, das (teilweise unwissentlich) Betroffene vorhanden sind, die (auch) in einem anderen Bundesland leben? Aufgrund von Proxies/VPN ist es jedenfalls nicht einfach, nur von einer IP auf einen Wohnort zu schließen.

Wie ist es denn, wenn da bei einem Bürger aus NRW durch den Landesverfassungsschutz Bayern “Daten verändert” werden und zeitgleich der Landesverfassungsschutz NRW am Rechner arbeitet? Spätestens seit der Peinlichkeit des gescheiterten NPD-Verbotsverfahrens ist allgemein bekannt, das nicht immer die linke Hand weiß, was die rechte Hand tut – mit dem Schnellschuss und dem aggressiven Vorgehen der Bundesländer bei dem Thema sehe ich daher erhebliche Probleme für die Praxis.

Anmerkung: Wer sich für die Kompetenzverteilung interessiert, sieht in das jeweilige Landesverfassungsschutzgesetz. In NRW (Hippel Rehborn, 12b), findet man etwa im §2 LVsG NW die Abgrenzung.

Golem berichtet heute:

Die Hälfte aller Bundesbürger will der Umfrage zufolge ihren Fingerabdruck im Personalausweis speichern lassen. In einer Umfrage des Magazins Focus sprachen sich nur 40 Prozent gegen diese Möglichkeit aus. Zehn Prozent sind noch unentschlossen. Die Bürger in den alten Bundesländern sind von der Neuerung eher zu begeistern als die Ostdeutschen. 51 der West- und 44 der Ostdeutschen wollen lieber einen Personalausweis mit Fingerabdruck.

Leider gibt Golem keine Hinweise auf die Quelle und den Veranstalter der Umfrage. Insofern ist der Bericht unbrauchbar, denn ich erinnere mich an eine ähnliche Umfrage vor kurzem, bei der die Frage lautete “Wollen Sie einen modernen Personalausweis, der die grösse einer EC-Karte hat (und auf dem biometrische Daten gespeichert sind)?”.

Interessant ist also am Ende die Frage: Wurden die Betroffenen wirklich gefragt, ob sie einen FIngerabdruck hinterlegen wollen oder nicht? Erst dann werden die Motive interessant – für Datenschützer ist das aber gerade kein Rückschlag, denn die monieren ja seit langem, dass ein bewusstsein für das Thema in der Bevölkerung (und Politik) fehlt.

Es gibt Fehler, die laufen einem noch Jahrelang hinterher. Damals, als ich noch mit Netz-ID.de ein recht bekanntes Portal für Webmaster führte, habe ich hin und wieder auch was zu rechtlichen Themen geschrieben. Schon vor Jahren, lange bevor Datenschutz ein Thema war, habe ich auch etwas dazu geschrieben, dass “User sich bzw. ihren Account selbst löschen können müssen”. Hintergrund war ein erster Entwurf eines EGG, den ich so gedeutet habe – die Passage floss aber in der (von mir viel zu weit ausgelegten) Form nie ins TDG, geschweige denn ins TMG ein. Stattdessen findet sich heute im §13 IV TMG folgendes:

Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass der Nutzer die Nutzung des Dienstes jederzeit beenden kann,[...]

Der Nutzer kann dies aber auch tun, wenn man ihm die Möglichkeit eröffnet, um die Löschung eines Accounts zu bitten – etwa indem man eine Mail schickt bzw. über ein Formular im Account um Löschung der Account-Daten bittet. Der §13 IV TMG spricht ja gerade nicht davon, dass der Nutzer “selbst” die Nutzung beenden kann. Insofern habe ich schon vor einiger Zeit meine (streitbare) Auffassung zu dem Thema geändert.

Man findet hin und wieder, sogar mit namentlichem Hinweis auf mich, Einträge zu dem Thema, etwa im Mambers-Forum. Meine fehlerhafte Interpreation sorgte damals leider lange Zeit sogar für eine CMS-Plugin-Welle zum Thema. Interessant ist, dass ich diese Aussage nun auch via Dr. Bahr’s Homepage in einem Schriftstück des Düsseldorfer Kreises zum Thema Datenschutzrechtliche Vorgaben für Web 2.0 Netzwerke finde.

Der zweite Teil meines Freitags-Kommentars, als eigener Artikel. Ich sage hier laut und offen was sich keiner zu sagen traut: Kameras sind nicht böse. Das hätte keiner gedacht von mir.

