Veröffentlicht am Kategorien RechtTags , , , , , , 13 Comments

Ist die IP-Adresse personenbezogen? (Update)

Seit Jahren wird darüber gestritten, bis heute gibt es einige, die es ablehnen – so der Gola/Schomerus-Kommentar zum BDSG: Ist die IP des Benutzers im Internet ein personenbezogenes Datum oder nicht? Früher verbreitet war die Auffassung, bei der IP würde es sich um ein Datum mit „relativem“ Personenbezug handeln – für die einen Anbieter soll es somit ein personenbezogenes Datum sein, für die anderen nicht.

Aktueller Hinweis – hier finden Sie zu dem Thema weitere Informationen:

Zunehmen aber setzt sich die Auffassug durch, dass es sich um ein personenbezogenes Datum handelt und der Begriff der „relativität“ fehlerhaft ist. Nun haben auch die Datenschützer auf EU-Ebene gefordert, dies anzuerkennen (Bericht bei Heise), dazu der Bundesbeauftragte für den Datenschutz Peter Schaar:

„In diesem Zeitalter zu sagen, IP-Adressen sind nicht personenbezogen, das ist nicht möglich“

Ich selber vertrete seit langem die Ansicht, dass eine IP-Adresse personenbezogen ist und sich eine „Relativierung“ des Begriffs -in Abhängigkeit von demjenigen der die Daten erhebt- schlicht verbietet. Dazu meine ersten Ausführungen hier. Neben diesem Streit ist die Tendenz hin zum unstrittig personenbezogenen Datum längst absehbar, verarbeitende Stellen sollten sich also nicht auf eine auslaufende Ansicht verlassen und anfangen, sich vorzubereiten. Speziell der datenhungrige Staat, der zunehmend beginnt auf Daten bei Unternehmen zuzugreifen (man denke nur an den Zugriff der Landesrundfunkanstalten auf Kundensätze), ist Grund für beide Seiten – Verarbeitende Stelle und Betroffener – das Merkmal restriktiv auszulegen und nur ein Minimum an Daten zu erheben bzw. zu speichern.

Dabei darf man in der Diskussion nicht verwechseln, dass ein „personenbezogenes Datum“ nicht unbedingt ein „nutzerbezogenes Datum“ sein muss. Es reicht, wenn irgendeine Person durch das Datum identifiziert wird, ob dahinter der aktuelle Nutzer steht ist zweitrangig. Das Argument ist klar: Wenn durch den personenbezug irgendwelche Sanktionen stattfinden, richten die sich primär gegen die identifizierte Person – erstmal unabhängig ob rechtmössig oder nicht. Hier gilt es zu schützen.

Update: Nach den ersten Urteilen sind sich nun auch die Datenschützer einig. Wie Heise berichtet, hat die so genannten „Artikel 29 Gruppe“ eindeutig festgehalten dass Netzkennungen personenbezogene Daten darstellen.

Hinweis: Einen Artikel zum Anonymisieen von PHP-Software und Webserver-Logfiles finden Sie hier.

Veröffentlicht am Kategorien Literatur, Praxis, SoftwareTags , , , Leave a comment

PHP Security Guide

Icon - ConsoleIch habe lange als Programmierer gearbeitet, in dieser Zeit habe ich einige Bücher und kostenlose Tutorials geschrieben. Vor allem im Bereich „PHP Security“ habe ich seinerzeit sehr viel verfasst, darunter auch vieles was wohl relativ wegweisend war. Dazu gehörten meine „10 Grundregeln der PHP Sicherheit“ aus dem PHP Security Guide, die vor kurzem auch nochmals im Magazin PHP Solutions abgedruckt wurden.

Da das Thema scheinbar bis heute brisant ist und meine damaligen Ausführungen bis heute nichts an Akutalität verloren zu haben scheinen, stelle ich den Guide hier kostenlos zum Download: PHP Security Guide

Veröffentlicht am Kategorien News, PolitikTags , , , , , 2 Comments

Fluggastdaten – ein Überblick

Icon - AirplaneEin wenig unübersichtlich sind zur Zeit die vielfältigen Meldungen und „Ideen“ rund um die Überwachung des Flugverkehrs in und aus die EU. Dieser Eintrag versucht eine Übersicht zu schaffen, möglichst kurz, mit Quellen-Verweisen. Aufgrund der Masse an Vorschlägen, die nahezu wöchentlich aufkommen – und mitunter auch verworfen werden, ist dies kein leichtes unterfangen.

Fluggastdaten – ein Überblick weiterlesen

Veröffentlicht am Kategorien Kommentar, News, Praxis, RechtTags , , , , , , , , , Leave a comment

Datenschutz und Videokameras – im Dorf

Icon - KameraDatenschutz ist nicht unbedingt ein Thema das nur auf höchster Ebene von Interesse ist – selbst auf dem Land, im Dorf, kann es interessant werden. So inzwischen hier in Langerwehe, wo man anfängt im Sicherheitswahn Kameras aufzuhängen. Stolze 6 zählen wir bereits im Ortskern, der gerade mal um die 10.000 Einwohner hat. Eine weitere Kamera ist bereits geplant.

Grund genug, ganz kurz das Thema anzuschneiden und Links zu bieten. Und Betroffenen rechtliche Möglichkeiten aufzuzeigen.

