Die Orientierungshilfe

Die Datenschutz-Aufsichtsbehörden wollen unterstützend und aktiv den datenschutzgerechten Einsatz von Cloud-Computing fördern. Zu diesem Zweck haben die Arbeitskreise Technik und Medien der Konferenz eine Orientierungshilfe erarbeitet, welche sich an „Entscheidungsträger, betriebliche und behördliche Datenschutzbeauftragte sowie an IT-Verantwortliche“ richtet.

Die Orientierungshilfe enthält einen Katalog von Definitionen rund ums Cloud-Computing, sensibilisiert für die datenschutzrechtlichen Schwerpunkte und enthält insbesondere eine Auflistung von vertraglichen und technisch-organisatorischen Mindestforderungen betreffend die Gestaltung und Anwendung dieser Technologie.

Cloud-Anwender, also die datenschutzrechtlich verantwortlichen Stellen, dürften Cloud-Services nur dann in Anspruch nehmen wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stellen in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutz- und Informationssicherheitsanforderungen geprüft haben (lassen).

Der Nutzen von Cloud Computing

Cloud-Computing hat organisatorische und wirtschaftliche Vorteile. Dazu zählen insbesondere die Skalierbarkeit und die verbrauchsabhängige Bezahlung von Rechenkapazitäten je nach Bedarf. Dies bietet großes Einsparpotenzial in den Bereichen Anschaffung, Betrieb und Wartung von IT-Systemen. Nicht zuletzt ermöglicht Cloud-Computing eine optimierte Verfügbarkeit von Geschäftsanwendungen unabhängig von geographischen Standorten.

Besondere datenschutzrechtliche Risiken

In der Orientierungshilfe werden den Vorteilen von Cloud-Computing entsprechend die datenschutzrechtlichen Schwerpunkte gelegt. Diese „cloud-spezifischen“ Risiken stehen freilich neben den klassischen, wie z.B. durch Schadsoftware oder Angriffe Dritter.

Der datenschutzrechtliche Ausgangspunkt ist, dass Cloud-Anwender verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes sind und damit die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen zu gewährleisten haben.

Gemäß § 3 Abs. 7 BDSG ist eine verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt und allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nimmt ein Cloud-Anwender von einem entsprechenden Anbieter nun Cloud-Services in Anspruch, so wird Letzterer als Auftragnehmer nach § 11 Abs. 2 BDSG tätig. Die Verantwortung für die Rechtmäßigkeit bleibt gemäß § 11 Abs. 1 BDSG beim Anwender.

Die datenschutzrechtlichen Schwerpunkte knüpfen bei dem möglichen Kontrollverlust des Anwenders über die Daten an, wenn sich die Datenverarbeitung nicht mehr vor Ort sondern ausgelagert in der „Cloud“ vollzieht und der Anwender selbst keinen konkreten Zugriff mehr auf die Daten hat. Ab dann kann es nur noch schwer nachvollziehbar sein, wo und auf welchen Systemen die Speicherung, Ausführung und Verarbeitung von Daten erfolgt. Die Unsicherheiten erhöhen sich, wenn der Cloud-Anbieter seine Dienstleistungen und Services selbst bei anderen Anbietern einkauft und damit die Transparenz verloren geht.

Mit der IT wird nicht die Verantwortung ausgelagert

Die Orientierungshilfe legt besonderen Schwerpunkt auf die Gefahr der verantwortlichen Stelle, ihrer datenschutzrechtlichen Verantwortung durch die Auslagerung der IT nicht mehr gerecht werden zu können. Die Stichworte lauten hier: Transparenz, Beeinflussung und Kontrolle der Datenverarbeitung.

Die Dokumentation und Protokollierung der Datenverarbeitungsprozesse erfolgt beim Cloud-Anbieter und ist daher für den Anwender meist intransparent, so dass eine wirksame Kontrolle der Einhaltung der datenschutzrechtlichen Pflichten schwierig ist: Könnten Daten, die am Standort X auf Wunsch des Anwenders durch den Anbieter berichtigt, gelöscht oder gesperrt wurden sind (§ 35 Abs. 1-3 BDSG) unverändert am Standort Y noch weiter existieren? Auch können vermeintlich als anonymisiert angesehene Daten (vgl. § 3 Abs. 6 BDSG) wieder re-identifizierbar werden, wenn bei der Verarbeitung in der Cloud weitere Beteiligte hinzu treten, die über Zusatzwissen verfügen und eine Re-Identifizierung möglich machen.

Die verantwortliche Stelle läuft Gefahr, die Rechtmäßigkeit der gesamten Datenverarbeitung nicht mehr gewährleisten zu können, wozu sie aber gesetzlich verpflichtet ist. Die Orientierungshilfe erinnert dabei an eventuelle haftungsrechtliche Konsequenzen durch Schadensersatzforderungen der Betroffenen und mögliche Maßnahmen der Aufsichtsbehörden, wie Bußgelder und Anordnungen (§ 38 Abs. 5 BDSG), sollten Datenschutzbestimmungen nicht eingehalten werden.

Schwerpunkt: Datentransfers ins außereuropäische Ausland, insb. USA

Finden im Rahmen der Auslagerung von IT-Lösungen Datenverarbeitungen im außereuropäischen Ausland statt, dann gelten grundsätzlich die besonderen Anforderungen der §§ 4b, 4c BDSG. Für Cloud-Computing gelten daher keine Besonderheiten: Besteht in einem solchen „Drittland“ kein von der EU-Kommission anerkannt angemessenes Datenschutzniveau, muss die verantwortliche Stelle (also der Cloud-Anwender) das ausreichende Datenschutzniveau garantieren und vorweisen. Dies kann beispielsweise durch EU-Standardvertragsklauseln oder durch Binding Corporate Rules erfolgen. Der Cloud-Anbieter hat sich dabei zur Einhaltung des EU-Datenschutzniveaus zu verpflichten.

Seit langem gilt die Besonderheit des Safe-Harbor-Agreement mit den USA. Hier hat die Konferenz der Datenschutzbeauftragten nun erstmals konkrete Anforderungen zum Umgang mit US-Cloud-Anbietern festgelegt.

Das Safe-Harbor-Agreement privilegiert datenverarbeitende Unternehmen mit Sitz in den USA, wenn diese sich auf freiwilliger Basis gegenüber dem US-Handelsministerium zur Einhaltung der Safe-Harbor-Grundsätze durch eine Beitragserklärung verpflichten (Stichwort „Selbstzertifizierung“). Abschließend muss eine Datenschutzerklärung veröffentlicht werden. Dies reicht aus, ein „angemessenes Schutzniveau“ zu erlangen. Darüber hinaus muss sich der US-Cloud-Anbieter zur Kooperation mit den europäischen Datenschutzbehörden verpflichten.

Die Orientierungshilfe der Datenschutzbeauftragten verlangt bzw. empfiehlt (je nach Auslegung), dass Cloud-Anbieter und Cloud-Anwender nun eine vertragliche Vereinbarung treffen, die einer Auftragsdatenverarbeitung nach § 11 Abs. 2 BDSG entspricht und so die dort normierten Garantien Gegenstand des Vertrages werden.

Hintergrund ist u.a., dass keine flächendeckende Kontrolle der Selbstzertifizierungen in den USA gewährleistet ist. Sowieso entbehre die Zertifizierung nicht der eigenen Kontrolle. Deutsche Cloud-Anwender müssten vor der ersten Datenübermittlung an ein solches US-Unternehmen prüfen, ob bestimmte Mindestkriterien erfüllt sind. Dies fängt bei der Gültigkeitsprüfung des Zertifikats an und verpflichtet den Cloud-Anwender analog § 11 Abs. 2 Satz 3 BDSG, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

Hervorzuheben ist, dass die oben genannten Anforderungen für alle Verträge zwischen US-Cloud-Anbietern und deutschen Cloud-Anwendern ohne Ausnahme gelten, also auch für schon bestehende Verträge. Da dies noch nicht eindeutig geregelt war, kann die Entschließung der Datenschutz-Aufsichtsbehörden die Anpassung einiger Verträge erforderlich machen.

