Veröffentlicht am Kategorien Multimedia, News, Politik, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, RechtTags , , , , , , , , Leave a comment

Datenschutz und Kreditscoring: Bonitätsprüfung durch Facebook, Ebay & Co

IITR Information[IITR – 17.4.15] Als Teil des Auftakts zur „do-not-track“-Doku-Reihe hat der Bayerische Rundfunk auch einen Beitrag zum Thema „Kreditscoring: Bonitätsprüfung durch Facebook, Ebay & Co“ veröffentlicht.

Datenschutz und Kreditscoring: Bonitätsprüfung durch Facebook, Ebay & Co weiterlesen

Veröffentlicht am Kategorien DatenwocheTags , , , , , , , , , , , , , , , , , , , Leave a comment

Die Datenwoche im Datenschutz (KW21 2014)

[IITR – 25.5.14] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Kein Grundrecht auf “Vergessenwerden“ >>> Das Google-Amt >>> Vorrang des Datenschutzes vor Meinungsfreiheit >>> Google-Wettbewerbsverfahren >>> Weg zum gläsernen Autofahrer >>> Hackerangriff gegen eBay >>> Zuckasaurus).

Die Datenwoche im Datenschutz (KW21 2014) weiterlesen

Veröffentlicht am Kategorien Freitags-KommentarTags , , , , , , , , , , 10 Comments

SPON betreibt Datenschutz: Schuld ist die böse EU

SPON kämpft für den Datenschutz:

Die EU-Ratspräsidentschaft versucht, ein Zustimmungsverfahren zu Cookies einzuführen. Das klingt zunächst nach einer langweiligen Marginalie. Bis man begreift, dass Sie mehrere Einverständniserklärungen hätten unterzeichnen müssen, um auch nur diese Zeilen zu lesen.

Das ist so eine Sache mit der informationellen Selbstbestimmung: Wenn man die ganz formal umsetzt, wäre es durchaus bei jeder Datenerhebung – selbst bei einer anonymen  -nötig mal nett vorher zu fragen, ob das so geht.

Nun ist EU-bashing zur Zeit Mode und auch ich denke, dass wir weitaus grössere Probleme haben, als die nervigen Kekse. Doch ich möchte ein paar kritische Punkte anmerken. Nicht um dem Autor ganz zu widersprechen, doch um wenigstens selber nicht ganz ungefiltert zu schlucken, was beim Spiegel da präsentiert wird.

Zum einen erklärt der Autor:

Ich persönlich habe meinen Browser deshalb so eingestellt, dass er sie bei jedem Schließen des Programms komplett löscht.

Das ist schön, ich wette aber: Er hat es nicht. Und zeigt damit – wenn es so ist wie ich vermute – dass die EU nicht ganz falsch liegt. Jedenfalls normale Text-Cookies wird er mit dem beschriebenen Verfahren durchaus löschen, das stimmt. Nicht aber die quasi unsichtbaren Flash-Cookies von denen er – wie wohl der Grossteil der Nutzer – noch nie etwas gehört haben wird. Auf die aber setzen inzwischen Seiten wie ebay & co.

Auch sonst bin ich kritisch, denn der Spiegel finanziert sich über Werbung, die ihrerseits eine Analyse vorweisen muss. Ist das vielleicht der Grund, warum der Autor nur vom nachherigen Löschen der Cookies spricht und zum Beispiel die Möglichkeit, Cookies generell zu blockieren und nur im Ausnahmefall zuzulassen, gar nicht erwähnt? Muss ich hier ansetzen um die Erklärung zu finden, warum man eine ganze Bildergalerie zum Konfigurieren der nachheirgen Löschung einstellt – aber nicht auf das verbreitete AddOn CS-Lite für den Firefox verweist? Ich bin kritisch, nicht mehr, nicht weniger.

Auch dieses Argument überrascht mich ein wenig:

Kein Wunder, denn in der Praxis würde die Ergänzung zur ePrivacy-Richtlinie bedeuten, dass Sie auf jeder besuchten Web-Seite mit ganzen Kaskaden von Pop-up-Verträgen belästigt würden.

Ist das so richtig? Der Autor schreibt so, als ob eine Webseite bei jedem Zugriff auf ein Cookie nachfragen muss. Das passt nicht zu meinen Infos (offizielles gibt es ja nicht), aber auch nicht zu der üblichen Art wie das Opt-In-Verfahren gehandhabt wird – vielmehr ist zu erwarten, dass man bzgl. eines bestimten Datenverarbeitungsprozesses die Erlaubnis erteilt und das dann reicht. Hier wird ein Szenario hraufbeschworen, ohne dass der Autor es mit dem Wortlaut der Regel belegt noch auf ähnliche Prozeduren beim sonstigen Opt-In verweisen kann.

Natürlich hat der Autor Recht, wenn er schreibt:

Die EU-Parlamentarier finden es okay, wenn unsere Vorstrafen zwecks Terrorrabwehr an US-Behörden vermailt werden und unsere ganze Kommunikation auf Monate dokumentiert wird. Hauptsache, niemand bekommt ohne ausdrückliches Einverständnis einen Cookie.

