Das Datenschutz-Blog

Den ein oder anderen mag es überraschen, aber aus gutem Grund schreibe ich zur Zeit nichts zu den “Skandalen” bei der Telekom rund um den Datenschutz.

Dazu nur drei kurze Ausführungen:

1. Muss man die peinlichen (Re-)Aktionen des Vorstands nicht kommentieren, wenn die jetzt “besser schützen” wollen – das kann jeder mit Durchschnitts-Verstand schon selbst bewerten,
2. darf man darauf vertrauen, dass die genannten Zahlen stetig steigen werden, aus den erst 17 Millionen Daten wurden ja inzwischen schon 30 Millionen Daten (siehe heute Heise),
3. die Tagespresse berichtet ausführlich und täglich, sop dass ich nicht die Gefahr sehe, dass eine Informationslücke entsteht, wenn ich mich hier etwas zurück halte.

Letztlich wäre auch jeder (wertende) Artikel hier auch nur eine Momentaufnahme, da schon am nächsten Tag wieder irgendwas (vorhersehbares) eingetreten bzw. bekannt geworden sein kann. Deswegen gibt es zur Zeit hier keine näheren Ausführungen dazu, aktuell gibt es bei der Tagesschau erstmal ein nettes Dossier dazu falls man doch noch was dazu lesen möchte.

Ich bin überrascht aber freue mich: Mein Blog ist im Wikio Ranking der Blawgs auf Platz 1 gestiegen. Für ein privates Projekt gar nicht so übel

Ich lese gerade was bei Golem über “Gamestop” und wie erfolgreich die mit gebrauchter Software handeln. Ich kenne diese Kette, weil in Düren ebenfalls eine Filiale von denen existiert – als ich hier beim Ausmisten einmal mehrere Spiele gefunden hatte und dort verkaufen wollte, eröffnete man mir, dass ein Ankauf nur möglich ist, wenn ich meinen Personalausweis dabei habe. Man wollte sich dann Perso-Nummer und die vollständige Anschrift notieren. Einen Hinweis, wozu die Daten gebraucht werden gab es ebenso wenig, wie einen Gewährleistungsausschluss. Ich bin damals unverrichteter Dinge wieder gegangen und habe keinen Fuß mehr in den Laden gesetzt – es liegt an jedem selbst, ob man sowas fördert oder nicht.

Ich jedenfalls lasse  mir nicht erklären, dass zum privaten Verkauf von Software ein Personalausweis nötig ist – beim Verkauf auf einem Flohmarkt habe ich dann ohnehin einen höheren Preis erzielt. Lasst euch wegen ein paar Euro nicht vorführen und entscheidet im Einzelfall, ob es sich lohnt seine Daten herzugeben.

Ich stelle gerade fest, dass der Bayrische Rundfunk (BR-Online, Mittagsmagazin) nach hier verlinkt und auf den Bereich “Die 10 Gebote zum Datenschutz” aufmerksam macht. Da sage ich doch mal danke und freue mich über die Anerkennung.

Meine Analyse stimmt ja schon: Irgendwie ist es doof, wenn man nix zu meckern hat. Trotzdem bin ich nach meiner Ankündigung, bei Boels zu testen wie man reagiert, eine Mitteilung schuldig und sie haben es ja auch verdient, wo es doch positiv ist:

Nachdem ich mein Geld erhalten und das Gerät übergeben habe, wurde ich unaufgefordert gefragt, ob ich meine Ausweiskopie erhalten möchte. Nachdem ich sie in Empfang genommen habe und fragte, wie es mit dem Kundendatensatz aussieht, wurde mir freundlich und mit offensichtlich viel Zeit erklärt, dass die Daten zwar gespeichert sind, aber nach spätestens 6 Monaten automatisch gelöscht werden. Früher ist es auf Wunsch möglich, so aber steht es mir leichter offen, problemlos (ohne Ausweis) nochmal was zu mieten. Da ich das wahrscheinlich in 1-2 Monaten sogar tun muss, bleiben die Daten drin und ich bin zum ersten Mal beeindruckt. Also: Lob, Lob.