Schwerpunkt: Technische und organisatorische Aspekte

Die Orientierungshilfe legt einen weiteren Schwerpunkt auf die technisch-organisatorische Infrastruktur. Die Entschließung der Datenschutz-Aufsichtsbehörden legt hier einige Mindest-Standards fest:

• Verfügbarkeit: personenbezogene Daten stehen zeitgerecht zur Verfügung und können ordnungsgemäß von autorisierten Benutzern verarbeitet werden.

• Vertraulichkeit: nur Befugte können personenbezogene Daten zur Kenntnis nehmen.

• Integrität: personenbezogene Daten bleiben während der Verarbeitung unversehrt, vollständig und aktuell. Die Funktionsweise der Systeme ist vollständig gegeben.

• Revisionssicherheit: es kann festgestellt werden, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat.

• Transparenz: die Verfahrensweise bei der Verarbeitung personenbezogener Daten ist vollständig, aktuell und in einer Weise dokumentiert, dass sie in zumutbarer Zeit nachvollzogen werden kann.

Die Mindestforderungen der Konferenz

In der Presseerklärung sowie dem Fazit der Entschließung der Konferenz der Datenschutz-Aufsichtsbehörden wurden nochmals die Mindestforderungen bei der Nutzung von Cloud-Computing-Dienstleistungen zusammengefasst. Zu verlangen sind danach mindestens

• offene, transparente und detaillierte Informationen der Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud-Computing überhaupt in Frage kommt und andererseits Aussagen haben, um zwischen den Cloud- Anbietern wählen zu können;
• transparente, detaillierte und eindeutige vertragliche Regelungen der cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und Interoperabilität für den Fall, dass z. B. wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter „umziehen“ kann;
• die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender;
• aktuelle und aussagekräftige Nachweise (bspw. Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) über die Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere die Informationssicherheit, die Portabilität und die Interoperabilität betreffen.

Autoren:

Diplom-Jurist (univ.) Michael Stolze, LL.M. LL.M.

Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920

E-Mail-Kontaktformular

E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Technischer Hintergrund von Voice–over–IP („VoIP“)

Bei VoIP muss keine klassische Telefon-Verbindung mehr zwischen den Gesprächsteilnehmern bestehen, sondern es werden stattdessen Datenpakete über das weiter gefasste Netz des Internets zwischen ihnen verschickt. Die Endgeräte können hierbei z.B. ein Head-Set oder ein VoIP-Telefon sein, welches an einem Computer oder direkt mit einem Intra- bzw. dem Internet verbunden ist. Zum Zwecke der Paketvermittlung wird das sämtlichem Internetverkehr zugrunde liegende Übertragungsprotokoll „IP“ verwendet.

Die Gründe für den rasanten Vormarsch der IP-Telefonie sind vielfältig. Wichtig für die meisten Gesprächsteilnehmer ist, dass VoIP wesentlich günstiger sein kann, nutzt man doch das sowieso schon vorhandene Internet. VoIP ermöglicht darüber hinaus intelligente Endgeräte und somit z.B. interaktive „Telefon“-Konferenzen in hoher Qualität. Mehr und mehr Unternehmen investieren in diese Technologie.

VoIP: mehr Möglichkeiten und neue Risiken

Die neuen Möglichkeiten bergen jedoch auch neue Gefahren. Werden Sprache und Daten in ein einziges Kommunikationsnetz integriert, dann stellt das den Datenschutz vor neue Herausforderungen. Die Sicherheitsprobleme des Internets finden insoweit nun auch auf die klassische Telefonie Anwendung, denn wenn für einen Kommunikationsvorgang keine physikalische Verbindung für die Gesprächsteilnehmer mehr erforderlich ist, dann geht damit einher, dass ein Angriff auf die Vertraulichkeit des Gesprächs auch nicht mehr physikalisch erfolgen muss. Kann der Nutzer eines solchen Dienstes weltweit die Leistungen in Anspruch nehmen, dann kann seine Kommunikation auch weltweit angegriffen werden.

Darüber hinaus sind die Endgeräte bei der IP-Telefonie „intelligenter“ als klassische Telefonapparate. VoIP-Telefone können daher wie jeder Computer auch durch Schadsoftware manipuliert und gestört werden.

Juristisch ist daher insb. das Fernmeldegeheimnis aus Artikel 10 Grundgesetz („GG“) sowie das Recht auf informationelle Selbstbestimmung, welches sich nach der Rechtsprechung des BVerfG aus den Artikeln 2 Abs. 1 und Artikel 1 Abs. 1 GG ergibt, betroffen.

VoIP: datenschutzrechtliche Rahmenbedingungen

Fernmeldegeheimnis und Recht auf informationelle Selbstbestimmung finden im siebten Teil des Telekommunikationsgesetzes („TKG“) einfachgesetzliche Konkretisierungen. Unser Interesse soll dem sogenannten Telekommunikationsdatenschutz gelten (§§ 91 bis 107 TGK), welcher gegenüber dem allgemeinen Bundesdatenschutzregesetz („BDSG“) vorrangiges Spezialrecht ist.

Denn § 4 BDSG erklärt: „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“

Die §§ 95 ff. TKG enthalten solche detaillierte bereichsspezifische Erlaubnistatbestände.

Schutz personenbezogener Daten von Teilnehmern und Nutzern

Gemäß § 91 Abs. 1 S. 1 TKG erfasst ,,dieser Abschnitt […] den Schutz personenbezogener Daten der Teilnehmer und Nutzer von Telekommunikation bei der Erhebung und Verwendung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig Telekommunikationsdienste erbringen oder an deren Erbringung mitwirken.“

Mangels spezialgesetzlicher Begriffsbestimmung im TKG muss im Rahmen der Frage, was personenbezogene Daten sind, die Begriffsbestimmung nach dem BDSG herangezogen werden, so dass gemäß § 3 Abs. 1 BDSG „personenbezogene Daten […] Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) [sind].“

Auch Unternehmen vom Telekommunikationsdatenschutz erfasst

§ 3 Nr. 14 und Nr. 20 TKG definieren den Nutzer und den Teilnehmer. Beide Begriffe umfassen natürliche und juristische Personen, so dass auch Unternehmen erfasst sind.

An dieser Stelle ist das TKG damit weiter gefasst als das BDSG, welches, wie oben aufgezeigt, „nur“ dem Schutz natürlicher Personen gilt. Das TKG stellt im Falle von juristischen Personen oder Personengesellschaften in § 91 Abs. 1 Satz 2 TKG klar, dass „dem Fernmeldegeheimnis unterliegende Einzelangaben über Verhältnisse einer bestimmten oder bestimmbaren juristischen Person oder Personengesellschaft, sofern sie mit der Fähigkeit ausgestattet ist, Rechte zu erwerben oder Verbindlichkeiten einzugehen, […] personenbezogenen Daten gleich[stehen].“ (Anm.: Vertiefend sei an dieser Stelle auf unseren Artikel „Ausweitung der Datenschutz-Gesetze auf Daten juristischer Personen“ verwiesen).

Arbeitgeber als „Diensteanbieter“ im Sinne des TKG?

Unternehmen, die geschäftsmäßig Telekommunikationsdienste erbringen, unterliegen als so genannte „Diensteanbieter“ den Restriktionen des TKG. § 3 Nr. 10 TKG definiert dies als „das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht“.

Das Merkmal der Nachhaltigkeit erfordert eine gewisse Dauer und Häufigkeit der Tätigkeit. Es soll also der rein private Bereich ausgeschlossen werden, wie z.B. eine Haustelefonanlage.

Bitte beachten Sie in diesem Zusammenhang die grundsätzliche Anwendbarkeit des TKG auf Arbeitgeber, welche durch ausdrückliche Erlaubnis oder durch Duldung der privaten Nutzung der betrieblichen Kommunikationsmittel (wie zum Beispiel E-Mail, Internet und Telefon) zum Diensteanbieter werden.

