Okt10

Ein Sammlung von gestrigen Meldungen:

  1. Heise meldet, dass das Bundesmelderegister umstritten ist: Das Bundesinnenministerium will daran festhalten, während SPD und Opposition das Thema als erledigt ansehen. Jedenfalls bis neue Mehrheitsverhältnisse geschaffen sind ist das Thema damit wohl verschoben – Meldung hier.
  2. Für Aufruhr sorgte gestern der von der Bundesregierung angekündigte Dienst “De-Mail”, eine Art staatliches Email-Angebot, dazu die Meldung bei Heise und bei Golem. Mein erster Tipp: Nicht überbewerten.
  3. Etwas mehr Sorgen als De-Mail machnt mir zur Zeit der Hinweis, dass britische Forscher behaupten, aus DNA-Material auf familiäre Verhältnisse schliessen zu wollen – so zu lesen bei SPON. Dass die Kriminalistik da schon anklopft ist nicht überraschend.
Okt9

Kurzer Hinweis: Es wird berichtet, dass ein Report der US-Regierung zu dem Ergebnis kommt, dass Data-Mining-Systeme zur frühzeitigen Erkennung terroristischer Aktivitäten nicht funktionieren, hier Infos im Wired-Blogdazu.

Erinnerung an diesen Artikel zum Thema.

Okt9

Das Sicherheitsblog macht darauf aufmerksam, dass es bei Afterbuy ein Problem mit Dtaen geben soll:

Ein Klick auf den Link bringt den Käufer zu einer Auftrags- und Statusübersicht – ohne Authentifizierung, aber brav SSL-verschlüsselt. Auf der besagten Webseite fanden sich dann allerlei Daten über Käufer und Verkäufer der Ware. Der eBay-Benutzername, der reale Name, die vollständige Adresse, Telefon- und Faxnummer, Mailadressen, die Bankverbindung des Verkäufers und natürlich alles Wissenswerte über den gekauften Artikel. […] Die SSL-Verschlüsselung ist als Schutzmaßnahme natürlich reichlich sinnlos, wenn der Zugriff auf die Webseite keine Authentifizierung erfordert. Die Grundannahme “den Link kennt ja niemand” ist naiv.

Wenn das so stimmt, wäre es jedenfalls übel – mangels Prüfungslink kann ich dazu nichts sagen und verweise hier nur auf den dortigen Artikel.

Okt9

Ich möchte hier einfach auf einen Blog-Eintrag bei Indiskretion Ehrensache hinweisen. Inhaltlich finde ich ihn fürchterlich – aber ich versuche gerne immer wieder, andere Meinungen zum Thema ebenfalls aufzunehmen um die Diskussion in gang zu halten.

Bereits der zweite Kommentar dort von “Andreas” sagt schon alles. Dennoch kurz ein paar Hinweise zu dem leider schlechten Artikel:

Nun, merkwürdigerweise wollen Millionen Menchen genau das.

Woher weiss er das? Hat er Millionen Menschen gefragt? Es ist bestenfalls eine Behauptung, denn jedenfalls bei amazon kann man die Empfehlungen nicht abstellen, so dass ihre Existenz alleine keine Aussage zur Beliebtheit ist.

Der Hinweis auf den Buchhandel

Der vom Autor gebrachte Hinweis auf den “realen” Buchhandel ist bestenfalls peinlich: Vielleicht, ganz vielleicht, hat man Buchhändler tatsächlich einen kleinen Tipp für mich, weil er mich regelmässig bedient. Das mag sein. Aber das ist was anderes als eine Weltweite Datenbank, in der ein fester Prozentsatz aller deutschen Konsumenten mit allen Vorlieben (inklusive nur betrachteter und nicht gekaufter) Ware vorhanden sind.

Aber was ist mit Kundendatenbanken bei anderen Firmen.

An diesem Punkt endet dann auch meine Auseinandersetzung, weild er Autor selber nicht mehr weiss was er will. Zuerst spricht er von den Empfehlungen, jetzt springt er auf die reinen Kundenstammdaten. Hier werden Eier, Birnen und Äpfel vermengt um eine abstruse und falsche Sicht der Dinge zu “begründen”.

Für mich ist es schade, weil eine fundierte (andere) Meinung immer ein guter Aufhänger ist, um die eigene Meinung kritisch darzustellen. Das ist hier leider beim besten Willen nicht möglich, daher kann ich nur empfehlen, auch die Kommentare zu lesen, hier findet sich dann doch manch fundierte Aussage.

