Ein Hinweis zu einer Veranstaltung an der FH-Potsdam zum Thema Biometrie:
Der Studiengang Europäische Medienwissenschaften veranstaltet vom 12. bis zum 14. März 2009 im Schaufenster der FH Potsdam eine öffentliche Tagung und Ausstellung zum Thema biometrischer Bilder, auf der Referenten aus Mathematik, Sozial- und Geisteswissenschaften, Alltag und Kunst sprechen werden.
Auf Anhieb fällt auf, dass die geplanten Vorträge durch die Bank äusserst abwechslungsreich klingen. Infos zu finden hier.
DerWesten macht darauf aufmerksam, dass die “iNanny” vorgestellt wurde:
Manchmal kann es ganz schön nervenaufreibend sein, wenn man nicht weiß, wo gerade das eigene Kind steckt. Hier könnte ein kleines GPS-Ortungsgerät namens iNanny helfen, das die deutsche Firma Leoworx auf der Mobilfunkmesse in Barcelona vorgestellt hat. Es handelt sich dabei um eine Art kleine Schachtel mit ein paar Bedienungsknöpfen, die gerade einmal 75 Gramm schwer ist. Die iNanny, das elektronische Kindermädchen, soll im März in den Handel kommen.
Wie schon gesagt: Ich verstehe wegen der eigenen Betroffenheit besorgte Eltern sehr gut und will hier weder verteufeln noch das Produkt bewerben.
Ich kann aber nur nochmal darauf hinweisen, dass die versprochene Sicherheit auch den Effekt der Gefährdung in sich trägt, denn zur Zeit wird nirgendwo thematisiert, dass die Technik auch ein Ausspionieren von Opfern zulässt. Wer sagt denn, dass eben nur die Eltern darauf zugriff haben und nicht auch der potentielle Täter. Den einfachsten denkbaren Fall habe ich schon mit Blick auf den Google Dienst angesprochen:
Jeder muss sowas für sich abwägen, ich bin hier gerade als Vater mit entsprechender Ausbildung skeptisch, weil ich Sorge habe, dass ein potentieller Täter sehr viel leichter das Vertrauen meines Kindes erschleichen könnte, die Zugangsdaten zu so einem Dienst als vermeintlicher Freund erhält und letztlich den Dienst zum gezielten Nachstellen nutzen kann. Die vermeintliche Sicherheit wird, in diesem eher einfachen Szenario, sehr schnell zum Sicherheitsrisiko.
Eltern müssen gezwungenermaßen über dieses Szenario nachdenken und in die eigene Abwägung miteinfließen lassen.
Ein Lesetipp: Simitis im Interview bei der SZ, zu finden hier. Dazu im Weiteren die kurze Bemerkung von Stadler beachten.
Es sollte bekannt sein, dass “der Simitis” ein Kommentar zum BDSG ist, der bis heute wohl der umfangreichste (und auch dogmatischste) zum Thema ist. Anders als der “Gola/Schomerus”, der als Handkommentar zwar unglaublich verbreitet ist, aber eben viele Fragen gar nicht aufwirft bzw. analysiert. So ist die schlechte Aufbereitung im Gola/Schomerus schuld, dass manche Amtsgerichte bis heute ungeprüft von einem “relativ personenbezogenen Datum” sprechen; offensichtlich in Unkenntnis der Tatsache, dass dieses fragwürdige Konstrukt heute keine breite Basis mehr hat.
Im Vergleich Simitis vs. Gola/Schomerus fällt nicht nur der erhebliche Unterschied im Tiefgang auf: Der Gola/Schomerus ist im Zweifelsfall immer etwas “konservativer” ausgerichtet, in vielen Fällen ist eine enge Anwendung der BDSG-Regeln heraus zu lesen. Der Simitis dagegen zeigt im Regelfall alle Seiten auf, vertritt dann aber im Ergebnis eine weite Anwendung der BDSG-Regeln.
Die Bundesregierung möchte dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Befugnisse einzuräumen, technische Vorgaben für die Sicherung der Informationstechnik (IT) in der Bundesverwaltung zu machen und Maßnahmen umzusetzen, um Gefahren für die IT-Sicherheit abzuwehren.