Informationspflichten

Diensteanbieter trifft eine weitreichende Informationspflicht. Gemäß § 93 TKG haben diese ,,ihre Teilnehmer bei Vertragsabschluss über Art, Umfang, Ort und Zweck der Erhebung und Verwendung personenbezogener Daten so zu unterrichten, dass die Teilnehmer in allgemein verständlicher Form Kenntnis von den grundlegenden Verarbeitungstatbeständen der Daten erhalten. Dabei sind die Teilnehmer auch auf die zulässigen Wahl- und Gestaltungsmöglichkeiten hinzuweisen. Die Nutzer sind vom Diensteanbieter durch allgemein zugängliche Informationen über die Erhebung und Verwendung personenbezogener Daten zu unterrichten.“

Ferner müssen nach § 93 Abs.2 Satz 1 TKG Diensteanbieter ,,in Fällen, in denen ein besonderes Risiko der Verletzung der Netzsicherheit besteht, die Teilnehmer über dieses Risiko und, wenn das Risiko außerhalb des Anwendungsbereichs der vom Diensteanbieter zu treffenden Maßnahme liegt, über mögliche Abhilfen, einschließlich der für sie voraussichtlich entstehenden Kosten, […] unterrichten.

Ausdrücklich bleibt nach § 93 Abs. 2 S.2 TKG das Auskunftsrecht nach dem BDSG von den Informationspflichten unberührt.

Technische Schutzmaßnahmen

Den Telekommunikationsanbieter treffen Verpflichtungen, die schon vom allgemeinen Datenschutz nach dem BDSG bekannt sind. Gemäß § 9 BDSG haben „öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, […] die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes […] zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

§ 109 Abs. 1 TKG hingegen ist strenger in seinen Anforderungen, wonach „jeder Diensteanbieter angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze […] des Fernmeldegeheimnisses und personenbezogener Daten und […] der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen [hat].“

Das TKG ist bezüglich der genauen Vorkehrungen an dieser Stelle technikneutral. Es wird lediglich das Schutzniveau bestimmt. Für den Diensteanbieter hat dies zur Folge, dass Schutzmaßnahmen sich der dynamischen technischen Entwicklung anpassen müssen. Dies ist aus datenschutzrechtlicher Sicht auch richtig, denn Sicherheitstechnik, die heute „state of the art“ ist, kann morgen schon veraltet sein.

In diesem Zusammenhang kann auf die Entschließung der 70. Konferenz der Datenschutzbeauftragten verwiesen werden, die bereits im Herbst 2005 dazu aufgefordert hat, angemessene technische und organisatorische Maßnahmen dadurch zu erreichen, dass geeignete Verschlüsselungsverfahren eingesetzt werden sollen. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt im Rahmen seines Kataloges zum IT-Grundschutz diesbezüglich den Einsatz von Protokollerweiterungen wie „Secure Real – Time Transport Protocol“ (SRTP) und „Secure Real – Time Streaming Protocol“ (SRTSP) oder die Anwendung spezieller Signalisierungssoftware.

Die Konferenz der Datenschutzbeauftragte hat weiterhin dazu aufgefordert, verstärkt VoIP-Kunden über die spezielle Gefahrenlage aufzuklären.

Zu einer solchen Aufklärung könnte ein Diensteanbieter durchaus im Rahmen seiner organisatorischen Maßnahmen verpflichtet sein.

Fazit

Anbieter und Nutzer von VoIP-Verfahren sollten sich der mit der Nutzung dieser Technik einhergehenden Sicherheitsrisiken bewusst sein und stets angemessene technische Verfahren (Verschlüsselung etc.) einsetzen, um eine datenschutzkonforme Nutzung von VoIP zu gewährleisten. So genannte „Diensteanbieter“ – und dazu zählen in vielen Fallkonstellationen auch Arbeitgeber – treffen neben der Pflicht zur Einhaltung technischer und organisatorischer Sicherungsmaßnahmen auch Informationspflichten gegenüber den Betroffenen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Diplom-Jurist Michael Stolze, LL.M. LL.M.

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Die Beklagten hatten – so lautet die Klageschrift – Flash Cookies gesetzt, welche die von den Nutzern gelöschten Cookies wiederherstellten. Daraufhin wurde das Verhalten der Nutzer auf den Webseiten getrackt.

Dieser Artikel soll die technischen Hintergründe der Flash Cookies vor dem Hintergrund des deutschen Datenschutzrechts erläutern.

Hintergrund

Diverse Online-Studien haben herausgefunden, dass insgesamt etwa 30% der Internetbenutzer nach etwa einem Monat ihre Cookies löschen. Das in der Marktanalyse sehr beliebte Webtracking verliert damit an Aussagegehalt. Da Webtracking Programme oftmals auf Cookies aufbauen, können diejenigen User, welche die Cookies löschen, nicht über einen längeren Zeitraum beobachtet werden. Eine technische Neuerung war aus Sicht der Online-Marketing-Provider damit nötig. Ein Feature für den Adobe Flash Player wurde entwickelt, der sog. Flash Cookie. Die Wissenschaftler der Universität Berkeley haben herausgefunden, dass mehr als 50 der dort untersuchten Top-Webseiten Flash Cookies verwenden.

Was sind Flash Cookies?

Flash Cookies werden auch Local Shared Objects (LSO), Super-Cookies oder teilweise einfach “Zombie-Cookies” genannt. Die Cookies werden via Flash Plug-in auf zentralen Ordnern des Computers gespeichert und sind nicht über das zentrale Browsermenü zu erreichen.

Was ist das Besondere an Flash Cookies?

Grundsätzlich hat ein Flash Cookie die gleichen Eigenschaften wie ein gewöhnlicher Cookie, hat aber weitergehende Vorteile für den Webseiten-Betreiber: Ein Flash Cookie kann insgesamt 100 kb Informationen speichern, während gewöhnliche Cookies nur bis zu 4 kb speichern können. Über diese erhöhte Komplexität können sie insgesamt stabiler gesetzt werden. Flash Cookies werden nicht in dem gleichen Ordner wie gewöhnliche Cookies abgelegt. Internetbenutzer, die noch nicht über die Existenz der Flash Cookies Bescheid wissen, werden diese dementsprechend kaum löschen, da sich diese nicht einfach über den Browser löschen lassen.

Vorteil der Flash Cookies für Webseiten-Betreiber

Flash Cookies können unter anderem so programmiert werden, dass Cookies, die vom Nutzer im Browser gelöscht wurden, beim nächsten Besuch der Webseite wieder aktiviert werden. Diese Praxis wird im Englischen als “re-spawning” (zu Deutsch „wieder erzeugen“) bezeichnet. Die Nutzerverfolgung kann anschließend aufgrund der wieder erzeugten Cookies weitergehen, obwohl der Nutzer diese zuvor ausdrücklich in seinem Browser gelöscht hat.

Cookies: personenbezogene Daten?

Ob Cookies personenbezogene Daten sind oder solche beinhalten, muss natürlich immer am Einzelfall bestimmt werden. Wenn diese, wie etwa beim Webtracking, eine Identifikationsnummer des Webseitenbesuchers beinhalten, sind diese nach wohl vorherrschender Meinung als personenbezogene Daten anzusehen. Flash Cookies, die gerade über einen längeren Zeitraum die Verfolgung der Nutzer bezwecken, können gerade auch über die längere Aufzeichnung des Verhaltens eines Users personenbezogene Daten im Sinne von § 3 Abs. 1 Bundesdatenschutzgesetz („BDSG“) schaffen. Damit sind Cookies in jedem Fall als „potentiell personenbezogene Daten“ zu begreifen und müssen damit unter dem Schutz der datenschutzrechtlichen Vorschriften behandelt werden.

Damit sind die datenschutzrechtlichen Regelungen anwendbar und müssen geprüft werden.

Was stellen sich für datenschutzrechtliche Probleme?

Grundsätzlich ist nach dem System des deutschen Datenschutzrechtes eine Erhebung oder Verarbeitung personenbezogener Daten gestattet, wenn entweder die Einwilligung des Betroffenen vorliegt oder eine Rechtsgrundlage das jeweilige Vorgehen gestattet.

Was fordert die datenschutzrechtliche Einwilligung hinsichtlich Cookies?