Zum Thema kleine Pflichtlektüre ist dann noch dieser Artikel beim Lawblog, der bei ernsthafter Betrachtung eben die Risiken aufzeigt um die es geht, wenn man bedenkt, dass Ermittlungsbehörden auch nachprüfen, welche Bücher man in Büchereien ausleiht. Auf diesen Gedankengang kommt unser Schreiber beim Handelsblatt-Blog dann leider auch nicht.

Okt8

Bisher habe ich mit (schwer verständlichen) rechtsdogmatischen Erwägungen die Position vertreten, dass es kein “relativ personenbezogenes Datum” geben kann. Und somit auch die IP letztlich ein personenbezogenes Datum ist. Während ich bei Retrosphere einen Artikel zum Thema lese – der sogar mit einer beeindruckenden Fundstellenliste (in der der BGH aber fehlt) festhält, dass es für ihn h.M. ist, dass die IP personenbezogen ist – fällt es mir wie Schuppen von den Augen: Das Thema ist durch.

Der Webseitenbetreiber kann via §101 UrhG problemlos ermitteln, wer hinter einer IP steht. Das Argument, ein Webseitenbetreiber könne gar keine Zuordnung vornehmen, ist damit veraltet. Und bevor nun einer aufschreit, dass ja ein Webseitenbetreiber erstmal ein “gewerbliches Ausmaß” geltend machen muss: Das ist ja gerade der Beweis, dass er es unter Umständen problemlos tun kann. Und wenn irgendwann irgendein Kochbuchbetreiber auf dem Weg die IPs derjenigen ermittelt, die via “HTTRACK” die gesamte Präsenz kopieren, und das auch noch im User-Agent deutlich machen, wird klar wovon ich rede.

Ob das abwegig ist oder nicht liegt als Streitfrage auf der Hand – aber im Datenschutz interessieren glücklicherweise keine Wahrscheinlichkeiten, sondern nur Möglichkeiten. Und dank §101 UrhG ist die Möglichkeit eindeutig gegeben.

Aktueller Hinweis: Ich biete hier auf IP-Adressen-Recht.de eine ständig aktualisierte Übersicht zu dieser Frage.

Okt8

Ich verweise hier auf einen TAZ-Artikel, der einen (bekannten) Komplex sehr gut zusammenfasst:

Seit 2001 überwachten Bundeskriminalamt und Verfassungsschutz drei Männer aus Berlin. Erst waren sie Terroristen, dann Kriminelle und am Ende unschuldig. […]

Doch das BKA überwachte offensichtlich jahrelang die Falschen, dazu mit fragwürdigen Mitteln. Alte Stasi-Akten wurden ausgewertet, auch Gespräche mit Anwälten mitgeschnitten. […]

Ausgehend vom vagen Anfangsverdacht wurde jahrelang fleißig überwacht: GPS-Peilsender und Mikrofone im Wagen von Ernst-Jochen U., das WG-Telefon und Handys wurden angezapft, Kameras vor den Hauseingängen installiert, Kontobewegungen eingesehen. Wie Parasitenbefall fühle sich das an, sagt Markus H. Das BKA verwanzte sogar die Lieferwagen der Bäckerei, wo Ernst-Jochen U. arbeitete. […]

Die Beweismittel türmten sich: “F. betritt Objekt mit einem Kindersitz und einem Regenschirm.” Ernst-Jochen U. machte sich verdächtig, weil er in seinem Wagen Radio 1 hörte – einen Sender, an den auch ein Bekennerschreiben der militanten gruppe ging.

Vielleicht, langsam, versteht der ein oder andere was ich meinte, als ich 2007 geschrieben habe:

Wenn selbst die Entscheidung, bei welchem Bäcker man wie oft seine Brötchen holt, plötzlich für den Staat von Interesse sein wird, wird auch dem letzten klar werden, dass er etwas zu verbergen hat.

Okt8

Der Bundestag teilt mit, dass das System für ePetitionen nun umgestellt wurde:

Das neue System der elektronischen Petitionen – zu finden unter https://epetitionen.bundestag.de/ – ist übersichtlich und ausgesprochen benutzerfreundlich. Die Bürger können dabei wählen, ob sie eine Petition einreichen, die nur sie persönlich betrifft, oder ob sie für eine Petition von allgemeinem Interesse um Unterstützung werben wollen. Öffentliche Petitionen können weiterhin im Internet von jedem Bürger durch elektronische Mitzeichnung unterstützt werden. Neu: Statt der bisherigen zwei unterschiedlichen Zugänge für öffentliche Petitionen und für Einzelpetitionen gibt es jetzt für beide Eingabenarten ein einfaches Online-Formular.