Beitrag weiterlesen »

Endlich kann ich offen die CDU wählen – nachdem man dort entdeckt hat, dass unsere Umwelt doch ein wenig Schutz verdient hat, ist nun auch der Datenschutz dort ein Thema. Selbst Peter Schaar möchte man nun seitens der CDU wieder wählen. Vielleicht aber hat die CDU doch ein wenig Kritik vedient – es ist Freitag, Zeit für einen meiner typischen Freitags-Kommentare. Diesmal gibt es ihn aber in zwei Teilen, hier der erste Teil.

Beitrag weiterlesen »

Es ist zunehmend ärgerlich und geradezu unverschämt. EInfache Frage: Welche Kommunen nutzen die negativ ins Bild gerückte Meldeamts-Software von HSH? In den letzten tagen hatte man den Eindruck “nur” Berlin/Brandenburg seien betroffen. Inzwischen steht fest, dass auch Süd-West-Deutschland betroffen ist. Ja, auch NRW – das weiss ich aber nur, weil ich danach gesucht habe und dann hier beim WDR den Hinweis gefunden habe, dass Velbert betroffen war.

Beeindruckend: Auf der Webseite der Landesdatenschutzbeauftragten findet man dazu keinerlei Hinweise, auch keine Pressemitteilung. Soll ich bei meiner Gemeinde nun mal selber nachfragen ob die das nutzen? Zur Erinnerung: Das ist die Gemeinde, die ein Schulgelände mit Kameras zupflastert, wird sicherlich eine brauchbare Antwort. Und wie lese ich beim WDR:

In NRW gibt es nach Auskunft von HSH insgesamt neun Kommunen, die mit der fraglichen Melde-Software arbeiten. Um welche Kommunen es sich dabei handelt, will das Unternehmen nicht öffentlich machen: “Wir wollen unsere Kunden nicht noch mehr verunsichern”, sagte Sprecher Kollmorgen.

Ich weiss nicht, ob es im Interesse aller Beteiligten ist, wenn die Kommunen im Land NRW mit Auskunftsklagen konfrontiert werden. So oder so verbleibt die Frage, warum die Landesdatenschutzbeauftragte keine Informationen auf ihrer Webseite dazu bietet. Auch verbleiben Widersprüche, die bisher nicht geklärt wurden und die man nur bemerkt, wenn man aufmerksam die Nachrichtenmeldungen verfolgt hat. Der WDR bringt es auf den Punkt:

HSH habe aber festgestellt, dass in zwei Gemeinden – Potsdam und Hennigsdorf bei Berlin – Daten abgefragt wurden. “Wir gehen davon aus, dass diese Abfrage von ‘Report München’ und dem Brandenburger Datenschutzbeauftragten getätigt wurden”, so Kollmorgen. “Report München” hingegen hatte von fünf Kommunen berichtet, bei denen eine problemlose Abfrage möglich gewesen sei.

Es verbleibt die bittere Erkenntnis: Das Heulen und Schreien ist Groß. Doch selbst unmittelbar nach dem Vorfall ist deutlich, dass man nichtmal in der Lage ist, die Bevökerung ehrlich und umfassend zu informieren, damit Betroffene handeln könn(t)en. Viel zu erwarten ist, auch nach diesem Vorfall, eher nicht. Das fehlende Mediale Interesse und die nur lächerlich geringe Kritik der Presse macht sogar im Gegenteil deutlich, dass das System “Schadensbegrenzung durch Informationsbegrenzung” bei uns in Deutschland bestens funktioniert.

Und wieder ein kleiner wöchentlicher Datenschutz-News-Überblick, diesmal mit getrackten Schulranzen in den USA, Laptops die als Koffer gesehen werden und dem Hinweis, dass auch das Melderegister in dem der Bundesinnenminister steht, von einer “Panne” bedroht sein könnte.

Beitrag weiterlesen »

Wie erwartet wurde gestern vom Bundeskabinett “ELENA” beschlossen. Ich muss jedem empfehlen, Texte dazu (zum Beispiel meinen oder auch beim ULD) selber zu lesen und auf keinen Fall nur auf die Berichterstattung in den Medien zu setzen – die ist teilweise falsch oder verharmlosend. So hat man den EIndruck, es gibt nur eine Karte, auf der bestimmte Daten gespeichert werden. Dass das Ziel von Elena ist, von allen Arbeitnehmern in Deutschland sämtliches Einkommen in einer Datenbank zu erfassen – unabhängig ob man jemals staatliche Leistungen in Anspruch nehmen will, das geht zur Zeit unter.

