Nov8

Ich habe soeben meinen StudiVZ-Account gelöscht. Vor hatte ich es schon länger, habe es nur nie gemacht. Genutzt hatte ich es – trotz persönlicher datenschutzrechtlicher Bedenken – weil es mit Blick auf mein Studium durchaus hilfreich gewesen ist. Nach dem Bericht bei Heise in Sachen “Erpressung”, habe ich mich nun endlich aufgerafft, dabei habe ich folgenden Grund (nicht der genaue Wortlaut) bei der Auflösung angegeben:

Das Vorgehen von VZ.net, wie es sich zur Zeit in der Presse darstellt, reicht mir um hier nichts mehr zu machen

Zunehmend wird zur Zeit darauf hingewiesen, dass gerade bei sozialen Netzen, die sich an junge Menschen wenden, auch eine bestimmte Verantwortung eingefordert werden soll. Dem mag ich zustimmen, doch letztlich existieren soziale Netze alleine wegen ihrer Benutzer, sie bilden die Netze quasi aus. Wer also von sozialen Netzen Verantwortung fordert, fordert diese logischerweise von den dort aktiven Mitgliedern. Wer selber Mitglied ist, muss somit bei sich selbst anfangen.

Nov7

Leider nur als kurzer Hinweis: Nachdem ich den Beitrag bei RA Stadler zum Thema Personensuchmaschinen gelesen habe, fällt mir zunehmend die Frage nach der Spezialität vom TMG und BDSG ins Auge. Was mir auffällt ist, dass hier scheinbar ein interessanter Streit liegen könnte, den ich hervorheben möchte. Es geht um die Frage, wann das TMG als Spezialgesetz Anwendung findet.

Hintergrund: Der §12 TMG schreibt deutlich, dass personenbezogene Daten nur verarbeitet werden dürfen, soweit das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt. Das BDSG bezieht sich nicht ausdrücklich auf Telemedien, die attraktiven Erlaubnis-Normen §§28, 29 BDSG fallen somit raus. Die aber werden – was keineswegs abwegig ist – im Bereich von Personensuchmaschinen mitunter herangezogen. An der Streitfrage, wann man das TMG als Spezialgesetz heranzieht, hängt also einiges für die Anbieter.

Meine Auslegung ist sehr weit, ich konzentriere mich auf den Begriff “zur Bereitstellung” im §12 TMG und sehe diesen immer erfüllt, wenn personenbezogene Daten, gleich aus welcher Quelle, verarbeitet werden und an diesem Verarbeitungsprozess die Bereitstellung der Webseite hängt. Gedankliches Beispiel: Wenn man die personenbezogene Verarbeitung ganz wegdenkt, und der Telemediendienst vollkommen funktions– oder sinnlos wird, liegt eine Bereitstellung vor.

Die Meinung von RA Stadler begründet er wie folgt:

Die §§ 12 ff. TMG sind insoweit nicht anwendbar, weil die hier in Rede stehenden Daten nicht von einem Nutzer zum Zwecke der Bereitstellung des Dienstes erhoben worden sind. Derjenige, dessen Daten bei Yasni präsentiert werden, ist nicht der Nachfrager und damit insoweit nicht Nutzer.

Das hatte ich schon im ersten Artikel angemerkt: Dafür gibt es für mich keinen Halt. Der §12 TMG spricht gerade nicht von Nutzern oder Quellen:

Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

Hier geht es nur um die Verarbeitung als solche – anders als in den Erlaubnisnormen der §§14, 15 TMG, in denen es dann um den Nutzer geht. Damit wird im Gesamtbild deutlich, dass der allgemeinen Regel (§12 TMG) nur spezielle Erlaubnisnormen (§§14, 15 TMG) folgen, die der Datenschutzregel folgen: Erhebung nur an der Quelle.
Aus den speziellen Erlaubnisnormen aber verbietet es sich, Rückschlüsse auf die allgemeine Verbotsnorm zu ziehen. Für die Auffassung, dass nur die Erhebung beim Nutzer die spezielle Regel des TMG eröffnen soll, sehe ich daher weiterhin keinen Anhaltspunkt.

Ich bin gespannt, ob andere in die Diskussion einsteigen & sich mit Blog-Beiträgen beteiligen und möchte dazu auch aufrufen. Es wäre schön, wenn das TMG inhaltlich stärkere Beachtung und Würdigung findet.

Nov5

Google hat nun “Dashboard” online gestellt: Hier kann man sich mit seinem Google-Account einloggen und sieht, welche Daten man bei Google wo hinterlegt hat (ausgenommen Serverlogfiles und einige weitere Dienste, wie z.B. Analytics, Maps, Groups, Feedburner). Dennoch eine gute Möglichkeit, sich nochmal umzusehen und die Augen zu öffnen.

Bei der Zeit hat man natürlich Recht: Mit Datenschutz hat das nichts zu tun, vielmehr wird nur eine weitere Schaltzentrale errichtet, die einfach bündelt, was vorher im Einzelnen zu sehen war.