Das neue System ist in der Tat optisch ansprechend und übersichtlich, was immer noch fehlt ist da Hervorheben besonders populärer Petitionen. Das aktuelle Verfahren ist jedenfalls nicht hilfreich, wenn eine gute Idee einfach nicht bekannt wird und somit keine Unetrstützer findet – andernfalls kann das aber auch gewollt sein.

Andererseits gibt es nun eine Diskussions-Funktion zu den Petitionen, was es insgesamt sehr ansprechend und aktiver gestaltet für die Bürger.

Beitrag weiterlesen »

Okt8

Die Bundessteuerberaterkammer bietet eine Informationsbroschüre zum Thema Steuerberater und Datenschutz, zu finden hier.

Die Broschüre ist leider recht kurz, verdeutlicht aber vor allem eines: Dass man heutzutage in diesem Bereich nicht ohne entsprechende Beratung tätig sein sollte. Schön ist der (ebenfalls sehr kurze) Abschnitt zr “Durchsuchung und Beschlagnahme”, wieder ein Grund mehr, einen erfahrenen (Wirtschafts-)Strafrechtler in der Hinterhand zu haben.

Okt8

Kremer-Legal weist darauf hin, dass das AG München in einer aktuellen Entscheidung der Meinung ist, dass IP-Adressen keine personenbezogene Daten sind – das Urteil ist hier zu finden.

Ein Blick ins Urteil stellt schnell klar, dass das AG-München sich (recht plump, nur unter Hinweis auf den Gola/Schomerus) einfach auf das “relativ personenbezogene Datum” bezieht. Es findet weder eine Auseinandersetzung mit dem Urteil des AG-Berlin und LG-Berlin, aber auch nicht des BGH statt. Insofern ist es ein für die Diskussion ebenso nutzloses wie liebloses Urteil.

Aktueller Hinweis: Ich biete hier auf IP-Adressen-Recht.de eine ständig aktualisierte Übersicht zu dieser Frage.

Okt7

Auf Daten-Speicherung.de wird berichtet, dass die Verfassungsbeschwerde gegen das Passregister mangels Zulässigkeit (bereits am 24.6.08) abgewiesen wurde. Aus dem text von dort:

Mit Beschluss vom 24.06.2008 hat das Bundesverfassungsgericht entschieden, die Verfassungsbeschwerde gegen die Vorratsspeicherung von Passdaten in Passregistern nicht zur Entscheidung anzunehmen, „da sie unzulässig ist“. Eine nähere Begründung enthält der Beschluss nicht.

Es ist anzunehmen, dass die Beschwerde an der Beschwerdefrist von einem Jahr gescheitert ist. Das Bundesverfassungsgericht ist offenbar nicht der Argumentation gefolgt, durch die Einführung eines bundesweiten elektronischen Zugriffs auf Passdaten und Passbilder der gesamten Bevölkerung im November 2007 habe sich die Bedeutung der Passregister derart grundlegend geändert, dass sie auch nach Ablauf der Jahresfrist erneut auf den Prüfstand gestellt werden könnten.

Die Beschwerde ist hier als PDF zu finden.

Okt6

Bezeichnend, dass man auf den Webseiten des Bundesinnenministeriums und der Bundesregierung dazu keine Informationen findet: Die Bundesregierung plant, den Art. 35 GG zu ändern, um den Einsatz der Bundeswehr auch mit militärischen Mitteln auf dem Gebeit der Bundesrepublik Deutschland – außerhalb des Verteidigungsfalles – zu ermöglichen. Jedenfalls bei N-TV findet man dazu z.B. das hier:

Demnach sollen die Streitkräfte im Rahmen der Amtshilfe zur Abwendung außergewöhnlicher Unglücksfälle auch militärische Mittel einsetzen können. Dem Einsatz von Abfangjägern gegen ein nur mit Terroristen besetztes Flugzeug etwa wäre der verfassungsmäßige Weg eröffnet.

Der Artikel bei N-TV ist noch vom Samstag, nach meinen Informationen wurde am gestrigen Sonntag eine entsprechende Änderung (wahrscheinlich im Koalitionsausschuss) auf den Weg gebracht – der Entwurf selbst liegt mir (noch) nicht vor. (Die) Den üblichen (Propaganda) Populismus zitiere ich nur der Vollständigkeit halber:

Mit der Änderung soll eine Sicherheitslücke angesichts der terroristischen Bedrohung nach den Anschlägen in den USA vom 11. September 2001 geschlossen werden.

