Veröffentlicht am Kategorien Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende StellenTags , , , , , , , , , , , 2 Comments

Anriß: Die Einwilligung zur Verarbeitung personenbezogener Daten (§4a BDSG)

Die Regel ist einfach: Entweder eine gesetzliche Norm erlaubt ausdrücklich die Verarbeitung personenbezogener Daten oder man braucht eine Einwilligung. Und wie die Einwilligung auszusehen hat, sagt §4a BDSG. Ein paar warme Worte dazu.

Anriß: Die Einwilligung zur Verarbeitung personenbezogener Daten (§4a BDSG) weiterlesen

Veröffentlicht am Kategorien Praxis - Für Betroffene, Praxis - Verarbeitende StellenTags , , , , , , , , , , , , 2 Comments

Logfiles in der Praxis

Jedes Webhosting Paket bietet heute Logfiles an – aber viele Webmaster und vor allem Nutzer sind sich nicht im Klaren, was diese „Logfiles“ an Daten eigentlich beherbergen und was man damit tun kann. Ich habe hier zwei ältere Artikel von mir herausgesucht und eingestellt, mit denen ich (vor einigen Jahren) Webmastern beschrieben habe, die man Logfiles analysiert. An dieser Stelle sollen diese Inhalte dazu dienen, jedem Klar zu machen, was dies für ein Werkzeug ist, wie man es nutzt und wie man es nutzen kann.

Logfiles in der Praxis weiterlesen

Veröffentlicht am Kategorien Praxis - Verarbeitende Stellen, RechtTags , , , , , , , , , 5 Comments

IPs anonymisieren in der Praxis

Icon - Server und IDZunehmend setzt sich die Ansicht durch, dass IPs als personenbezogenes Datum zu sehen sind – dazu früher hier. Die ältere Ansicht, eine IP sei ein „relativ personenbezogenes Datum“ ist schon lange nicht mehr h.M., absehbar, dass in naher Zukunft die ohnehin schon überwiegend vertretene Meinung der anderen Seite bald beherrschend ist.

Damit ergeben sich für Webmaster ganz praktische Probleme: Wie speichert man denn keine IPs bzw. wie anonymisiert man diese?

Update: Aus aktuellem Anlaß habe ich den Artikel nochmals „nach oben“ geholt.

IPs anonymisieren in der Praxis weiterlesen

Veröffentlicht am Kategorien Kommentar, Praxis - Verarbeitende StellenTags , , , , , , , , , 7 Comments

§13 I TMG – eine kleine Erinnerung

Bei der Lektüre eines Eintrags zum Thema Google Analytics und Datenschutzerklärung fiel mir auf, dass scheinbar anscheinend der §13 I TMG immer noch nicht bei allen im Bewusstsein verankert ist. Daher der Hinweis auf den Gesetzestext:

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] zu unterrichten […]

Betonung auf „zu Beginn“. Wer also (wie ich) der Meinung ist, dass die IP des Nutzers ein personenbezogenes Datum ist und diese an Dritte (wie GA) übermittelt, der muss den User zu Beginn um eine EInwilligung fragen, das heisst bevor die IP überhaupt übermittelt wird. EInfach irgendwo darauf hinweisen ist zwar nett, aber bei weitem keine Einwilligung und vor allem nicht „zu Beginn“.

Zu Analytics & Co. habe ich recht viel geschrieben und bereits mehrfach auf Probleme hingewiesen, hier nochmal die meist gelesenen Artikel:

Weitere Hinweise: Als ich vor einiger Zeit anfing das Thema zu beleuchten, gab es vor allem Kritik, weil kaum einer bereit war, die IP eines Users als personenbezogenes Datum anzusehen. Inzwischen wird zunehmend deutlich, dass die Rechtsprechung meiner damaligen Ansicht weitestgehend folgt, auch die Datenschützer auf EU-Ebene haben den alten Kurs aufgegeben und die IP zum personenbezogenen Datum erklärt. Dazu auch mein früherer Artikel: Ist die IP-Adresse personenbezogen?

Ebenfalls mahne ich dringend an, beim Thema Datenschutz nicht nur das BDSG, sondern gerade die Sondervorschriften vor Augen zu halten. So etwa in den SGBen oder eben auch im besonders relevanten TMG, was gerne mal übersehen wird und (anders als das BDSG) keine Freistellungsklausel für Private Zwecke beinhaltet.