Diese Daten zum Einkommen werden, anders als vielfach dargestellt, zentral in einer Datenbank gespeichert. Die Daten mögen dort verschlüsselt sein, aber nicht mit den Schlüsseln der einzelnen Betroffenen, so dass nur mit deren Karte ein Zugriff möglich wäre – auch dies wird zur Zeit häufig anders dargestellt. Behörden könnten also auch ohne die Karte des Betroffenen zugreifen.
Einziger “Schutz” ist daher die so genannte “strenge Zweckbindung” – die kennen wir aber schon von den Mautdaten, da dauerte es 3 Monate bis man anfing zu diskutieren, die Daten für andere Zwecke zu nutzen. Gleiches bei TK-Verbindungsdaten, auf die nun die “Musikindustrie” doch Zugriff bekommen soll. Die Analogie zu Kreditinstituten, Gerichtsvollziehern und Inkasso-Firmen drängt sich geradezu auf.

Wer dann später einmal z.B. Prozeßkostenhilfe beantragt, der gibt “frewiwillig” seine Einwilligung, damit die zuständige Behörde prüfen kann, welches Einkommen er in der Vergangenheit hatte. Geradezu eine Farce ist es, dass zur Zeit davon gesprochen wird, dass man die Kontrolle mit seiner Karte hat und diese ja freiwillig hergibt: Erstens wird es die staatliche Leistung (auf die man ja einen Anspruch hat) nicht geben ohne den Daten-Striptease, zweitens liegen die Daten so oder so in der Datenbank. Kontrolle ist da weit entfernt.

Es liegt an jedem Arbeitnehmer, vor allem nach der aktuellen Panne bei den Meldedaten, zu entscheiden, ob er das Risiko eingehen möchte, dass seine gestamen EInkommensverhältnisse durch einen “Lapsus” bekannt werden. Oder dass ein Mitarbeiter der verwaltenden Behörde mal Geld braucht und ein “paar Datensätze” an eine Auskunftei verkauft. Modern ist ja auch der Verkauf an Drittstaaten, wie man in Liechtenstein gesehen hat – ein Käufer lässt sich auf jeden Fall finden.

Anmerkung: Dabei sollte jedem klar sein, dass die schon vorher eingeführte Steueridentifikationsnummer, die jeder Bundesbürger erhält (vom Säugling bis zum Greis), hier bei Elena mit gespeichert werden muss – schliesslich ist sie Teil der Arbeitgeberbescheinigungen. Damit entsteht bereits das erste vollständige Netz und man sieht, wie schön eine eindeutige ID für jeden Bundesbürger dabei hilft.

Zugegeben, ich dachte, mich schockt nichts mehr. Doch in Zeiten von Lidl- und Telekomskandal, den folgenden Satz von einer Schulleitung zu hören, die 4 Kameras an ihrer Schule hat, die rund um die Uhr filmen und die Aufnahmen 5 Tage speichern, das war auch für mich zu viel:

Eine Schande, dass wir offen auf die Überwachung hinweisen müssen – heimlich wäre doch viel effizienter.

Die Datenschutzbeauftragte NRW hat den zu Grunde liegenden Vorgang seit Januar auf dem Tisch liegen. Nicht dass ich mal Feedback erhalte. Was ist schon die laufende Überwachung von über 1000 Schülern…

Update: Ich hatte inzwischen Kontakt zur zuständigen Mitarbeiterin; Die Sache wird noch bearbeitet, dort ist momentan einfach zu viel aufgelaufen. Von daher Verständnis und gleichzeitig Kritik an die Landesregierung, dass man die Behörde vielleicht etwas besser ausstatten sollte.

Das Thema “ELENA” rückt immer näher, heute berät das Bundeskabinett darüber. Schockierend, wie wenige begriffen haben, was da auf uns zurollt. Die Tagesschau hat das Thema sehr gut und kurz aufbereitet, ich persönlich habe keine Zweifel, dass ELENA so wie geplant umgesetzt werden wird.

Links dazu:

• Bericht bei der Tagesschau
• Artikel von mir dazu

Bei SPON ist ein sehr schöner Artikel zu lesen zum Thema “Geschäft mit gefälschten Kreditkarten”:

Globale Banden haben das Geschäft mit gefälschten Kredit- und EC-Karten entdeckt. Alles, was sie dafür brauchen, gibt es im Internet zu kaufen – geheime Daten inklusive. [...]

Das volle Ausmaß des globalen Betrugs wird bei den Datenmassen deutlich, die den Tätern zur Verfügung stehen. Erst vor wenigen Wochen entdeckte eine amerikanische Computer-Sicherheitsfirma einen sogenannten Crimeserver: einen Rechner mit Standort in Malaysia, registriert auf einen Russen, gespickt mit 1,4 Giga-byte gehackten Daten aus der gesamten Netzwelt, darunter auch Versicherungsnummern, geschäftliche E-Mails und Kreditkartendaten.