Mir graust ein wenig vor der Vorstellung, wie man die mutmaßlichen “Kofferbomber von Köln” mit militärischen Mitteln der Bundeswehr hätte stoppen wollen. Aber wenn das Wahljahr bevorsteht, wird das niemanden interessieren – weder die ca. 3 Millionen Bild-“Zeitungs”-Leser, noch die Politiker der Bundesregierung, die eher einen der eisernen Grundsätze des Grundgesetzes über den Haufen werfen, als das Grundrecht auf informationelle Selbstbestimmung ausdrücklich in das GG aufzunehmen. Interessant, dass für beides “gute juristische Argumente” angeführt werden von unseren Politikern.

Es zeigt sich wiedermal, dass meine Einschätzung, die ich schon in meiner Petition vertreten habe, richtig ist: Unsere Politiker gehen nur ans Grundgesetz, um unsere Rechte entweder einzuschränken oder leere “Staatsprinzipien” (Umwelt, Kultur, Sport) aufzunehmen. Sobald Sie etwas für uns aufnehmen sollen, kommt die Leier des “schlanken Grundgesetzes”. Wer es nachprüfen möchte, möge sich ein Grundgesetz nehmen und kontrollieren, wie viele neue Grundrechte von unseren Politikern seit 1949 geschaffen wurden: Nämlich keines. Und das trotz einer Fülle von Änderungen, die in jeder LEgislaturperiode stattfinden.

Update: Ich sehe gerade, dass bei der TAZ mehr Informationen zu finden sind. Beeindruckend dabei wieder, dass die Genossen der SPD eingeknickt sind:

Anders als von der SPD ursprünglich gefordert muss der Unglücksfall oder Anschlag nicht “unmittelbar” drohen; es genügt, dass die Polizei Indizien für einen zukünftigen Anschlag hat. Auch die zweite von der SPD einst geforderte Einschränkung entfiel. Eigentlich sollte die Bundeswehr nur zur Abwehr von Gefahren “aus dem Luftraum und von See her” eingesetzt werden. Jetzt ist auch der viel typischere Fall erfasst, dass Terroristen vom Boden aus agieren, also zum Beispiel einen Bahnhof in die Luft sprengen wollen.

Aber auch für die Demokratie klingt die neue Zukunft rosig, etwa wenn die TAZ überlegt, was man so tolles machen könnte:

Künftig könnte die Polizei im Fall einer Terrorwarnung gegen einen Staatsbesuch auch Panzer anfordern, zum Beispiel um Demonstranten in Schach zu halten, die Polizeimaßnahmen zum Schutz der Gäste behindern.

Aber, die SPD hat für ihr einknicken mit direkten Folgen für “das wesentlichste demokratische Grundrecht” (so das BVerfG zur Beurteilung der Demonstrationsfreiheit, scheinbar muss man heutzutage daran erinnern) auch große Zugeständnisse vom BMi erzielt:

Innenminister Schäuble verzichtet im Gegenzug auf Bundeswehreinsätze zum Objektschutz, gegen Piraten und im Quasiverteidigungsfall, die von der SPD abgelehnt wurden.

Das war ja eine (intelligente) Leistung.

Andere Meinungen dazu:

Okt5

Ich möchte hier auf ein älteres Urteil des BGH (VIII ZR 4/91) hinweisen, zu finden u.a. in der NJW 1992, ab Seite 737:

Eine Bestimmung in einem Vertrag über die Veräußerung einer Arztpraxis, die den Veräußerer auch ohne Einwilligung der betroffenen Patienten verpflichtet, die Patienten- und Beratungskartei zu übergeben, verletzt das informationelle Selbstbestimmungsrecht der Patienten und die ärztliche Schweigepflicht (Art. 2 I GG, § 203 StGB); sie ist wegen Verstoßes gegen ein gesetzliches Verbot (§ 134 BGB) nichtig.

Im gleichen Heft, ab Seite 729 findet man dazu eine Besprechung von Körner-Dammann, aus der ich nur einen kleinen Teil hier zitieren möchte:

Abgesehen von der grundsätzlichen Mißachtung des Rechts auf informationelle Selbstbestimmung des Patienten, die in der Übermittlung seiner Daten an eine externe Verrechnungsstelle liegt, ist diese Weitergabe auch mit ganz handfesten Nachteilen für den Betroffenen verbunden. Man denke nur an die Beschlagnahme ärztlicher Unterlagen. Der Schutz der StPO für diese Unterlagen (§ 97 StPO) knüpft nämlich daran an, daß sie sich beim Arzt befinden, d. h. daran, daß der Arzt Gewahrsam hat. Darüber hinaus ist die Datenverarbeitung bei einer Verrechnungsstelle für den Betroffenen undurchschaubarer als beim behandelnden Arzt, zumal sich die Verrechnungsstellen häufig geographisch an anderer Stelle befinden. Die Wahrnehmung von Informationsrechten des Betroffenen wird auf diese Weise erschwert.