Der Gesetzentwurf ist hier zu finden und in vielerlei Hinsicht von großem Interesse:
Der Entwurf hatte schon vorher für Aufsehen gesorgt, weil Datenschützer teilweise bemerken, dass durch die in Artikel 3 vorgesehene Änderung des TMG eine Surf-Protokollierung erfolgen werden. Ich hatte dazu hier bereits Anmerkungen gegeben, die ich so auch aufrecht erhalte und um einen Punkt ergänzen möchte:
Die Erlaubnisnorm im TKG schafft am Ende mehr Probleme, als sie löst, wie ich ja schon dargestellt habe. Ein weiteres Problem könnte aber dazu kommen: Wer im Gesetzesentwurf auf Seite 23 und 24 die Anmerkung zur Änderung im TMG liest, merkt, dass “der Gesetzgeber” der Meinung ist, dass es keine vernünftigen Erlaubnistatbestände zum Speichern von Nutzungsdaten (also auch IPs, darum geht es hier ja konkret) gibt. Er möchte nun einen ausdrücklichen Erlaubnistatbestand schaffen, berücksichtigt aber ausdrücklich die prävention von “Störungen” – und sonst nichts. Insbesondere geht er gar nicht erst auf das Thema Statistiken ein.
Im Rahmen der Auslegung des TMG kann man somit formulieren, dass der Gesetzgeber (1) keine Erlaubnistatbestände zur Speicherung sieht und (2) gezielt nur die Behebung von Störungen vor sieht. Das schlägt der Speicherung von Daten für rein informative Statistiken, etwa via Google Analytics, natürlich den Boden unter den Füßen weg.
Selbst wenn man “Störung” weit versteht (auf Seite 24 wird es ausdrücklich formuliert), kann man beim besten Willen reine Marketing-Statistiken nicht darunter fassen. Einen Ausweg kann ich aber anbieten: Wenn etwa Statistik-Anbieter den Aspekt “Sicherheits-Analyse” aufnehmen und die Datenauswertung auch dazu vornehmen, dürfte es erfasst sein.
Im Ergebnis ist aber festzuhalten, dass letztlich keine Klarheit geschaffen wird – weder für die eine, noch für die andere Seite. Der Gesetzgeber sollte seiner Verantwortung gerecht werden und einen ausdrücklichen und abschliessenden Erlaubniskatalog zur Verwendung von Nutzungsdaten erstellen. Solange dies nicht geschieht, ist und bleibt es eine umstrittene Grauzone.
Der CCC hatte vor kurzem den “Vertrag zu Netzsperren” publiziert, darauf habe ich hier ja schon hingewiesen. Vor kurzem wurde dieser Entwurf überarbeitet und kursiert in einer zweiten aktualisierten Auflage als Diskussionsgrundlage, die mir nun vorliegt und die ich hier (als PDF) zur Verfügung stelle. Zur Zeit kein Kommentar dazu, es gelten erstmal meine bisherigen Ausführungen.
Hinweis: Ich bleibe ad hoc dabei, dass jeglicher Vertrag dieser Art unrechtmässig ist, da ein Verwaltungsakt mit diesem Inhalt (mangels gesetzlicher Grundlage) schon nicht möglich ist. Somit ist der Vertrag nach §59 II VwVfG-Bund nichtig.
Das Wesentliche aus meiner Sicht habe ich zum Thema Handy-Ortung via Google ja schon geschrieben, hier nun ein Hinweis auf einen Artikel bei “DerWesten” zum Thema.
Von mir nun noch ein Hinweis: In eigener Neugierde habe ich auf einem Test-handy Google-Maps installiert und einige Tage geprüft, wie genau die Daten sind. Sofern man einen GPS-Empfänger nutzt sind die Daten natürlich perfekt, das ist keine Frage.
Jedenfalls wenn man aber die Sendemast-Daten nimmt, waren die Daten bei mir in Köln, Bonn, Aachen und Düren bestenfalls halbwegs passabel und nur nutzbar, um annähernd zu bestimmen, in welchem Ort bzw. Stadtteil man sich gerade befindet. Zum Spionieren reicht das natürlich, dennoch setze ich bei dem Thema weiterhin auf den aufgeklärten Verbraucher. Gerade Dienste wie der von Google haben vor allem einen hohen Anspruch an die Vernunft des Benutzers.
Jedenfalls bietet Google-Maps-Mobile eine leicht nutzbare Option, die mit einem Klick die Wahl lässt, wann man seine Position offen zur Verfügung stellt und wann nicht.