Veröffentlicht am Kategorien Kommentar, News, Praxis - Verarbeitende StellenTags 2 Comments

Vorsicht mit vermeintlichen Fantasie-Domains

Ein schöner Artikel auf heise.de erinnert daran, nicht irgendwelche (vermeintlich nicht existierende) Domains als Mail-Adressen zu nutzen:

Bekanntlich gibt es einen Planeten, auf dem alle verlorenen Kugelschreiber sich einfinden, um dort geruhsam ihren Lebensabend zu verbringen. Weniger bekannt, aber ein ernsthaftes Datenschutzproblem für so manch namhaftes Unternehmen ist die Domain donotreply.com. Ihr Besitzer Chet F. erhält täglich Hunderttausende von Mails – doch kaum welche davon sind für ihn bestimmt.

Der Grund ist einfach: Immer wieder kommen Administratoren auf die Idee, irgendwas@donotreply.com als Absenderadresse für automatisch versandte Mails einzutragen, auf die keine Antwort gewünscht wird. Dumm nur, dass die Domain existiert, und zwar schon seit dem Jahr 2000. Und weil viele Menschen eben einfach auf den Reply-Knopf drücken, ohne darauf zu achten, an welche Adresse sie antworten, bekommt Chet F. ihre Mail, viel Mail.

Wenn Sie eine Fantasie-Domain unbedingt nutzen möchten, setzen Sie auf eine Top-Level-Domain die nicht existiert – z.B. „.tld“, etwa indem Sie irgendwas@donotreply.tld nutzen. Auch dies birgt das Risiko, dass irgendwann einmal die TLD existieren wird, ist aber immer noch besser, als das faktische Risiko bereits vorhandener Domains. Generell bleibt am Ende nur ein Rat: Immer nur Domains nutzen, die einem selbst gehören, selbst für nicht vorhandene Adressen.

Veröffentlicht am Kategorien Kommentar, News, Praxis - Verarbeitende StellenTags , , , , , , 2 Comments

Einbruchsstatistik von ZONE-H

Icon - MegaphoneIch kenne Zone-H noch aus meiner Zeit als Programmierer (mein eigenes System wurde hier übrigens, trotz zahlreicher Versuche, nie gelistet). Auf Zone-H brüsten sich Hacker und Script-Kiddies damit, wer am häufigsten Hacks vorgenommen hat. Vor allem auf die Script-Kiddies ist wohl der Schwerpunkt, die so genannten „Defacements“ zurück zu führen. Zone-H hat seine Statistiken für 2007 vorgelegt, aus denen hervorgeht, welche Systeme auf welchem Weg wie oft gehackt wurden. Das ist durchaus interessant – und für mich ebenso überraschend wie erschreckend.

Einbruchsstatistik von ZONE-H weiterlesen

Veröffentlicht am Kategorien Praxis - Verarbeitende Stellen, RechtTags , , , , , , Leave a comment

Fallstricke im Telemediengesetz

Icon - NoteVorschriften zum Datenschutz gibt es viele, das Bundesdatenschutzgesetz ist dabei die Regelung, die sicherlich jedem als erstes einfällt. In weiteren Gesetzen finden sich aber zusätzliche Regelungen, vieles ist sehr speziell wie im Gesetz der Bundespolizei. Anderes, wie die Regelungen im SGB X, können da schon relevanter sein – heute schreibe ich kurz was zum Telemediengesetz und meinen liebsten Themen in diesem Bereich.

Fallstricke im Telemediengesetz weiterlesen

Veröffentlicht am Kategorien Praxis - Für Betroffene, Praxis - Verarbeitende StellenTags , , , , , , 4 Comments

Kundenkonten in Online-Shops als Risiko begreifen

Icon - SmartCardAnbieter genauso wie Kunden müssen lernen, dass ein so genannten Kundenkonto, das man heute allzu leichtfertig in Online-Shops anlegt, Risiken für alle Beteiligten bergen. Ein kurzer Artikel der aufklären soll.

Kundenkonten in Online-Shops als Risiko begreifen weiterlesen