Nov5

Ich bin über zwei Dinge überrascht: Zum einen über die plötzliche Diskussion über Personensuchmaschinen, die für mich gefühlt aus dem Nichts kommt. Zum anderen über die immer noch recht unkreativen Ansätze bei der Frage, wie man diese “Suchmaschinen” in den Griff bekommt. Hier mein persönlicher Vorschlag.

Beitrag weiterlesen »

Nov5

Ein erster Lichtblick: Für den Simitis-BDSG-Kommentar ist nun endlich eine Neuauflage (leider erst für das Jahr 2010) angekündigt. Für den Gola/Schomerus gibt es eine solche Ankünfigung leider immer noch nicht – dabei ist sie längst überfällig.

Somit bleibt als Referenzwerk bisher nur die Loseblatt-Kommentierung des Bundesdatenschutzgesetzes von Schaffland / Wiltfang (Stand: Oktober 2009), wenn man etwas aktuelles sucht – zu der kann ich aber nichts schreiben, denn alle drei Werke vorrätig zu halten ist auch mir zu teuer. Daher an dieser Stelle keine weitere Bewertung dieses Werkes.

Beim Gola/Schomerus bleibt meine generelle Empfehlung für alle bestellten Datenschutzbeauftragten, diesen als Handkommentar zu nutzen, sofern man ihn kritisch nutzt. Juristen jedenfalls sollten Simitis und Gola/Schomerus zeitgleich nutzen, um immer sämtliche Sichtweisen nachprüfen zu können. Vorkommnisse wie am Amtsgericht München, wo ohne weitere Nachprüfung der Gola/Schomeus mit einer höchst umstrittenen Meinung ohne weitere Auseinandersetzung zitiert wird, müssen Einzelfälle bleiben.

Nov4

Wieder der Beweis, dass gutes Zuhören und sauberes Lesen sich lohnt – zum Thema Arbeitnehmerdatenschutzgesetz habe ich entgegen sonstigen Gerüchten deutlich klar gestellt:

  1. Bereits während der Koalitionsverhandlungen wurde – man musste aufs Detail achten – klar gestellt, dass es kein eigenes Gesetz gibt, siehe hier bei mir;
  2. Im Koalitionsvertrag steht nochmals deutlich (hier von mir aufgenommen), dass das BDSG um ein eigenes Kapitel ergänzt werden soll – nicht mehr.

Steffen Schröder hat die Gerüchte wohl nicht mehr ertragen und direkt beim BMI nochmals nachgefragt: Ausdrücklich wurde ihm obiges nochmals bestätigt. Damit sollte das Thema nun aber auch wirklich durch sein.

Nov4

Microsoft hat eine sehr umfassende Studie zur IT-Sicherheit herausgegeben, zu finden hier. Interessant ist, dass es keine echten neuen Trends gibt, vielmehr werden alte (wie Würmer und SQL-Injection) wieder neu belebt bzw. vorhandene Ideen in grösserer Masse ausgenutzt (Phishing) oder in neuen Umgebungen (Phishing in sozialen Netzen). Jedenfalls ergibt sich auf den ersten Blick nichts überraschendes.

Für Datenschützer ist das unscheinbare Ende der Zusammenfassung der Studie aber sicherlich das Interessanteste:

Datenverluste aufgrund von Sicherheitsverletzungen ergaben sich […]nach wie vor in erster Linie aus dem Diebstahl von Geräten wie Laptops (30 Prozent aller veröffentlichten Datenverluste) und machten doppelt so viele Vorfälle aus wie Einbruchsversuche.
Sicherheitsverletzungen durch Hackerangriffe oder Malware machen weiterhin weniger als 15 Prozent aller Vorfälle aus.

Man merkt hier wieder einmal, dass es eben nicht der unsichtbare Hacker ist, sondern vielmehr der unvorsichtige Angestellte. Die Sensibilisierung von Unternehmensangehörigen und physische Zugriffs-Sicherung sollte daher weiterhin oberste Priorität genießen – gleich gefolgt vom Verzicht auf Standard-Passwörter.

Nov4

Die Bundesregierung hat Stellung genommen und erklärt, dass in den letzten 9 Jahren an gut 60 Gesetzen durch externe Fachkräfte mitgearbeitet wurde. Unter den Zuarbeitern liest man die bekannten Namen großer Sozietäten, aber auch Professoren. Die Summen gehen teilweise bis in den 7stelligen Bereich. Das Dokument wird sicherlich, sobald die Presse es findet und versteht, für einiges Aufsehen sorgen. Dabei aber leider vor allem die Frage, ob diese Menge Geld angemessen ist – weniger die Frage nach Interessenskollisionen.