Datenschutz und Videokameras – im Dorf weiterlesen

Veröffentlicht am Kategorien Kommentar, NewsTags , , , Leave a comment

Spione in der eigenen Firma

Icon - SpionBei der Süddeutschen findet sich ein Lesenswerter Artikel zum Thema „Spione in der eigenen Firma“, hier zu lesen. Fakt ist: Jede Firma, unabhängig von Ihrer Grösse, hat dieses Problem – wenigstens potentiell. Wer sensible Daten von vielen Kunden betreut, muss sich der Realität stellen, dass diese Daten auf dem (Schwarz)Markt ein Vermögen wert sind – etwa für schwarze Werbe- oder Versicherungsschafe. Arbeitnehmer können hier gezielt angesprochen werden und mit recht grossen Geldern gelockt werden – die Versuchung kann da durchaus gross werden.

Doch auch wer nicht viele Daten verwaltet, kann interessant sein: Anwälte etwa verwalten sehr sensible Daten von Unternehmen, die für Konkurrenten interessant sein können. Oder mancher Betrieb will nicht, dass interna an Konkurrenten oder Aufsichtsbehörden weitergegeben werden. Hier ist es meistens weniger das finanzielle Interesse als vielmehr die Schmach eines gekündigten Angestellten, die zum Problem werden kann.

Es hilft nur eines: Die Problemkreise kennen, einschätzen und so gut es geht eindämmen. Sowohl dieser Artikel als auch der bei der SZ können dabei nur der Sensibilisierung dienen – wer mehr will sollte (und muss) sich eine professionelle Beratung ins Haus holen.

Veröffentlicht am Kategorien NewsTags , , , , , , , , 3 Comments

Nutzung von Videoaufzeichnungen und Kontodaten zur Feststellung des Verursachers einer Verunreinigung

Icon - KameraDie Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich hat das datenschutzrechtliche Überprüfungsverfahren im Falle der Stuttgarter Volksbank abgeschlossen.

Über die Aktion der Bank wurde in den Medien bundesweit berichtet, dazu hier im Blog. Im Eingangsbereich der Bank war es vor einem Geldautomaten Anfang Dezember 2007 durch ein Kind zu Verunreinigungen gekommen. Da zur Beseitigung ein Reinigungsunternehmen beauftragt wurde, wollte die Bank diese Kosten in Höhe von fast 53 Euro geltend machen. Zur Identitätsfeststellung hat das Unternehmen deshalb die Bilder der Kundin, die die Videoüberwachungsanlage am Geldautomaten aufgezeichnet hat, und ihre Kontendaten ausgewertet und genutzt. Ende Januar wurde sie unter Hinweis auf die Videoüberwachung in der Filiale gebeten, die Rechnung für die Reinigungskosten zu übernehmen. Diese Forderung wurde zwischenzeitlich zurückgenommen.

Nutzung von Videoaufzeichnungen und Kontodaten zur Feststellung des Verursachers einer Verunreinigung weiterlesen

Veröffentlicht am Kategorien NewsTags , , , , Leave a comment

Test von Googles Gesundheitsdatendienst beginnt

Icon - TabelleGoogle hat nach Berichten bei ORF und Spiegel Online mit Tests seiner geplanten elektronischen Patientenakte begonnen. Für den Probelauf sollen die Patientendaten von zwischen 1.500 und 10.000 Patienten einer Klinik in Cleveland an den Google-Dienst übermittelt werden. Über den Dienst können dann die Daten, die unter anderem Rezepte, Allergien und Behandlungsgeschichte enthalten, dann nach Passworteingabe online eingesehen werden.

Informationen über einen offiziellen Start des Dienstes gibt es noch nicht. Nach Berichten bei ORF hatte die Produktverantwortliche bei Google, Marissa Mayer, als Starttermin zuletzt 2008 genannt. Weitere Angaben zu Sicherheitsvorkehrungen und genaueren Bedingungen des Dienstes gibt es bislang nicht. (Quelle: Datenschutzbüro)

Test von Googles Gesundheitsdatendienst beginnt weiterlesen

Veröffentlicht am Kategorien NewsTags , , , , Leave a comment

Artikel 29-Gruppe bereitet Report zur Speicherung von Suchanfragen vor

Icon - DotChartIm April wird die Artikel 29-Gruppe der europäischen Datenschutzbeauftragten einen Report zur Speicherung von Suchanfragen bei Suchmaschinen vorlegen. Dies berichtet die International Herald Tribune.

Nachdem die Gruppe Google im Mai vergangenen Jahres darauf hingewiesen hatte, dass die damals praktizierte Speicherung von Suchanfragen für einen Zeitraum von 2 Jahren europäisches Datenschutzrecht verletzen könnte, hatte Google begonnen, die Daten nach 18 Monaten zu anonymisieren. Andere Suchmaschinenanbieter zogen nach.

Peter Schaar, Vorsitzender der Gruppe, sagte, eine solch lange Speicherung sei hochproblematisch. Der Report wurde nach einem zweitägigen Arbeitstreffen in dieser Woche angekündigt. Konsens sei, dass die Anbieter Änderungen vornehmen müssen, der Report solle dies genauer ausführen, so Hans Tischler, Sprecher der Gruppe. (Quelle: Datenschutzbüro)