Eine Einwilligung im Datenschutzrecht fordert – neben weiteren formalen Voraussetzungen- grundsätzlich die Bereitstellung der nötigen Informationen. Der Träger der personenbezogenen Daten muss schließlich wissen, für was er seine Einwilligung erteilen soll. Vorausgesetzt eine klare Information wird angeboten und die Einwilligung wird auch unter den weiteren Voraussetzungen des § 4a BDSG rechtswirksam erteilt, so ist das Setzen von Flash Cookies grundsätzlich rechtlich wirksam möglich. Die Datenschutzerklärung des verwendenden Unternehmens muss damit angepasst werden. Die Einwilligungserklärung des Nutzers muss den Flash Cookie Gebrauch unbedingt beschreiben. Daneben muss auch eine Widerspruchsmöglichkeit hinsichtlich des Flash Cookies eingeräumt werden.

Rechtsgrundlage für das Setzen von Cookies?

Davon abgesehen kann eine Rechtsgrundlage für das Setzen von Cookies in § 15 Abs. 1 TMG gesehen werden, wenn diese zur Inanspruchnahme von Telemedien notwendig sind. Die sog. „Session Cookies“ können insoweit also durch das Gesetz gerechtfertigt werden. Nach dem Ende der Browser-Session müssen die Cookies jedoch automatisch gelöscht werden. Eine ledigliche Erleichterung des Betriebs einer Internetseite reicht zur Begründung des Erforderlichkeitskriteriums insoweit nicht aus.

Dauerhaft platzierte Cookies sind damit keinesfalls als „notwendig“ im Sinne von § 15 Abs. 1 TMG zu begreifen und insofern nicht unter die Rechtsgrundlage zu subsumieren. Für permanente Cookies muss daher grundsätzlich die Einwilligung des Nutzers eingeholt werden. Dies gilt dann gerade auch für Flash Cookies, da diese eben dauerhaft auf dem Computer gespeichert werden.

Was ändert sich mit der Richtlinie 2009/136/EG?

Zum 15. Mai des nächsten Jahres muss die Richtlinie 2009/136/EG (so genannte „Cookie-Richtlinie“) auch in das deutsche Recht umgesetzt sein. Nach Art. 5 Absatz 3 der Richtlinie 2002/58/EG (ePrivacy-Richtlinie), welche durch die Cookie-Richtlinie verändert wird, ist das Setzen von Cookies dann grundsätzlich nur noch mit Einwilligung des Betroffenen erlaubt (wir berichteten).

Fazit

Mit dem Setzen von Flash Cookies können sich neben rechtlichen Konsequenzen aus dem Strafrecht auch datenschutzrechtliche Schwierigkeiten stellen. Nach dem deutschen Datenschutzrecht dürfen diese grundsätzlich nur nach einer Einwilligung des Nutzers gesetzt werden. Es ist insbesondere darauf zu achten, dass Webseitenbetreiber ihre Datenschutzerklärungen entsprechend anpassen und wirksame Widerspruchsmöglichkeiten schaffen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Update am 15. September 2011

Die Hamburger Datenschutz-Aufsichtsbehörde hat sich mit Google auf eine datenschutzkonforme Einsatzmöglichtkeit von Google Analytics verständigt. Lesen Sie hier, was Webseitenbetreiber künftig beachten sollten.

Hintergrund

Die Datenschutz-Aufsichtsbehörden hatten Ende November einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit war in der Praxis von der Verwendung von Google Analytics (und ähnlicher Tools) in den meisten Fällen abzuraten (siehe hierzu auch unseren Beitrag).

Nun: Code-Zusatz „anonymize IP“

Google bietet den Webseiten-Betreibern seit neuestem die Möglichkeit, den Google Analytics Code um die Funktion „_anonymizeIp()“ zu erweitern (siehe Beschreibung hier). Mit Anbringung dieses Zusatz-Codes werden vor jeder weiteren Verarbeitung der anfragenden IP-Adresse die letzten 8 Bit gelöscht. Damit ist eine Identifizierung des Webseiten-Besucher ausgeschlossen. Eine grobe (datenschutzrechtlich zulässige) Lokalisierung bleibt möglich. Dieses Verfahren ist von den Datenschutz-Aufsichtsbehörden in Deutschland anerkannt und wird auch von anderen Webanalyse-Anbietern verwendet.

Wichtig: Datenschutzerklärung anpassen

Beim Einsatz von Google Analytics müssen Sie dies in Ihrer Datenschutzerklärung darstellen (vgl. Sie hierzu auch Ziffer 8.1 der Nutzungsbedingungen von Google Analytics). Hier können Sie sich informieren, was eine Datenschutzerklärung ist und wer sie anbringen muss.

Wir haben den Text von Google Analytics um einige Zeilen (rot markiert) erweitert. Für Vollständigkeit und Richtigkeit übernehmen wir keine Gewähr.

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden. Der Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft widersprochen [mit http://tools.google.com/dlpage/gaoptout?hl=de verlinken] werden. Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Website Google Analytics mit der Erweiterung „_anonymizeIp()“ verwendet und daher IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen.“

Problem: Widerspruchsmöglichkeit

Ein datenschutzrechtlicher Aspekt beim Einsatz von Google Analytics bleibt uns erhalten. Die Datenschutz-Aufsichtsbehörden hatten in Ihrem Beschluss ebenfalls gefordert:

„Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.“

Branchenüblich ist eine Umsetzung dieser Widerspruchsmöglichkeit an sich mittels Cookies. Google bietet allerdings ein „Deaktivierungs-Add-on für Browser von Google Analytics“. Das Plug-in funktioniert laut Auskunft von Heise derzeit nur für Internet Explorer 7 und 8, Firefox 3.x sowie für Chrome. Opera-Nutzer und Safari-Anwender können der Nutzung mit dem Deaktivierungs-Add-on von Google nicht widersprechen. Allerdings könnten natürlich die Browser-Einstellungen manuell entsprechend angepasst werden. Anders als bei der Frage der IP-Adressen ist mir in dieser Frage noch keine Stellungnahme der Aufsichtsbehörden bekannt. Solange hier keine eindeutige Positionierung seitens der Aufsichtsbehörden vorgenommen wurde kann Google Analytics meines Erachtens unter diesem Vorbehalt wieder eingesetzt werden.

Was ist konkret zu tun? „3-Punkte-Katalog“

Wollen Sie Google-Analytics einsetzen müssen Sie folgendes tun:

1. Erweitern Sie den Tracking-Code von Google-Analytics in Ihrer Webseite um den Zusatz „_anonymizeIp()“ (siehe Beschreibung von Google).
2. Passen Sie die Datenschutzerklärung auf Ihrer Webseite an (siehe unser Beispiel oben im Text).
3. Verfolgen Sie die Diskussion der Aufsichtsbehörden um die Umsetzung der Widerspruchsmöglichkeit.

Update am 17. Juni 2010

Auf der Webseite von Herrn Struwe findet sich eine genaue Beschreibung, wie der Anonymisierungs-Code-Zusatz auch bei Verwendung des neuen, asynchronen Google-Analytics-Codes eingebaut werden kann.

Auf dem webalytics-Blog findet sich zudem eine genaue Anleitung, wie der Anonymisierungs-Code-Zusatz in den verschiedenen Code-Varianten eingebaut werden kann.

Update am 16. Januar 2011

Nachdem der Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit, Herr Professor Dr. Johannes Caspar, die Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics wieder aufgegriffen hatte und zu lesen war, dass er die Verhandlungen mit Google abgebrochen habe und Webseitenbetreiber mit Bußgeldern zu rechnen hätten, kann nun vorerst Entwarnung gegeben werden: Webseitenbetreibern, die Google Analytics (mit weiteren Anpassungen) einsetzen, drohen momentan keine aufsichtsrechtlichen Maßnahmen (z. B. Bußgelder) durch die Hamburger Datenschutz-Aufsichtsbehörde (Anm.: diese Entscheidung ist für Datenschutz-Aufsichtsbehörden in anderen Bundesländern nicht bindend). Weiterlesen…

IITR-Datenschutz-Codex erfüllt

Mit der Anpassung von Google Analytics hinsichtlich der Verarbeitung von IP-Adressen erfüllen Webseiten-Betreiber damit auch Punkt 8 des IITR-Datenschutz-Codex für Webseitenbetreiber:

„Der Webseitenbetreiber erklärt, keine Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ohne Einwilligung der Betroffenen durchzuführen.“

Newsletter

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht, insbesondere die weitere Diskussion um den Einsatz von Google Analytics.