Nov3

Das Bundesverwaltungsgericht in Leipzig hat den Europäischen Gerichtshof (EuGH) in Luxemburg zur Klärung der Frage angerufen, inwieweit Telekommunikationsunternehmen verpflichtet sind, anderen Unternehmen Teilnehmerdaten zum Zweck der Bereitstellung von Teilnehmerverzeichnissen und Auskunftsdiensten zur Verfügung zu stellen.

Beitrag weiterlesen »

Nov3

Nach dem Systemcrash ist die Panik groß und die so gut durchdachte Backup-Strategie zeigt gerne einmal kleine, aber wichtige Lücken. Wer Tools sucht, um zu retten, was noch zu retten ist, der sollte sich den Ubuntu-Rescue-Remix merken – ein Ubuntu speziell als Datenrettungs-Compilation, das sich von CD und auch vom USB-Stick booten lässt.

Erhältlich ist es – gerade aktualisiert auf Ubuntu 9.10 – unter http://ubuntu-rescue-remix.org/

Nov3

Seit einigen Tagen geistert der Hinweis durch das Netz, dass der Donau-Kurier ein rechtliches Gutachten in Auftrag gegeben hat, demzufolge die eingesetzten Google-Streetview-Fahrzeuge eine Genehmigung benötigten, da sie eine Sondernutzung darstellten.

Die Idee des beauftragten Rechtsanwaltes ist sicherlich naheliegend, allerdings gibt es dazu seit 1999 (!) ein Urteil des VG Karlsruhe, das deutlich festhält:

Die von der Antragsgegnerin angenommene Sondernutzung liege nicht vor und schützenswerte straßenrechtliche Belange von Bürgern würden durch das Vorhaben weder betroffen noch beschränkt. Die zum Einsatz kommenden Fahrzeuge bewegten sich im öffentlichen Verkehrsraum mit normaler, den örtlichen Verkehrsverhältnissen angepasster Geschwindigkeit unter Beachtung sämtlicher Vorschriften der Straßenverkehrsordnung. Aufgrund der Verwendung moderner automatischer Kameratechnik sei dabei während des Erfassungsvorganges weder ein Fahren mit einer im Vergleich zum übrigen Verkehr reduzierten Geschwindigkeit, geschweige denn ein Anhalten zum Zwecke des Fotografierens, oder eine sonstwie geartete Behinderung anderer Verkehrsteilnehmer erforderlich. Nach dem äußeren Erscheinungsbild der Verkehrsteilnahme bestehe danach kein Unterschied zwischen der von ihr geplanten Nutzung des öffentlichen Straßenraumes gegenüber der Nutzung durch die übrigen Verkehrsteilnehmer. Auch von der inneren Willensrichtung her stelle diese Form der Verkehrsteilnahme keine abweichende Straßennutzung gegenüber dem übrigen gewerblichen Verkehr dar. Nach Verhalten, Ausstattung und Art der Einsatzfahrzeuge würden andere Verkehrsteilnehmer auf diese überhaupt nicht aufmerksam werden. Im Übrigen nähmen in allen deutschen Städten und Gemeinden täglich Fahrzeuge mit gewerblichem Interesse am Straßenverkehr teil, um Bildmaterial unterschiedlichster Art von Örtlichkeiten zu erfassen. Das gelte nicht nur für Fahrzeuge, sondern auch für Fotografen und Kameramänner, und sei im Rahmen einer fortgeschrittenen Mediengesellschaft und damit verbundener Bildberichterstattungen ein täglicher, verkehrsüblicher Vorgang.

Nun mag die Ausstattung der Streetview-Flotte anders sein und durchaus wahrgenommen werden – doch insgesamt ist diese Argumentation des VG Karlsruhe heute noch weiter aufrecht zu erhalten.  Diese Auffassung wird vom Städte– und Gemeindebund NRW bestätigt. Auch ein Gutachten des Schleswig-Holsteinischen Landtages kommt zum gleichen Ergebnis (hier als PDF; ab Seite 4).

Im Ergebnis bin ich – um es vorsichtig auszudrücken – sehr überrascht, dass ein juristisches Gutachten zu dem Ergebnis kommen soll, das Vorgehen von Google-Streetview wäre eine Sondernutzung. Für mich steht in der Wertung, dass die Fahrzeuge von Google jedenfalls normal am Verkehr teilnehmen – sie fahren nicht anders als andere, insbesondere sind sie keine Hindernisse. Sie mögen zwar auffallen, aber das tun LKW mit ansprechender Werbung auch. Auch ist der evt. gewerbliche Hintergrund kein Kriterium, da viele Fahrzeuge auf unseren Straßen einen gewerblichen Zweck verfolgen. Letztlich ergibt sich das Bild, dass die Google-Streetview-Flotte problemlos Teil des sonstigen Verkehrs ist und bis auf die (nicht-hinderlichen) Kamera-Aufbauten und subjektive Motive nicht herausfällt. Hier eine Sondernutzung zu statuieren käme für mich – mangels objektiver Kriterien – einer willkürlichen Entscheidung gleich und ist somit für mich nicht vertretbar.