Heute habe ich folgende Email an “datenschutz@saturn.de” geschrieben:

Sehr geehrte Damen & Herren,

Ich war kürzlich in einer Saturn-Filiale, dort begrüsste mich am Eingang ein grosses Schild mit der Aufschrift (sinngemäß): “Fotos in dieser Filiale sind verboten”.

Zeitgleich aber musste ich feststellen, dass jeder meiner Schritte in der Filiale von Kameras beobachtet wurde. Dabei wurde mir nichtmal mitgeteilt, ob nur beobachtet wird oder sogar aufgezeichnet. Und wenn letzterer Fall: Wie lange aufgezeichnet wird.

Finden Sie nicht, dass sich hier eine Schieflage ergibt zwischen der Art, wie ich als Konsument behandelt werde, und dem was sie sich als Filiale erlauben? Ich empfinde das schon sehr unfair und freue mich über eine kurze Stellungnahme.

Mit freundlichen Grüßen
Ferner

Ich erwarte eine Antwort darauf und werde hier berichten.

Update vom 27.7.08: Gar nicht überraschend habe ich leider keine Antwort erhalten. Nichtmal eine Bestätigungsmail, dass ich überhaupt etwas geschrieben habe. Ich habe heute einfach die Mail nochmals hingeschickt – jedenfalls werde ich nicht aufhören, bis ich irgendwas von dort bekomme, denn ich bin neugierig, was man überhaupt antworten wird. Eine nicht Kritik-fähige Antwort kann ich mir bei der unfairen Fragestellung jedenfalls momentan gar nicht vorstellen.

Am 17.5.08 habe ich von der Norisbank unverlange Werbung erhalten, Kontakt hatte ich zu denen meines Wissens noch nie. Am gleichen Tag ging mein schriftliches Auskunftsbegehren raus, mit Fristsetzung auf den 30.5.08. Innerhalb der Frist gab es keine Reaktion, also habe ich den zuständigen Sächsischen Datenschutzbeauftragten eingeschaltet. Der hat mir am 17.6.08 geschrieben, dass er die Norisbank ermahnt hat, sich um mein Anliegen zu kümmern.

Heute ist der 26. Juli 2008. Reaktion der Norisbank: Keine. Am Montag geht also wieder was an den Sächsischen Datenschutzbeauftragten raus.

Eine Interessante Frage, die ich in der Praxis nun bei Boels und ATU testen werde. Wobei ich lange warten musste, um endlich meinen ATU-Test beginnen zu können. Es geht um die Frage, wann der §35 II Nr.3 BDSG Anwendung findet: Der schreibt vor, das Daten zu löschen sind, wenn ihre Kenntnis für die Erfüllung des Zwecks nicht mehr notwendig sind, zu dem sie erhoben wurden.

Mir ist bei ATU schon vor langem aufgefallen, dass man da bei seinem ersten Auftrag seine Daten hergibt, und die wohl dauerhaft gespeichert werden. Dabei hatte ich seinerzeit in Alsdorf mal einen Auftrag erteilt, und in Eschweiler konnte man Jahre später (!) diese Daten abrufen.

Beitrag weiterlesen »

Ich wurde bei einem Blog-Voting nominiert und bitte mal kurz um eure Stimme hier: Abstimmung. Ich bezweifle zwar stark, gegen jemanden wie den Spiegelfechter eine Schnitte zu haben, aber irgendwo trage ich ja doch Sportsgeist in mir

Update: Auf der dortigen Seite läuft Google Analytics, was mir leider anfangs nicht aufgefallen ist.

Kurzer Hinweis: Ich habe meine Datenschutzerklärung einer CC-Lizenz unterstellt. Wer Sie also als Vorlage nutzen möchte, darf sich frei bedienen – die Lizenzbedingungen aber bitte beachten. Die sind bewusst so gewählt, da ich regelmässig an der DSE arbeite und sie überarbeite; Jeder der sie (ob direkt oder indirekt) als Vorlage nutzt muss zwingend wissen wo sie herstammt und kontrollieren, ob sie sich ändert. Ab sofort werde ich wesentliche Änderungen auch in Artikeln kommentieren, damit sie für Verwender sichtbar sind.