Fazit

Es ist zu begrüßen, dass Google reagiert hat und Google Analytics in dem zentralen Punkt der IP-Adressen-Verarbeitung angepasst hat. Unter Beachtung unseres „3-Punkte-Katalogs“ können Webseiten-Anbieter Google Analytics nun wieder einsetzen.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Datenschutzkonformer Einsatz von E-Mail-Marketing-Software

Marketingmaßnahmen per E-Mail sind eine kostengünstige Möglichkeit, die eigenen Produkte zu bewerben. Häufig wird von Unternehmen hierbei auf spezielle E-Mail-Marketing-Software zurück gegriffen, die sowohl die gesicherte Zustellung wie auch das spezifizierte Adressmanagement beherrscht. Hierbei sind zahlreiche rechtliche Vorgaben zu beachten. Der Video-Beitrag untersucht insbesondere die wettbewerbs- und datenschutzrechtlichen Aspekte beim Einsatz solcher Software.

Zum Video…

Über den Referenten Herrn Thorsten Ingeberg

Herr Ingeberg ist Diplom-Jurist (univ.) aus München und verantwortet als freiberuflicher Mitarbeiter des Instituts für IT-Recht IITR den Bereich Schulung, insbesondere die Aus- und Fortbildung von internen Datenschutzbeauftragten. Herr Ingeberg ist derzeit wissenschaftlicher Mitarbeiter von Herrn Professor Dr. Michael Hassemer am Lehrstuhl für Zivilrecht, Wirtschaftsrecht, Geistiges Eigentum an der Technischen Universität Kaiserslautern. Weitere Informationen…

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Informations-Videos und aktuelle Entwicklungen im Datenschutzrecht.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Was spricht für den Einsatz von E-Mail-Marketing-Software?

Ein wichtiger Grund für den Einsatz einer professionellen E-Mail-Marketing-Software ist für die Unternehmen die rechtssichere Automatisierung der Adressverwaltung. Die Software erkennt selbst, an welche gespeicherten Adressen der Newsletter versendet werden soll. Die Software erkennt auch, wenn eine zuvor erteilte Einwilligung zum Newsletter-Versand widerrufen worden ist und blockiert insoweit jeglichen weiteren Versand.

Wichtige Funktionen von E-Mail-Marketing-Software

Die wichtigsten Funktionen von E-Mail-Marketing-Software sind die automatisierte Abonnenten-Verwaltung (zum Beispiel durch das Führen einer sog. Blacklist), die korrekte Protokollierung der Einwilligungen sowie die Auswertung der gespeicherten Daten im Rahmen des Datenschutzrechts.

Vorteil zum Direktmarketing: die eingebundene Adressgewinnung

Ein wesentlicher Vorteil zum klassischen Direktmarketing liegt in der Möglichkeit der Adressgewinnung. Jedes verwendete E-Mail-System sollte daher Werkzeuge für die Online-Erfassung bereitstellen und einen Austausch mit einer vorhandenen Kundendatenbank ermöglichen. Die unterschiedlichen Programme bieten vielfältigen Möglichkeiten der Adresseingabe, Adressenabmeldung und des Im- und Exports von Daten an.

Spam-Filter: kommt die E-Mail tatsächlich beim Empfänger an?

Um zu vermeiden, dass E-Mails als Spam gekennzeichnet werden besteht für Unternehmen die (kostenpflichtige) Möglichkeit, der „Certified Senders Alliance“ (CSA) beizutreten. Die CSA ist ein Projekt des Verbandes der deutschen Internetwirtschaft eco e.V. und des Deutschen Dialogmarketing Verbandes mit dem Ziel, seriöse Massenanbieter mit einer „Positivliste“ von Spam-Versendern zu unterscheiden.

Welche rechtlichen Rahmenbedingungen sind zu beachten?

Die in dem dargestellten Zusammenhang zu prüfenden Normen sind im Wesentlichen die §§ 4, 7 UWG (UWG steht für „Gesetz gegen den unlauteren Wettbewerb“; insofern sei auch auf unseren Beitrag unter diesem Link verwiesen) sowie die einschlägigen Normen aus dem Bundesdatenschutzgesetz (BDSG), insbesondere § 4 Abs. 1 BDSG (genaueres zum Thema Einwilligung im Datenschutzrecht lesen Sie hier).

E-Mail Versand: Einwilligung erforderlich

Gemäß § 4 Abs. 1 BDSG muss für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten immer eine gesetzliche Gestattung oder eine durch den Betroffenen erteilte Einwilligung vorliegen. E-Mail Adressen sind, da sie Bezug zu einer bestimmten oder bestimmbaren Person aufweisen (§ 3 Abs. 1 BDSG) als personenbezogene Daten nach dem BDSG zu verstehen. Daher muss darauf geachtet werden, dass E-Mail Newsletter nur an solche Empfänger versendet werden, die zuvor ihre Einwilligung hierzu erteilt haben. Eine bestehende Geschäftsbeziehung allein oder ein vermutetes Interesse des (gewerblichen) Empfängers am Erhalt des Newsletters genügt nicht.

Weitere Verarbeitung in der Software: von der Einwilligung gedeckt?

Zudem muss beachtet werden, dass aufgrund der strengen Zweckbindung der Einwilligung nach dem deutschen Recht jeder einzelne Schritt der Datenverarbeitung von der Einwilligungserklärung gedeckt sein muss. Selbst im Fall der Absicherung des reinen Newsletter-Versandes durch eine datenschutzrechtliche Einwilligungserklärung kann daher die Verwendung der E-Mail-Adresse in Bezug auf andere mögliche Marketingfunktionen einer E-Mail-Marketing-Software unzulässig sein.

Von enormer Wichtigkeit: die Protokollierung elektronischer Einwilligungserklärungen

Enorme Wichtigkeit hat auch das Erfordernis der Protokollierung elektronisch erteilter Einwilligungserklärungen (§ 28 Abs. 3a BDSG). Danach müssen derartige Einwilligungen protokolliert und in einer Weise gespeichert werden, dass der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung mit Wirkung für die Zukunft widerrufen kann. Dies kann durch ein automatisches Verarbeitungsverfahren in der E-Mail-Marketing-Software organisiert werden, was sich aus datenschutzrechtlicher Sicht als Vorteil erweist. Denn eine nicht nachweisbare Einwilligung des Betroffenen wird vom Gesetz letztlich als nicht vorhandene Einwilligung eingestuft. Damit drohen die in § 43 BDSG angedrohten ordnungsrechtlichen Konsequenzen beim Newsletter-Versand ohne zugehörige (protokollierte) Einwilligung.

Zugleich: bei fehlender Einwilligung drohen auch Abmahnungen

Da der Versand von E-Mail-Newslettern ohne (protokollierte) Einwilligung auch als wettbewerbswidrig eingestuft werden kann, drohen in einem solchen Fall nicht nur das Einschreiten der Datenschutz-Aufsichtsbehörden sondern auch Abmahnungen.

Protokollierung der Einwilligung durch die E-Mail-Marketing-Software möglich?

Die Einwilligung des Newsletter-Empfängers muss also protokolliert werden und jederzeit abrufbar sein. Dies ist noch nicht bei allen Anbietern von E-Mail-Marketing-Software möglich und sollte daher zuvor vom Anwender überprüft werden.