Der Verlust von Daten kostet deutsche Unternehmer durchschnittlich 2,41 Millionen Euro pro Vorfall. Zu diesem Wert kommt eine Studie des Ponemon Instituts, in Auftrag gegeben wurde die Untersuchung von PGP. [...]
Laut der Studie kostet ein verlorener Datensatz durchschnittlich 112 Euro. Je 36 Euro des Gesamtbetrags entfielen auf das Entdecken und interne Aufarbeiten, Umsatzeinbußen in Folge der Panne sowie Reaktionen gegenüber den betroffenen Personen. Im Vergleich zur normalen Kundenfluktuation stieg die Zahl der mangels Vertrauen in das Datenpannen-Opfer abgewanderten Kunden um laut Studie um 3,24 Prozent. Ein befragtes Unternehmen verlor sogar acht Prozent der Bestandskunden.
In der aktuellen NJW 9/2009 finden sich zwei Aufsätze, einmal von Thilo Weichert (ab Seite 550) und dann folgend von Helmut Redeker (ab Seite 554) zum Thema “Datenschutz bei Rechtsanwälten”.
Rechtsanwälten sei dringend empfohlen, sich beide Aufsätze in Ruhe durchzulesen. Dabei kann Weichert leider, nicht zuletzt aufgrund erheblicher Argumentations-Fehler, nicht überzeugen und schlägt letztlich in einigen Punkten auch vollends über die Strenge. Wer den Aufsatz von Redeker liest, findet dabei die wichtigsten Anmerkungen, wobei ich nochmals hervorheben möchte:
Das Thema Datenschutz ist ud bleibt bei Rechtsanwälten ein “heißes Eisen”. Leider scheint es gerade bei kleineren Kanzleien bis heute unterschätzt zu werden, dabei lebt gerade der Einzelanwalt von seinem Ruf und Image vor Ort.
Beispiel: Offene WLAN beispielsweise, die Zugriffe auf Dokumente ermöglichen – etwa bei einer einfachen Windows-Freigabe für Word-Dokumente – sind mir schon begegnet. Das Risiko für die Infrastruktur, etwa wenn jemand sich einloggt und Daten löscht oder verändert, sind dabei nur eine Seite und verursachen auch direkten Schaden. Sollte dies aber bekannt werden – und gerade in der aktuellen Zeit ist nicht ausgeschlossen, dass eine Lokal-Zeitung sich darauf stürzt – ist fraglich, wie es um die Existenz der Kanzlei bestellt ist.
Daher, erneut, mein Rat sich mit dem Thema als Rechtsanwalt auseinander zu setzen. Die Aufsätze vin Weichert und Redeker in der NJW 9/2009 sind dazu ein gelungener Ansatz.
Eine lesenswerte Pressemitteilung des Landesdatenschutzbeautragten MV:
Im Vorfeld der Kommunal- und Europawahlen am 7. Juni 2009 stehen die kommunalen Meldeämter erneut vor der Entscheidung, ob sie Namen und Anschriften der Wahlberechtigten sortiert nach Altersgruppen, in der Regel die Anschriften der Erstwählerinnen und Erstwähler, an Parteien, Wählergruppen und anderen Trägern von Wahlvorschlägen weitergeben müssen. Dazu hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Karsten Neumann, an alle Bürgermeister und Amtsvorsteher sowie die großen demokratischen Parteien in Mecklenburg-Vorpommern mit der Bitte gewandt, dem Schutz der Daten der vor allem jugendlichen Betroffenen den Vorrang vor Wahlkampfinteressen einzuräumen.
Eine von ihm im Jahr 2006 im Nachgang zur Landtagswahl durchgeführte Befragung aller Meldeämter hat ergeben, dass die NPD mindestens 62 mal, die SPD 4 mal, Die Linke 3 mal und CDU, FDP und B 90/Grüne jeweils einmal von der Möglichkeit der Melderegisterauskunft nach § 35 Abs. 1 Landesmeldegesetz Gebrauch gemacht haben, wodurch allein der NPD insgesamt 62.598 Adressdatensätze, in der Regel elektronisch, übermittelt wurden.
Die Meldebehörden des Landes dürfen diese Daten übermitteln, sofern die Betroffenen von ihrem Widerspruchsrecht keinen Gebrauch gemacht haben.