Die DSE darf zwar auch kommerziell genutzt werden, das wird aber nur selten sinnvoll sein. Wer als Unternehmen eine DSE nutzen möchte, sollte sich immer fachlichen Rat holen.

Kleiner Hinweis in eigener Sache: Ich lade ein nach Langerwehe zum “Datenschutz-Konvent”. Das Konvent ist ganz bewusst so formlos wie möglich angedacht, im Vordergrund stehen direkte Kommunikation und Information bei möglichst einfacher Teilnahme.

Hinweis: Ich habe eine Webseite dazu eingerichtet.

Der Gedanke dahinter ist klar: Das Thema Datenschutz soll “aufs Land” transportiert werden. Mich selbst nervt es schon länger, dass es regelmässig Seminare zum Thema gibt (die ich notgedrungen auch besuche), die aber nicht nur viel zu teuer sind, sondern mit der Lebenswirklichkeit teilweise nur bedingt zu tun haben. Auch findet kaum echter Austausch statt.

Ich habe nun hier im Dorf einen Raum besorgt, der für immerhin 35 Personen reicht. Für Kaffee ist natürlich gesorgt. Sollten sich mehr Menschen anmelden, kann ich problemlos grössere Räume besorgen. Es gibt keine Teilnahmegebühr oder ähnliches; Das Ziel ist schlicht, dass Datenschützer, Betriebe und Bürger aufeinander treffen und sprechen können. Terminiert ist das Ganze für den 26.9.08 ab 19.00 Uhr.

Das Motto: Wer Fragen zum Thema Datenschutz hat soll auf die treffen, die Antworten haben.

Ich hatte vor einiger Zeit schon mal in Langerwehe zur Demo gerufen, als es gegen die Vorratsdatenspeicherung ging – damals kamen immerhin 7 Leute zusammen, die sich interessiert austauschten und einen netten Abend verbrachten. Im Nachhinein muss ich feststellen, dass es zwar eine der kleinsten, aber auch mit Abstand schönsten Veranstaltungen zum Thema war, die ich bisher erleben durfte. Abgesehen davon halte ich ohnehin nichts von diesen “grösser besser am meisten”-Veranstaltungen.

Daher freue ich mich, wenn sich aktive Datenschützer, Bürger und Betriebe (nicht nur) aus der Region Aachen/Düren für ein Treffen erwärmen können. Wer Interesse hat, schickt einfach eine Mail (jf@datenschutzbeauftragter-online.de) oder ruft an. Ich freue mich schon jetzt auf einen netten Abend.

In der aktuellen NJW findet sich ein Leserbrief von Patrick Breyer zum Thema Videoüberwachung, der sehr lesenswert ist. Ich möchte hier darauf hinweisen und empfehle eine Lektüre.

Zugleich kündige ich eine Replik von mir an (die von der NJW sehr wahrscheinlich nicht abgedruckt werden wird), da ich leider einige Kritikpunkte sehe. Dazu nur ganz kurz von mir vorab: So verweist Breyer u.a. auf das Urteil 1 BvR. 2368/06 des BVerfG und führt dazu aus:

Auch das oberste deutsche Gericht hat eine Videoüberwachung nur dann für zulässig erklärt, wenn ein “hinreichender Anlaß besteht” und die Maßnahme “in räumlicher und zeitlicher Hinsicht” begrenzt ist.

Das ist so leider nicht korrekt, ich zitiere aus dem Urteil, Randnummer 56:

Es ist nicht ausgeschlossen, dass eine Videoüberwachung öffentlicher Einrichtungen mit Aufzeichnung des gewonnenen Bildmaterials auf der Grundlage einer hinreichend bestimmten und normenklaren Ermächtigungsgrundlage materiell verfassungsgemäß sein kann, wenn für sie ein hinreichender Anlass besteht und Überwachung sowie Aufzeichnung insbesondere in räumlicher und zeitlicher Hinsicht und im Hinblick auf die Möglichkeit der Auswertung der Daten das Übermaßverbot wahren.

