Veröffentlicht am Kategorien News, Praxis, Praxis - Verarbeitende Stellen, RechtLeave a comment

Hamburg macht Druck: Aufsichtsbehörde kündigt „Prüfungskonzept“ zum betrieblichen Datenschutz an

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Professor Dr. Johannes Caspar, hat am 8.1.2010 in einer Pressemitteilung angekündigt, ab Mitte Januar mit einem „schriftlichen Prüfungskonzept“ die Einhaltung des Datenschutzes in Hamburger Unternehmen zu überprüfen. Die erste Umfrage soll sich an Speditionen richten.
Hamburg macht Druck: Aufsichtsbehörde kündigt „Prüfungskonzept“ zum betrieblichen Datenschutz an weiterlesen

Veröffentlicht am Kategorien News, Praxis, Praxis - Verarbeitende Stellen, RechtLeave a comment

Kauf von „Altdaten“ nach dem 1.9.2009 – greift die Privilegierung des § 47 BDSG?

Zum 1.9.2009 wurde das Bundesdatenschutzgesetz (BDSG) novelliert. Die Vorschriften hinsichtlich der Verwendung von Daten zu Werbezwecken wurden hierbei verschärft. Der Gesetzgeber hat in § 47 BDSG eine Übergangsregelung vorgesehen, nach der so genannte „Altadressen“ (also Adressen, die vor dem 1.9.2009 erhoben worden sind) bis zum 31.8.2012 den alten Regelungen des BDSG unterfallen. Der vorliegende Beitrag untersucht dabei die Frage, ob Unternehmen auch in den Genuss dieser Regelung kommen, wenn sie von Adresshändlern nach dem 1.9.2009 Daten kaufen, die erstmals vor dem 1.9.2009 bei den Betroffenen erhoben worden sind.

Kauf von „Altdaten“ nach dem 1.9.2009 – greift die Privilegierung des § 47 BDSG? weiterlesen

Veröffentlicht am Kategorien Praxis - Verarbeitende Stellen, RechtTags , , 1 Comment

Inkasso und Datenschutz bei Berufsgeheimnisträgern

Nur ein kurzer Hinweis (zumal ein zu langer die Gefahr birgt, dass wieder auf eigene Faust irgendwas gemacht wird): Ich werde gerade auf einen Aufsatz von Stephanie Iraschko-Luscher und Peter Bayh in der aktuellen Medizinrecht (MedR09, S.453ff.) zum Thema “Inkasso durch Ärzte” aufmerksam.

Der Tenor des Aufsatzes ist wohl, dass man optimalerweise seine gemahnte offene Forderung durch einen Anwalt beitreiben lässt und nicht durch “irgendein” Inkassobüro. Hintergrund ist vor allem der Datenschutz, da ein Arzt als Berufsgeheimnisträger i.S.d. §203 StGB in die Gefahr der Begehung einer Straftat läuft. Die Weitergabe der notwendigen (!) Daten an einen Rechtsanwalt, der ebenfalls Berufsgeheimnisträger ist, umgeht hier einige Fallen.

Übrigens: Das Thema “Inkasso” nimmt zunehmend groteske Züge an. So ist bis heute umstritten, ob sich der Rechtsanwalt strafbar macht, der Daten eines zahlungsunwilligen Mandanten an das Gericht zwecks Klage übermittelt. Die wohl h.M. (?) geht hier den Weg der Notwehr um das Vorgehen zu rechtfertigen. Die Frage, ob und in wie weit man das Problem durch geeignete vorherige Einwilligungserklärungen (ausdrücklich oder durch AGB) entschärfen könnte, möchte ich an dieser Stelle nicht vertiefen.

Veröffentlicht am Kategorien Politik, Praxis - Verarbeitende Stellen, Recht, SoftwareTags , , , , , , , , , , , 14 Comments

Akismet-Plugin rechtswidrig?