Neumann dazu heute in Schwerin: “Nach wie vor ist dieses Widerspruchsrecht nur wenig bekannt. Wer keine auf diesem Weg persönlich adressierte Wahlwerbung erhalten und lieber selbst darüber entscheiden möchte, bei welchen Parteien oder Kandidaten er sich informiert, kann von seinem gesetzlichen Widerspruchsrecht gegenüber der für ihn zuständigen Meldebehörde Gebrauch machen. Dieses Widerspruchsrecht steht auch den Erstwählern zu, unabhängig davon, ob sie bereits volljährig sind oder nicht. Der Widerspruch ist kostenfrei und muss nicht begründet werden.”
Die Meldebehörden des Landes halten entsprechende Vordrucke bereit. Ein Mustertext kann auch beim Landesbeauftragten für Datenschutz und Informationsfreiheit unter der Internetadresse www.datenschutz-mv.de abgerufen werden.
“Aber schon nach der geltenden Rechtslage muss die Meldebehörde die Adressen nicht herausgeben!”, tritt Neumann der Meinung entgegen, dass die Gemeinden keine andere Entscheidung treffen könnten. “Viele Gemeinden im Land verweigern bereits eine Herausgabe der Wählerlisten völlig legal, wenn dies für alle Wahlbewerber und Parteien gleichermaßen gilt. Wenn die politisch Verantwortlichen die Herausgabe ganzer Adresslisten der Bürger verhindern wollen, sollten die Gemeindevertretungen oder Bürgermeister schnellstens die zuständigen Ämter auffordern, Melderegisterauskünfte zum Schutz der personenbezogenen Daten der Wählerinnen und Wähler abzulehnen,” fordert der Landesbeauftragte für Datenschutz und Informationsfreiheit bezugnehmend auf ein entsprechendes Schreiben des Innenministeriums vom 28. August 2006.
“Die demokratischen Parteien rufe ich dazu auf, einen generellen Verzicht auf dieses überflüssige Mittel der Wahlwerbung erklären,” so Neumann abschließend.
Die Schülerdatei kommt in Berlin (übrigens mit den Stimmen der SPD und “DerLinken”). Ich schreibe dazu nichts und verweise hier einfach auf den gelungenen Beitrag beim CCC.
Mit Überraschung lese ich zur Zeit, dass manche Ministeriums-Mitarbeiter (in Deutschland) der Meinung sind, das Blocken/Manupulieren von Domain-Auflösungen wäre kein Eingriff in den Art. 10 GG, da ja noch gar keine Kommunikation stattfindet.
Nun sehe ich es sicherlich so, dass schon die Abfrage der Daten zur Auflösung eine Kommunikation darstellt.
Wichtiger aber ist, dass man schon vorher diese Stellungnahme ablehnen kann, mit einer einfachen und vom BVerfG bestätigen logischen Schlussfolgerung: Ein Fernmeldegeheimnis kann nur dort existieren, wo man auch “fernmelden”, also kommunizieren kann. Es wäre befremdlich, wenn zwar der Inhalt der Kommunikation geschützt wäre, der Staat aber im Gutdünken entscheiden dürfte, mit wem man wann kommunizieren dürfte. Das wäre so wie eine Freizügigkeit, bei der der Staat frei beschliesst, ob man sich überhaupt bewegen dürfte.
Das klingt logisch und wurde glücklicherweise vom BverfG bereits festgehalten (in BVerfGE 67, 157, 172), dort heisst es u.a.:
Das Fernmeldegeheimnis sichert den Einzelnen nicht nur gegenüber der Post, sondern auch Bürger und Post gegenüber anderen staatlichen Stellen. Es schützt den privaten und den geschäftlichen Fernmeldeverkehr vor Eingriffen der öffentlichen Gewalt. Die grundrechtliche Gewährleistung umfaßt nicht nur den Inhalt geführter Telefongespräche, sondern auch die näheren Umstände des Fernmeldeverhältnisses.
Dazu gehört insbesondere die Tatsache, ob und wann zwischen welchen Personen und Fernmeldeanschlüssen Fernmeldeverkehr stattgefunden hat oder versucht worden ist (vgl. OVG Münster, NJW 1975, S. 1335).
Geschützt ist also ausdrücklich die Tatsache, dass Fernmeldeverkehr versucht wurde, also der reine Verbindungsaufbau. Und zum Schutzbereich gehören eben auch die Informationen, die hier manipuliert werden: Wer möchte mit wem kommunizieren.