Wie ich vor kurzem schon ausführte: Eine pauschale Stellungnahme zu Kameras verbietet sich. Man muss den Einzelfall bewerten, dabei ist die Frage, ob “nur” Beobachtet wird oder auch aufgezeichnet wird ein wichtiges Kriterium – das das Bundesverfassungsgericht ausdrücklich in dem zitierten Abschnitt festgehalten hat. Das BVerfG hat in seinem Urteil 1 BvR 2368/06 deutlich gemacht, dass zwischen Beobachtung und Aufzeichung unbeding tzu unterscheiden ist, deutliche Worte dazu aus Randnummer 52:

Das Gewicht dieser Maßnahme wird dadurch erhöht, dass infolge der Aufzeichnung das gewonnene Bildmaterial in vielfältiger Weise ausgewertet, bearbeitet und mit anderen Informationen verknüpft werden kann.

Ebenfalls anzureissen ist, dass -entgegen aller Behauptungen- das AG Hamburg der Cafe-Kette Balzac gerade nicht verboten hat, “seine Kunden zu beobachten”, sondern eine gezielte Aussage getroffen hat:

Die Beobachtung des Kundenbereichs, der darauf ausgelegt ist, dass die Kunden dort länger verweilen, verstößt gegen das Grundrecht auf informationelle Selbstbestimmung der Kunden und ist daher unzulässig.

Ob man deswegen nicht auch den Kassenbereich oder Eingangsbereich beobachten darf ist eine andere Frage.

Und auch wenn es mir fernliegt, pro Kameraüberwachung zu argumentieren (was ich auch nicht tue wenn man genau liest), gilt es dennoch, genau zu sein. Nicht zuletzt, um Betroffene nicht in falscher Sicherheit zu wiegen. Insbesondere sollte vermieden werden, dem BVerfG eine Aussage in den Mund zu legen, die in dieser Deutlichkeit (leider) noch nicht getroffen wurde und konträr zum leider viel zu deutlichen §6b BDSG stehen würde.

Ich habe eine neue Aufklärungsseite ins Netz gestellt (ich habe mehrere zu verschiedenen Themen). Die jetzige geht auf einen Leser zurück, der meinte so etwas fehlt. Da ich selbst gerne mit Provokation arbeite, habe ich eine Wortwahl getroffen, die zu viel Kritik führen wird – aber gleichzeitig helfen wird das Thema Datenschutz nochmal der breiten Masse zuzuführen, die bis heute, trotz ausuferndem Überwachungsstaat und Telekom-Skandal, m.E. nicht wirklich viel mitbekommt. Es geht um http://www.daten-prostitution.de/, eine Seite die mir sicherlich wieder Berge “netter” Mails beschehren wird.

Der größte Dummsinn, den ich leider immer häufiger auch unter Bürgern feststellen muss, ist der Ausspruch “Wer nichts zu verbergen hat, hat auch nichts zu befürchten” – die erweiterte Fassung von “Ich habe nichts zu verbergen”. Hier meine Gedanken zu diesem Konstrukt, vielleicht hilft es dem ein oder anderen, nochmals darüber nachzudenken. Dazu hier ein Buchtipp, klingt ganz gut.

Hinweis: Dies ist ein älterer Artikel aus meinem früheren Blog, den ich hierhin kopiert habe um ihn zu erhalten. Beachten Sie dazu bitte auch diese Beiträge von mir:

• Gefunden: Ich habe nichts zu verbergen (Auseinandersetzung mit einem Eintrag)
• PGP/GPG und die Ermittlungsbehörden

Beitrag weiterlesen »

Ich kritisiere seit jeher die unbekümmerte Übermittlung von personenbezogenen Daten an Dritte, die heute im Internet vollkommen üblich ist: Sei es im Rahmen von externen Analyse-Tools oder Werbung. Normalerweise wird entweder ein javascript eines externen Anbieters in die eigene Webseite eingebaut oder auch einfach nur eine Grafikdatei, die von einem externen Server geladen wird. Darüber werden dann die Zugriffe des Nutzers direkt beim externen Anbieter erfasst, u.a. mit Referer und IP. Angeblich geht es auch nicht anders, dies soll das einfachste und somit beste Verfahren sein. Das ist falsch.

Beitrag weiterlesen »