Funktionen zur Erfolgskontrolle beim E-Mail-Versand: der Einzelfall entscheidet

Viele Anbieter von E-Mail-Marketing-Software bieten die Möglichkeit, über bestimmte Analysetools das Leseverhalten der Empfänger zu analysieren (Wann wurde die E-Mail empfangen, geöffnet und gelesen? Auf welche Links wurde geklickt? Etc.). Eine pauschalierte datenschutzrechtliche Bewertung dieser Maßnahmen ist nicht möglich. Hier ist im Einzelfall die datenschutzrechtliche Zulässigkeit zu untersuchen. Im Grundsatz ist auch hier zu untersuchen, ob durch diese Erfolgskontrolle personenbezogene Daten erhoben werden (was bei vielen Funktionen derzeit der Fall ist) und ob dies durch eine Einwilligung oder gesetzliche Erlaubnisnormen des BDSG gedeckt ist.

Fazit

Vor dem Einsatz einer E-Mail-Marketing-Software sollte diese auf die Einhaltung insbesondere datenschutzrechtlicher Vorgaben überprüft werden. Die datenschutzrechtliche Verantwortung bleibt immer bei dem Anwender der Software, auch wenn sich eventuell Regressansprüche gegenüber einem Anbieter ergeben können. Wenn Sie E-Mail-Marketing-Software einsetzen achten Sie auf eine transparente Protokollierung versendeter E-Mails und der dazugehörigen Einwilligungserklärungen. Gerade hinsichtlich der Funktionen zur Erfolgskontrolle sollten Sie sich im Zweifelsfall rechtlich beraten lassen, um Abmahnungen und aufsichtsrechtliche Maßnahmen zu vermeiden.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130392-0
E-Mail: email@iitr.de

Erhältlich ist es – gerade aktualisiert auf Ubuntu 9.10 – unter http://ubuntu-rescue-remix.org/

Immer dann, wenn Videos angezeigt werden (Youtube, Myspace, aber auch Werbevideos auf sonstigen Webseiten) schnellt die Prozessorlast auf 99%. Das habe ich auf mehreren, teilweise exorbitant ausgestatteten Rechnern nachgestellt.

Den Hinweis gibt es hier, weil ich bei einer Suche festgestellt habe, dass in einigen Foren diskutiert wird, das Chrome mitunter plötzlich diese hohe Prozessorlast verursacht – aber niemand scheint zu wissen, woran es liegt. Jedenfalls bei mir liegt der Zusammenhang zu (FLash?)-Videos auf der Hand. Ob man das mit der Aktualisierung einer Flash-Bibliothek beseitigen kann weiß ich nicht, jedenfalls sollte bei mir alles aktuell sein. Vielleicht findet ja jemand eine Lösung für dieses (extrem nervige) Problem.

Update: Da sich auch im April 2009 der Conficker-Wahn weiter hält, hier ein paar aktuelle Links und Infos zum Thema:

1. Wer den Verdacht hat, dass er sich den Conficker-Wurm gefangen hat, kann auf dieser Heise-Seite sofort sehen, ob da was dran ist.
2. Die Uni-Bonn bietet eine Sammlung von Tools im Einsatz gegen Conficker, zu finden hier
3. Technische Analyse des Conficker-Wurms

Sammlung weiterer Removal-Tools:

• Sophos, (deutsch) – ssconftool_10_sfx.exe
• Symantec (englisch) – FixDwndp.exe
• F-Secure (englisch) – f-downadup.zip
• McAfee (englisch) – Stinger_Coficker.exe
• Trend Micro (deutsch) – SysClean-WORM_DOWNAD.zip
• Kaspersky (deutsch) – KKiller_v3.4.3.zip
• BitDefender (englisch) – bd_rem_tool.zip
• Eset (NOD32) (englisch) – EConfickerRemover.exe

Update: Die Punkte 7-9 sind hinzugekommen.

Dazu ganz kurz was mir als erstes ohne nähere Prüfung durch den Kopf schießt:

1. §1 II des Vertrages ist schon fraglich: Besteht angesichts der Regelungen im StGB iVm §134 BGB überhaupt ein Anspruch eines ISP-Kunden auf Zugang zu KiPo-Seiten? Ist die Erwähnung in AGB überhaupt nötig? (Nachtrag: Ich denke ja, da ja insgesamt Seiten gesperrt werden und auch Fehler auftreten können – und werden.)
2. Man muss wissen, dass Vertrag nicht gleich Vertrag ist. Ich denke, dies hier ist ein öffentlich-rechtlicher Vertrag nach den §§54ff. VwVfG des Bundes (hier handelt eine Bundesbehörde). Der aber setzt voraus, dass das BKA als Behörde sachlich, örtlich, funktionell und instantiell zuständig ist, was sich nach den entsprechenden Normen beurteilt. Bisher gibt es aber gerade keine Norm (was ja das Problem ist), mit der sich eine solche Zuständigkeit begründen lässt, insofern ist schon die formelle Rechtmäßigkeit des Vertrages in Zweifel zu ziehen.
3. Es sind bei öff-rechtlichen Verträgen die allgemeinen Rechtsgrundsätze des Verfassungs- und Verwaltungsrechts zu beachten. Nicht nur dass im Verwaltungsrecht ausdrückliche Normen fehlen, es stellt sich auch die Frage, in wie fern sich daher der Eingriff in die Art. 2, 5, 10, 12 GG rechtfertigen lässt.
4. Praktische Probleme: Wenn etwa Seitenzugriffe gezielt erfolgen sollen, etwa via Strafverfolgungsbehörden oder seitens der Lehre (Uni), wären diese Zugriffe ja gerade nicht mehr möglich.
5. §3 IV verpflichtet die Provider, eine Stopp-Seite (also ein Template) des BKA zu nutzen. Dabei ist es dem BKA belassen, wie die Seite aussieht, also auch, ob etwa Javascripte platziert werden, die die IP der betroffenen User an das BKA übermitteln.
6. Es stellt sich die Frage, ob die Kunden entgegen §3 V nicht das Recht haben, zu wissen, welche Seiten blockiert sind, also ob hier nicht das Wettbewerbsrecht betroffen ist. Dies mag zwar via Gesetz ausgehebelt werden, aber eben nicht durch einen einfachen Vertrag.
7. “Dritte”: Nach §58 I VwVfG müssen Dritte, in deren Rechte eingegriffen wird, schriftlich zustimmen. Hier ist nicht nur an die Kunden der ISP zu denken, sondern auch an geblockte Seitenbetreiber. Klingt wie ein schlechter Scherz, ist aber ein interessantes Problem. Eventuell wird deswegen auch die AGB Regelung aufgenommen, hier wird eine Zustimmung der Kunden fingiert (wenn auch nicht schriftlich). Fraglich ist, ob man hier schon wegen der grundrechtsbetroffenheit eine Drittbetroffenheit sieht, wird wohl die Mehrheit verneinen; Weiterhin ist zu prüfen, ob in den Regelungen des TKG und TMG Regelungen mit Drittschutzfunktion gesehen werden können, das kann und will ich hier aber nicht im Detail prüfen.
8. Der Vertrag könnte schon nach §59 II Nr.1 VwVfG nichtig sein, weil ein entsprechender Verwaltungsakt wahrscheinlich nichtig wäre.
9. Nochmals “Dritte”: Aufgrund des Eingriffs in die Rechte Dritter könnten auch Dritte klagebefugt sein – so etwa Kunden und Seitenbetreiber. Bürgerrechtlern eröffnet das den Weg, Musterklagen anzustreben.

Das nur aus dem Bauch raus, es folgen sicherlich bald detaillierte Analysen. Insofern ist dieser Eintrag als (streitbare) Vorlage für weitere Beiträge zu verstehen.

Meine Anmerkung: Diese Seite sieht man bei Google schon bei realtiv wenigen zugriffen. Bei mir reichen um die 200 Zugriffe in wenigen Minuten um die Seite zu erzeugen. Wenn nun TOR aktiv genutzt wird gerade entsprechend viele Anfragen via den gleichen Exit-Node bei Google ankommen, sind 200 Anfragen in wenigen Minuten schnell erreicht. Mich wundert das daher nicht und ich muss nicht überlegen, ob Google TOR blockt.