Es wird die Frage aufgeworfen, ob das Akismet-Plugin rechtswidrig ist – ich tendiere zu einem „ja“, mit folgenden Stellungnahmen:

  1. Wenn das Akismet-Plugin die IP-Adresse der Kommentar-Verfasser an Dritte übermittelt, hängt es an der Frage, ob die IP ein personenbezogenes Datum ist. Auch wenn ich das bejahe: Es ist umstritten. Man kann also in diesem Punkt davor warnen, es ist aber bestenfalls eine Grauzone. Insgesamt ist dies analog zur bei mir geführten Google-Analytics-Diskussion zu sehen.
  2. Sofern, wie angegeben, der angegebene Nutzername übermittelt wird, muss man den User darauf hinweisen, damit er einen geeigneten Nutzernamen auswählt und ggfs. nicht den Klarnamen nutzt.
  3. Kritisch sehe ich, dass wohl die Mail-Adresse übermittelt wird: Die ist nämlich bei vielen Formularen Pflicht und nicht nur ein personenbezogenes Datum, sondern den Usern auch heilig. Hier muss ein Hinweis und eine vorherige Einwilligung erhoben werden.

Die Akismet-Datenbank kann ich problemlos als „Auskunftei“ einstufen und auch wenn Akismet einen anderen Charme hat: Wer will kann es als Spam-Schufa betrachten. Und wie würden wir wohl mit SHops umgehen, die ohne Hinweis und Einwilligung Daten an die Schufa übermitteln?

Man sollte das Thema mal in Ruhe angehen. Ich habe diesmal bewusst den Schwerpunkt bei Username und Mailadresse gelegt (und nich bei der IP). Während die IP-Frage bis heute umstritten ist, ist das mit Username und Mailadresse schon problematischer als z.B. Google Analytics.

Auch wenn die Fragen nicht gefallen, sollte man Angriffe denen gegenüber, die sie stellen, unterlassen. Deswegen ist aber nicht gleich Bloggen rechtlich bedenklich, sondern Akismet muss prüfen, ob man nicht einfach Server in der EU einsetzt (bisher USA), weil die USA datenschutzrechtlich ein Drittstaat iSd BDSG sind, was das Thema nochmal etwas heikler macht.

Veröffentlicht am Kategorien Politik, Praxis - Verarbeitende Stellen9 Comments

Datenschutz bei Jack Wolfskin? Lieber mal nach oben sehen!

Ich war heute in einem Jack-Wolfskin Store in Düren (im Stadtcenter) und durfte erfreut feststellen, dass die allen Ernstes über der Kasse eine Kamera aufgehängt haben. Dabei nicht so, dass nur Kassiererin und Kasse im Blickfeld sind, sondern die Kamera ist an der Decke montiert und blickt im 90Grad-Winkel nach unten auf den gesamten Tresen – auf dem dann z.B. das Gerät zur PIN Eingabe bei Kartenzahlung liegt.

Ich lasse die Frage aussen vor, ob es rechtmäßig ist (das ist in dem Fall eine grenzwertige fragen, über die man streiten kann – ich verneine die rechtmäßigkeit, das hilft aber nicht viel), möchte hier aber feststellen, dass es in jedem Fall abzulehnen ist: Man stelle sich vor, ein Fremder guckt in die eigene Geldbörse, um zu sehen wie viel Geld darin ist, oder welche Karten. Nichts anderes passiert hier – denn gleich ob man mit Karte zahlt oder Bar (also die PIN nicht eingibt): Die Geldbörse öffnet man ja ganz unbedarft.

Da ich bekanntlich nicht mit Karte zahle, habe ich (und das möchte ich hier positiv festhalten, auch wenn es das Minimum ist) festgestellt, dass die Angestellte einen Kunden der mit Karte zahlte, auf die Kamera hingewiesen hat und ihn gebeten hat, die Eingabe sorgfältig zu verdecken. Mit einer vernünftig angebrachten Kamera, die die Kunden nicht unter Generalverdacht stellt (von den Angestellten mal abgesehen) könnte man sich den Aufwand aber sparen.