Das Bayerische Landeskriminalamt berichtet vom gehackten Server einer Fluglinie, in Hamburg bearbeitet das Landeskriminalamt den Fall des geknackten Online-Shops der Firma Kartenhaus Ticketservice GmbH mit 65 992 gestohlenen Datensätzen. Wer ein Ticket der Fluglinie mit seiner Kreditkarte gekauft oder eine Konzertkarte bei Kartenhaus bestellt hat, muss fürchten, dass seine Daten im Netz zum Verkauf stehen.

Leider aber haben viele immer noch nicht begriffen, welche Gefahr dahinter steht: Die geht weit über finanzielle Gefahren hinaus. Zu denken ist daran, dass mit gestohlenen Kreditkarten-Daten illegale Zahlungen vorgenommen werden, die dann z.B. im Rahmen der Operation Yeti oder Mikado zu falschen Verdächtigungen führen.

Nicht ohne Grund habe ich daher Kunden aufgerufen, nicht leichtfertig in so genannten Kunden-Accounts ihre Zahlungsdaten zu hinterlegen, Artikel dazu hier. Und natürlich ist die Speicherung von Zahlungsdaten bei EC-Karten-Zahlung kritisch zu sehen, auch wenn sie offensichtlich einen vernünftigen Hintergrund hat. Den Bericht eines Betroffenen im Alltag gibt es übrigens hier, welche Ausmaße das annehmen kann ist hier nachzulesen.

Jedenfalls Spiegel Online ist lernfähig Während ich hier noch ungereimtheiten mit Blick auf Wikipedia monieren musste, gibt es nun im “Flaggenrätsel” bei SPON (zur Glagge Südkoreas) einen deutlichen Hinweis:

Richtig! Die vier schwarzen Trigramme stammen aus dem “Buch der Wandlungen”, und jedes hat seine eigene Bedeutung. Das Zeichen links oben steht laut Wikipedia für Kraft, [...]

Ich bin begeistert; Passend dazu auch ein Hinweis auf Heise gestern:

Reporter verlassen sich bei der Recherche immer häufiger auf Online-Angebote anderer Medien sowie Suchmaschinen. Dies eröffne mehr Raum für Beeinflussungen, außerdem senke es die Qualität des Journalismus, so das Fazit einer Studie der Landesanstalt für Medien NRW (LfM).

Anmerkung: Dass man recherchiert ist eine Selbstverständlichkeit. Und ich habe auch kein Problem damit, wenn man in der SPON Redaktion auf Wikipedia als Quelle zurückgreift. Dennoch erwarte ich als Leser immer, das Quellenangaben erfolgen, ganz besonders wenn sie aus Wiki-Systemen stammen.

Die Politiker möchten am liebsten immer mehr unserer Daten in einen Personalausweis packen. Ganz vorne stehen dabei biometrische Daten. Warum Datenschützer dagegen sind, lässt sich nun auf Heise nachlesen, die auf einen Skandal ganz neuer Dimension hingewiesen haben:

Bei Einwohnermeldeämtern in Deutschland ist es nach einem Bericht des ARD-Fernsehmagazins Report München zu einer schweren Panne gekommen: Den Recherchen zufolge waren die Daten von Bürgern aus rund 200 Städten und Gemeinden über Jahre hinweg frei im Internet zugänglich.[...] Bei einem Test bei fünf Gemeinden seien binnen weniger Sekunden sämtliche Daten ahnungsloser Bürger geliefert worden – vom Familienstand über das Geburtsdatum bis zur Religionszugehörigkeit. Auch Passfotos der abgefragten Personen seien sichtbar gewesen.

Fakt ist: Es spielt keine Rolle, ob man den Behörden einen potentiellen Mißbrauch unterstellt oder nicht. Die Möglichkeit eines Fehlers und die damit verbundenen Konsequenzen sollten schlichtweg ausreichen um das Prinzip der Datensparsamkeit stringent anzuwenden.

Dazu auch SPON und Tagesschau.de.

Die Regel ist einfach: Entweder eine gesetzliche Norm erlaubt ausdrücklich die Verarbeitung personenbezogener Daten oder man braucht eine Einwilligung. Und wie die Einwilligung auszusehen hat, sagt §4a BDSG. Ein paar warme Worte dazu.

Beitrag weiterlesen »

Ich mache es kurz, Golem berichtet über was neues von der Telekom:

Die Deutsche Telekom hat – offenbar aus Angst vor Hackerangriffen – rund 120 Telefongespräche ihrer Kunden illegal überwacht. Dieser Skandal liegt Jahre zurück, aufgedeckt haben ihn jetzt das ZDF und das Magazin Wirtschaftswoche.

Mehr Details dazu beim Spiegel. Als Datenschützer kann ich mich bei der Telekom nur bedanken: Sie erweist der Aufklärung und Sensibilisierung gerade einen Bärendienst.