1. Wenn das Akismet-Plugin die IP-Adresse der Kommentar-Verfasser an Dritte übermittelt, hängt es an der Frage, ob die IP ein personenbezogenes Datum ist. Auch wenn ich das bejahe: Es ist umstritten. Man kann also in diesem Punkt davor warnen, es ist aber bestenfalls eine Grauzone. Insgesamt ist dies analog zur bei mir geführten Google-Analytics-Diskussion zu sehen.
2. Sofern, wie angegeben, der angegebene Nutzername übermittelt wird, muss man den User darauf hinweisen, damit er einen geeigneten Nutzernamen auswählt und ggfs. nicht den Klarnamen nutzt.
3. Kritisch sehe ich, dass wohl die Mail-Adresse übermittelt wird: Die ist nämlich bei vielen Formularen Pflicht und nicht nur ein personenbezogenes Datum, sondern den Usern auch heilig. Hier muss ein Hinweis und eine vorherige Einwilligung erhoben werden.

Die Akismet-Datenbank kann ich problemlos als “Auskunftei” einstufen und auch wenn Akismet einen anderen Charme hat: Wer will kann es als Spam-Schufa betrachten. Und wie würden wir wohl mit SHops umgehen, die ohne Hinweis und Einwilligung Daten an die Schufa übermitteln?

Man sollte das Thema mal in Ruhe angehen. Ich habe diesmal bewusst den Schwerpunkt bei Username und Mailadresse gelegt (und nich bei der IP). Während die IP-Frage bis heute umstritten ist, ist das mit Username und Mailadresse schon problematischer als z.B. Google Analytics.

Auch wenn die Fragen nicht gefallen, sollte man Angriffe denen gegenüber, die sie stellen, unterlassen. Deswegen ist aber nicht gleich Bloggen rechtlich bedenklich, sondern Akismet muss prüfen, ob man nicht einfach Server in der EU einsetzt (bisher USA), weil die USA datenschutzrechtlich ein Drittstaat iSd BDSG sind, was das Thema nochmal etwas heikler macht. Dazu auch diesen Blog-Eintrag beachten.

Bei der Suche nach brauchbarer Software hierzu habe ich was vernünftiges gefunden, auf das ich hier hinweisen möchte. Kostenlos und sehr schnell – absolut überzeugend.

Der Vollständigkeit halber verlinke ich hier noch ein Tool von Microsoft, das sehr mächtig ist und mehr Funktionen bietet – aber leider bei mir ständig abstürzt.

Hinweis: Erzeugte Images bitte mit Truecrypt sichern!

Das Tool bietet zum Beispiel ein Geo-IP-Tagging mittels Google-Datenbank – wenn man sich die Datei ansieht, sieht man, dass das Tool meinen empfohlenen Weg geht:

1. Zuerst die IP des Users ermitteln (hier setze ich dann gleich an)
2. Das Skript übermittelt die IP selbstständig an Google
3. Das Ergebnis wird ausgelesen und lokal gespeichert

Natürlich: Hier wandert wieder eine IP. Aber: Dadurch dass man die selbst mitteilt (also nicht der Client automatisch via JS) kann ich die IP vor der Übermittlung verändern. Durch den Zugriff des Skriptes wird auch nur die IP meins Servers mitgeliefert und nicht die Client-IP. Das Ergebnis ist insofern sauber, das Problem ist, dass ich (nach meiner eigenen rechtlichen Auffassung) momentan nicht zwischen einer Fake-IP und einer “echten IP” unterscheiden dürfte.

Das heisst, wenn ich eine vollständige IP übermittle, die aber nicht die des aktuellen Users ist, handelt es sich dennoch (bei meiner aktuellenr echtlichen Auffassung) um ein personenbezogenes Datum, das nicht übermittelt werden darf. Hier arbeite ich noch an meiner Dogmatik bzw. einem technischen Ausweg und weise nur darauf hin, dass ich mir des Problems bewusst bin. Da es nur wenige gibt, die das personenbezogene Datrum so eng auslegen wie ich, ist das aber eher ein persönliches Problem.

Für die meisten Nutzer ist Wassup ein sehr gutes Tool, das man selbst schnell anpassen kann und ein kleiner Lichtblick beim Thema IP-Adressen und Webmaster ist. Nicht zuletzt auch, weil es zeigt, dass es problemlos möglich ist, ohne direkte Übermittlung von echten Daten an Dritte zu arbeiten. Ich biete hier übrigens (noch) kein angepasstes Paket an, weil ich bisher nur sehr langsam durch den Code komme und noch nicht alles geprüft habe. Bis dahin wollte ich zwar schon den Hinweis geben, es aber nur indierekt bewerben.

Ich weise in diesem Rahmen schon jetzt auf “Yoggie” hin, die eine Fülle von Hardware-Lösungen (auch für Privatanwender) bereit halten, die jedenfalls intererssant wirken. Die Übersicht ist hier zu finden. Speziell die USB/PCExpress Lösung dürfte für kleine Büros und Privatanwender von Interesse sein, zumal man sich im Regelfall via SSH einloggen und das System anpassen kann.

Andererseits, so viel Realismus muss sein, wird kaum ein Standardanwender sich via SSH einloggen können, geschweige denn auf einer Konsole IPTables/IPChain konfigurieren können. Insofern sind “normale” Anwender auch in Zukunft vom Anbieter bzw. externem Service abhängig – was unvermeidbar ist.

Und wenn ich schonmal dabei bin: Wer den VLC-Player einsetzt, sollte sich die aktuelle Version ziehen. Da gab es auch ein Update wegen Sicherheitsproblemen.

Interessant ist aber dann, dass es u.a. folgenden Abschnitt gibt:

Communications between Google Chrome (but not Chromium) and service providers

Sinn macht der nur, wenn Chrome und Chromium nicht das gleiche sind. Und eben nicht nur im Sinne des üblichen Unterschieds zwischen Sourcecode und Binary.

Hinweis: PHP-Programmierer finden hier meinen PHP-Security Guide, der die wesentlichen Infos rund um das Thema “sicheres PHP-Programmieren” gibt.

Firefox sendet wie Chrome Daten an Google [...] safebrowsing bedeutet, dass Google bei jeder URL anhand einer Liste prüft, ob es sich um eine sogenannte böse Webseite handelt.

Update: Heise hat den Fehler erkannt und prompt den (schon fast peinlichen) Artikel um 80% gekürzt. Jetzt steht dort stattdessen eine Richtigstellung. Inzwischen gibt es auch eine ausdrückliche Entschuldigung für den Unsinn – mal sehen ob die Chrome-Fan-Blogs dem Vorbild folgen und die “FireFox ist genauso-”Hysterie endlich ein Ende hat.

Richtig ist: Der Firefox hat “Safebrosing” installiert. Dabei wird eine lokale Datenbank bereit gehalten, in der “böse” URL stehen. Wenn die eingebene Domain (als Hash-Wert) in der Datenbank steht, wird der Hash-Wert nochmal bei Google gegengeprüft.

Das ist ein klein wenig anders als Chrome, wo jedes eingegebene Zeichen in der Adresszeile bei Google landet (nochmal der Link wie das genau aussieht). Man mag darüber streiten, ob es jetzt schön ist, dass es dieses Verfahren gibt und dass es von Anfang an aktiviert ist – allerdings ist es schon sehr lange bekannt und es gab bisher nie einen Aufschrei deswegen. Dieses mehrstufige Verfahren dann noch mit “Chrome” gleichzusetzen grenzt an Dummheit.

Links dazu:

1. Phishing Schutz im FireFox
2. Infos zu Google Safebrosing, man beachte den Abschnitt hier daraus: “The list does not include the full URL of each suspicious site. Instead, each URL is hashed (obscured so it can’t be read) and then broken into portions. Only a portion of each hashed URL is included on the list on your browser.“
3. Zum Spreeblick…

So schreibt Robert Basic über die Tatsache, dass Chrome in der Default-Einstellung die Eingaben in der Adressleiste, die bei Chrome gleichzeitig zur Sucheingabe dient, an die eingestellte Suchmaschine sendet [...] Basic lässt dabei leider unerwähnt, dass der Konjunktiv fehl am Platz ist, da andere Browser schon lange das genau gleiche System nutzen.