Ein Problemfeld, das sich leider seit den 1990er Jahren nicht wieder ernsthaft auffinden lässt – wahrscheinlich, bis irgendwann der nächste “Skandal” durch die Tagespresse getrieben wird. Es sei hier nochmal daran erinnert, dass speziell Ärzte und Anwälte sich über die (Haftungs-)Risiken bei schluderndem Datenschutz bewusst sein müssen. Der hier von mir rausgesuchte Klassiker des BGH soll einfach als kleine Anregung zur Auseinandersetzung dienen.

Speziell der von Körner-Dammann schon 1992 aufgezeigte Problemkreis von Ermittlungstätigkeiten, die bei undurchdachtem Datenaustausch ausufern können und Schutzmaßnahmen der StPO unterlaufen können, kommt heute verstärkt auf den Tisch: Etwa wenn Provider VDS-, Verbindungs-, und Bestandsdaten durcheinandergewürfelt an Ermittlungsbehörden und private “Ermittler” herausgeben.

Okt4

Kurzhinweis auf den Spiegel:

Neuer Datenskandal bei der Telekom: Nach Informationen des SPIEGEL wurden mehr als 17 Millionen Datensätze von T-Mobile-Kunden gestohlen, auch von Politikern, Ministern und TV-Stars. Telekom-Chef Obermann hat die Regierung informiert – jetzt werden Analysen über die Gefährdung der Prominenten erstellt. […] Die Daten wurden der Telekom offenbar bereits Anfang 2006 gestohlen […]

Zu lesen hier

Okt2

Aufgrund eines aktuellen Artikels bei Heise muss ich es nochmals klar stellen – dieser Satz ist sachlich falsch und heute kein Streitpunkt mehr:

Die IP-Adresse könne lediglich einem Standort zugeordnet werden, nicht aber einer natürlichen Person und sei damit für eine Consumer-Analyse irrelevant.

Dass das falsch ist, liegt auf der Hand – denn die IP kann immer (zumindest für einen bestimmten Zeitraum) einer Person, nämlich dem Anschlussinhaber, zugeordnet werden. Ob der Anschlussinhaber auch der konkrete Nutzer ist, ist natürlich nicht immer feststehend, aber auch egal, dass das BDSG von einem “personenbezogenen Datum” spricht und eben nicht von einem “nutzerbezogenem”. Das heißt: Das Datum muss (irgend-)einer Person zuzuordnen sein, ob das nun der Nutzer ist, ist egal.

Ich betone es zudem nochmals: In Zeiten der Vorratsdatenspeicherung weiterhin zu behaupten, dass eine IP gar keiner Person zugeordnet werden kann, grenzt für meinen Geschmack schon an Dummheit oder Dreistigkeit.

Da die Artikel 29 Gruppe inzwischen fest die IP (ebenso wie der BGH, Simitis, die Landesdatenschutzbeauftragten sowie der Bundesdatenschutzbeauftragte Deutschlands) als personenbezogenes Datum einstuft, ist es zudem absehbar, dass es mittelfristig keine andere Ansicht zu diesem Thema mehr geben wird. Wer anders argumentiert, kann dies momentan sicherlich noch tun, doch steht fest, dass die Basis für die Argumentation wegbröckelt. Die Erhebung ist daher m.E. nur nach vorheriger Einwilligung vorzunehmen.

Aktueller Hinweis: Ich biete hier auf IP-Adressen-Recht.de eine ständig aktualisierte Übersicht zu dieser Frage.

Okt2

Ich hatte wohl doch Recht: Google Chrome ist nicht Chromium. In einem aktuellen Blog-Eintrag der Entwickler wird dargelegt, wann der Browser “nach Hause telefoniert”. Die Liste ist lobenswert ehrlich und ich möchte sie nicht kritisieren – Transparenz war ja, was ich angemehnt hatte.

Interessant ist aber dann, dass es u.a. folgenden Abschnitt gibt:

Communications between Google Chrome (but not Chromium) and service providers

Sinn macht der nur, wenn Chrome und Chromium nicht das gleiche sind. Und eben nicht nur im Sinne des üblichen Unterschieds zwischen Sourcecode und Binary.