Wie weit der Schutz mitunter geht, ist auch beim OLG Düsseldorf zu lesen (NJW 1995, 975), das sogar Gespräche in einem Raum schützt, die während des Verbindungsaufbaus an einem Telefon stattfinden.
Einen Eingriff überhaupt schon zu verneinen, und dann mit einer derart absurden Argumentation, lässt daher zu Recht die Haare zu Berge stehen. Sicherlich liegt ein Eingriff vor, und nicht nur in den Art. 10 GG, sondern auch in andere, mindestens Art. 2 I GG, der ja ohnehin immer betroffen ist. Dass also eine “Sperre” nicht mit Eingriffen verbunden ist, ist – mit Verlaub – juristisch Blödsinn. Die Frage ist, ob der Eingriff nun rechtmäßig ist, und speziell beim Art. 10 GG bietet der Absatz 2 ja weitreichende Möglichkeiten für Gesetze. Aber sicher nicht für gemauschelte Verträge.
Spannend ist – zumindest akademisch – die Frage, ob bei einer solchen Manipulation auch das “neue” Grundrecht der Integrität von IT-Systemen betroffen ist. Beim Nutzer wird ja zumindest mittelbar eingegriffen; einen solchen mittelbaren Schutz hat das BverfG jedenfalls hinsichtlich des Abhörens von Wohnungen von der Strasse aus (Art. 13 GG) entwickelt.
Die Tagesschau berichtetheute:
Der Verfassungsschutz soll nach dem Willen der Union künftig auch Daten von Minderjährigen speichern können. Das sagte der Innenexperte der Unions-Fraktion, Hans-Peter Uhl, der “Berliner Zeitung”.
Demnach soll die Altersgrenze für die elektronische Speicherung personenbezogener Daten von derzeit 16 Jahren auf 14 oder zwölf Jahre gesenkt werden. Ziel sei eine bessere Überwachung terrorverdächtiger Minderjähriger, erläuterte Uhl. Das Gesetz soll vor der Sommerpause geändert werden.
Jedenfalls ist doch immer wieder überraschend, mit welcher Priorität gearbeitet wird: Während solche Aktionen noch “vor der Sommerpause” durchgehen sollen, dürfen wir auf ein Arbeitnehmerdatenschutzgesetz oder die dringende BDSG-Reform weiter warten.
Heise berichtet, dass in Mexiko aus Verzeiflung nun Handys nur noch gegen Fingerabdruck verkauft werden:
Ab April dürfen in Mexiko Mobiltelefone nur noch bei Hinterlassung eines Fingerabdrucks abgegeben werden. Dieser wird zusammen mit Name und Adresse des Käufers von den Mobilfunkanbietern in einer Datenbank gespeichert. Zusätzlich sollen die Verbindungsdaten ein Jahr lang aufgehoben und bei Bedarf auf richterliche Anordnung herausgegeben werden.
Angeführt wird vor allem die Gang- und Drogenproblematik, der die Behörden wohl nicht wirklich Herr werden, aber:
Für Drogengeschäfte und andere Verbrechen werden schon jetzt sehr häufig gestohlene Geräte benutzt, deren rechtmäßige Eigentümer dann Opfer von Fahndungsmaßnahmen werden können
Die Frage ist also, ob man sich für die Bürger nun mehr Sicherheit oder mehr Unsicherheit erkauft.
Im Googlemail-Blog wird von einem neuen Feature berichtet, dass es ermöglicht, die Positionsangabe (jedenfalls die der aktuellen IP) in die Signatur von via Googlemail gesendeten Mails aufzunehmen – zu lesen hier.
Interessanter Artikel bei Telepolis, der beschreibt, wie durch die Finanzkrise plötzlich der Terrorismus zunehmend anders bewertet wird:
Die Angst zu Zeiten der Finanzkrise sieht anders aus als 2002. Mit der neuen Angst entsteht auch Distanz zu jener, die gerade nicht im Vordergrund steht. Der Blick auf die Angst vor Terroranschlägen ist ein anderer als noch vor ein paar Jahren. Doch die Gesetze, die in der Folge der Anschläge des 11.September 2001 weltweit in Kraft gesetzt wurden, sind geblieben. [...]
“Wir waren im Laufe der Untersuchung geschockt über das Ausmaß der Schäden, die in den letzten sieben Jahren durch exzessive oder missbräuchliche Antiterrormaßnahmen in großen Teilen der Welt angerichtet wurden.”
Datenschutz-Videos