Wenn ich das nächste Mal in Aachen bin werde ich nachsehen, ob das dort auch so installiert ist, bis dahin erstmal die generelle Warnung: Im Jack Wolfskin lieber mal nach oben sehen bevor man zur Kasse geht.

Veröffentlicht am Kategorien Kommentar, Praxis - Verarbeitende Stellen, Recht29 Comments

Konsequenz aus IPs als personenbezogenen Daten

Auch wenn ich es erfreulich finde, dass durch die YouTube/Viacom-Geschichte Bewegung in die Einordnung von IPs als personenbezogenes Datum kommt, muss ich nun eine Warnung aussprechen: Wer (so wie ich) dieser Meinung ist, muss die rechtlichen Probleme sehen, die danach kommen.

Wenn die IP nämlich ein personenbezogenes Datum ist, und somit entsprechend §13 TMG einer Einwilligung des Betroffenen zur Erhebung und Übermittlung bedarf, gibt es einige Probleme (die ich schon in meinem ersten Artikel zum Thema dargelegt habe):

  1. Javascripts von externen Servern zu laden, etwa um Werbung oder Analysetools einzubinden, wird nicht mehr möglich sein,
  2. das Einbinden externer Inhalte ist sogar generell nicht ohne weiteres möglich: Nichtmal Bilder darf man von externen Servern her ohne Einwilligung laden, da somit immer die IP des Nutzers an einen Dritten übermittelt wird – ob der das in seinen Logfiles speichert ist nebensächlich, da die Übermittlung in jedem Fall stattfindet!

Dass das nicht Sinn der Sache sein kann liegt auf der Hand, daher plädiere ich seit langem dafür, das Problem schon jetzt anzugehen. Einer meiner Vorschläge ist eine extensive Auslegung des §11 III TMG, der privilegierungen für „Telemedien, die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen“ vorsieht – ich subsumiere hier problemlos nicht nur einen Mailserver, sondern auch einen Webserver, so dass das Einbinden externer Inhalte kein Problem wäre.

Man muss dies nicht unbedingt begrüßen, doch vergrössert sich inzwischen zunehmend der Zwang, sich dieser Frage zu stellen. Solche Ansätze vermisse ich zur Zeit ganz.

Veröffentlicht am Kategorien Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende StellenTags , , , , , , , , , , , 2 Comments

Anriß: Die Einwilligung zur Verarbeitung personenbezogener Daten (§4a BDSG)

Die Regel ist einfach: Entweder eine gesetzliche Norm erlaubt ausdrücklich die Verarbeitung personenbezogener Daten oder man braucht eine Einwilligung. Und wie die Einwilligung auszusehen hat, sagt §4a BDSG. Ein paar warme Worte dazu.

Anriß: Die Einwilligung zur Verarbeitung personenbezogener Daten (§4a BDSG) weiterlesen

Veröffentlicht am Kategorien Praxis - Für Betroffene, Praxis - Verarbeitende StellenTags , , , , , , , , , , , , 2 Comments

Logfiles in der Praxis

Jedes Webhosting Paket bietet heute Logfiles an – aber viele Webmaster und vor allem Nutzer sind sich nicht im Klaren, was diese „Logfiles“ an Daten eigentlich beherbergen und was man damit tun kann. Ich habe hier zwei ältere Artikel von mir herausgesucht und eingestellt, mit denen ich (vor einigen Jahren) Webmastern beschrieben habe, die man Logfiles analysiert. An dieser Stelle sollen diese Inhalte dazu dienen, jedem Klar zu machen, was dies für ein Werkzeug ist, wie man es nutzt und wie man es nutzen kann.

Logfiles in der Praxis weiterlesen