Das hat mich richtig verunsichert: Denn wenn ich in meinen Fuchs etwas in die Adresszeile tippe, kommen keine Vorschläge. Ich vestand also den Vergleich nie. Erst jetzt wurde ich belehrt, dass der Fuchs das zwar nicht in der Adresszeile macht, aber dafür im Suchfenster. Bei Google ist das nun mal beides in einem Eingabefenster zusammengefasst – und deswegen nicht nur OK, sondern gleich ein Feature. Auf mich wirkt das bestenfalls wie Satire, die massenhafte Euphorie über dieses Feature zeigt aber, dass ich da wohl Einzelgänger bin.

So leid es mir tut: Das mit dem Vergleich ist Blödsinn. Ein Auto-Suggest in einem Such-Eingabefeld mag sinnvoll sein. In der Adresszeile aber ist es das nicht. Was da nämlich bei der Eingabe von Adressen abgeht, wurde hier schön im Detail dargestellt. Und: Sowas macht der FireFox eben nicht. Der IE auch nicht. Und zu vergleichen ist das, was da abläuft, mit einem Auto-Suggest in Such-Eingabeformularen ebenfalls nicht, schon alleine wegen der unterschiedlichen Daten die man jeweils eingibt.

Und ja, man kann es beim Chrome abschalten. Da aber bekannt sein sollte, dass ich der Meinung bin, dass Daten erst nach Zustimmung weitergegeben werden sollten (und nicht solange bis man widerspricht), ist dem klar denkenden hoffentlich deutlich, warum das bei mir kein Argument ist bzw. sein kann.

Dazu auch: Google Chrome ist (k)ein Open-Source-Projekt

Vorab: Natürlich habe ich mir Chrome gezogen und installiert. Wie könnte ich denn über etwas schreiben, dass mir nicht mal vorliegt. Ich habe es sogar – scheinbar anders als die vielen anderen – erstmal ein paar Stunden im Alltagstest genutzt bevor ich jetzt was dazu schreibe.

Das Design ist in der Tat schlicht, der Browser sehr schnell. Insofern liegt der Spiegel schon richtig, aber das hier ist doch überzogen:

Geradezu verblüffend schnell läuft der Seitenaufbau; hier kommt tatsächlich kein Rivale mit.

Das tut schmerzlich weh und würde Grund genug sein, wieder einen dieser “Spiegel & Co haben keine Ahnung vom Internet”-Artikel vom Stapel zu lassen. Ich spare es mir hier und weise auf ein paar Fakten hin:

1. Hinter Chrome steht augenscheinlich die Technik, die auch hinter dem Safari steht (Webkit). Wer den Safari nutzt, der erkennt mit dem bloßen Auge daher auch keinen Geschwindigkeitsvorteil – und auch keinen großen Unterschied im “schlichten” Design. Chrome sieht für mich aus wie die blaue Safari Variante.
2. Wem der Seitenaufbau im Opera oder Firefox zu langsam ist, der sollte die Optionen, die für das vollständige Laden der Seite vor dem Anzeigen zuständig sind, deaktivieren. Man hat dann dort den gleichen Effekt.

Ich nehme den nächsten Aufhänger wieder aus dem SPON-Artikel:

Chrome wirkt auf den ersten Blick äußerst schmucklos, geradezu minimalistisch. Das ist genau das, was man von Google erwartet.

Tut mir leid – bei Google erwarte ich (deswegen ja auch dieses Blog) erstmal nur eine Frage: Wie sieht das mit den Daten aus? Und wenn man dann in Googles Privacy-Policy zum Chrome blickt (hier auf Deutsch), liest man interessantes, so unter anderem:

1. Eingegebene Adressdaten landen automatisch bei Google – zumindest für die Suggest-Funktion
2. Gleiches gilt für aufgerufene nicht-existierende URLs
3. Die vorhandene Chrome-Installation hat eine eindeutige Seriennummer, so dass sie individualisiert werden kann

Dies nur als Auszug. Jeder muss entscheiden, ob ihm das schmeckt – ich mag es naturgemäß nicht. Beispiel: Sobald ich mich einmal mit einem Google-Account einlogge, wird dann meine Chrome-ID zugeordnet, so dass später jeder Zugriff mit Chrome mir als Nutzer zugeordnet werden kann – auch wenn ich nicht eingeloggt bin und keine Cookies habe? Technisch möglich ist es jedenfalls.

Die Sache mit den Domains ist zwar praktisch und der Missbrauch scheinbar nicht möglich: Hier muss man einfach weiter in die Zukunft denken. Wie sieht es denn aus, wenn ein User regelmäßig unter verschiedenen Domains die ihm vorgeschlagen werden eine bestimmte Richtung wählt? Wer etwa immer “spieg” eintippt und zwischen spiegel.de und spiegelfechter.de auswählen kann – und dann regelmäßig die gleiche Wahl trifft, lassen sich hier nicht Vorlieben eines Users erkennen und zuordnen?

Und, ebenfalls interessant: Wenn Google diese eindeutige ID auslesen kann, kann es dann nicht auch jede andere Webseite? Bietet sich hier erneut eine Möglichkeit an, Rückschlüsse auf User zu ziehen – Analog zur Speicherung von Kamera-Seriennummern in EXIF-Informationen von Fotos, wie heute schon regelmäßig vorgenommen?

Dies sind, angesichts der zukünftigen Frage, wie sich die Google-Dienste mittels Chrome weiter verbreiten, nur kleine Fragen und ebenfalls großteils Zukunftsmusik. Speziell wenn man sich ansieht, wie viel Energie Google ind ie Beschleunigung und Absicherung von Javascript im Chrome gesteckt hat, liegt es auf der Hand worum es hier geht: Javascript-basierte Dienste (zufällig sind das viele, vor allem die Office Anwendungen von Google) sollen sich besser umsetzen lassen. Das schlichte Design ist nichts anderes als eine geringere Barriere bei der Integration der Google-Dienste in den Desktop.

Für mich verbleibt die Frage, warum ich diesen Browser nutzen sollte: Schneller als Safari ist er nicht, der Unterschied zu einem ordentlich konfigurierten FF/Opera bei mir nur marginal. Also warum nutzen und Google schon wieder kostenlos unterstützen? Hier ist (Unique-ID die ausgelesen werden kann zusammen mit dem Blick in die Googlisierte Welt) auch meine Hauptkritik – die Punkte wie Suggest & Co. mögen noch dazu kommen, aber jedenfalls jetzt kann man sie ja deaktivieren.

In diese Richtung geht auch der Artikel bei der Sueddeutschen, der offen vor einer Monopolisierung warnt. Zwar gibt es ein faktisches Google-Monopol bei der Suche, doch noch verbleiben Resträume. FireFox und Linux bieten Alternativen, was einzig fehlt ist eine freie Suchmaschine – vielleicht kommt die auch eines Tages. Bis dahin verbleibt ein Zitat von der SZ, das man sich merken sollte:

Es ist freilich viel einfacher, die Frische von Eiern als die Qualität von Suchergebnissen und Datenprofilen zu überprüfen [...] Wer ins Netz geht, muss aufpassen nicht Beute zu werden.

Weitere Artikel:

• Zeit-Online
• Medien-Gerecht
• Basic Thinking
• Golem
• Weitere Blog-Reaktionen via Rivva

Nur so viel: Es ist egal, ob AddOns installiert sind oder nicht. Ebenfalls habe ich den FF auch schon vollständig entfernt, von Hand alles verbliebene (auch ind er Registrierung) gelöscht und danach neu installiert. Geändert hatte ich auch nichts, es war einfach so da.

Da ich momentan das Internet zum arbeiten brauche und keine Zeit für lange Spielchen habe, habe ich mir kurzerhand den Safari-Browser gezogen – und bin überrascht: Der ist selbst verglichen mit einem FireFox ohne Addons unvorstellbar schnell. Einziges (und für mich doch grosses Manko) sind die fehlenden PlugIns, allem voran “NoScript”. Dennoch empfehle ich, in den (kostenlosen) Browser mal reinzusehen, auch wenn ich angesichts der letzten Entwicklungen bei Apple etwas kritisch bin, welche versteckten Funktionen da evt. enthalten sind.