Aber ist das nicht ein Trick? Eine Verballhornung der Leser? Jetzt ehrlich: Mit dem Argument ist jegliche Aktion gegen tägliche Probleme des Datenschutzes unbedeutend, da nichts aus unserem Alltag mit den herausragenden Problemen zu vergleichen ist, die unsere Überwachungswütigen Politiker da schaffen. Auch hier sehe ich, wieder kritisch, dass schon fast aggressiv gegen die ohnehin unwahrscheinliche Möglichkeit gewettert wird, dass Webseiten ohne Nach-Fragen jedenfalls keine fremden Textdateien mehr hinterlegen können.

Neben dem Stirnrunzeln, mit dem ich den Artikel beim Spiegel lese, der für mich nur ein Plädoyer für die bisherige überalterte und nutzlose Form der Internetwerbung ist, möchte ich die Pläne der EU aber nicht gutheißen: Sie sind ein interessanter Gedanke, aber nicht mehr. Abgesehen davon, dass ich mich frage, wie man das technisch umsetzen soll, gäbe es heute geschicktere Wege: So ist der Zug noch nicht abgefahren, endlich P3P zum zwingenden Standard zu erklären. Auch wenn das sicherlich kaum ein Glossen-Autor auf Anhieb versteht. Es gäbe die einfachere Möglichkeit, die Vorgabe zu erstellen, dass Browser die ohnehin vorhandene Block-Möglichkeit als Standard-Einstellung wählen und User problemlos entscheiden können, was sie möchten.

Im Ergebnis bleibt bei mir nur eine Frage; Eine Frage, die sehr viel eher einen Artikel und einen Kommentar wert wäre. Ich zitiere noch einmal und hebe hervor:

Der EU ist das nicht genug. Sie berät zurzeit über eine Neufassung des Artikels 5 der Richtlinie zur Privatsphäre und Elektronischen Kommunikation (kurz „ePrivacy-Richtlinie“), die Gutes will und Brachiales verursachen könnte. Der seit Freitag vorliegende, nicht öffentliche Textvorschlag der EU-Ratspräsidentschaft läuft informierten Kreisen zufolge angeblich darauf hinaus, den Einsatz von Cookies an ein Opt-in-Verfahren zu koppeln.

Schon sehr bald ist die Europawahl. Solange es auf dieser Ebene, bei der Juristen in Lehrbüchern offen von einem Demokratiedefizit schreiben, und die Richtlinien erlässt, deren Umsetzung in nationales Recht ohne eigene Gedanken von unseren Abgeordneten abgenickt werden, solange es auf dieser Ebene noch “nicht öffentliche Textvorschläge” gibt – solange muss man sich nicht wundern, dass wir bald bei einer Wahlbeteiligung unter 20% sind. Doch auch dem Spiegel sind ein paar Zeilen zu nach eigenen Angaben belanglosen Keksen – die man zur eigenen finanzierung braucht – offenbar wichtiger, als die kritische Analyse geheimer Gesetzesinitiativen auf EU-Ebene. Prioritäten weiss offenbar nicht nur die EU nicht zu setzen. Oder eben doch. Wie man es eben sieht.

Veröffentlicht am Kategorien Kommentar, NewsTags , , , , , 2 Comments

Web-Analytics-Datenbanken wachsen immer weiter

Bei Slashdot ist ein interessanter Hinweis zum Volumen von Web-Analyse-Datenbanken zu finden: Alleine das genannte eBay-Volumen mit 6 Peta-Byte oder das Volumen von Facebook mit über 2 Peta-Byte verdeutlicht die Dimensionen um die es geht.

Und neben der damit entstehenden Frage, was Datenschutz auf der Basis eines in den 90er Jahren des vergangenen Jahrhunderts erlassenen nationalen Gesetzes hier eigentlich im internationelen Kontext noch bedeuten kann, drängt sich die Frage auf, ob solche Datenberge zur Zeit überhaupt zu bewältigen sind. Oder ob es nicht letztlich im Großen und Ganzen schlicht undurchdringliche Datenmaße ist.

Veröffentlicht am Kategorien Freitags-KommentarTags , , , , 6 Comments

Schuld und Unschuld

Zugegeben: Ganz klar Offtopic. Aber gerade wegen meiner Artikel zum Thema Tauss bin ich zur Zeit häufig in mitunter konstruktive Diskussionen zum Thema verwickelt, nicht zuletzt wegen meiner Twitter-Beiträge. (Nochmals: Es geht um die Berichterstattung in der Sache, die ich mitunter kritisiere, ich beziehe ausdrücklich keine Stellung, da es ja keine gesicherten und abschliessenden Informationen gibt)

Zum Thema Schuld und Unschuld in Deutschland ziehe ich gerne zwei Beispiele heran:

  1. Da ist der eine, der nachweislich unschuldig ist, aber dessen mediale Existenz alleine Aufgrund des Vorwurfs der Vergewaltigung zerstört wurde.
  2. Da ist der andere, der im für den Jugendschutz relevanten Sportbereich („Keine Macht den Drogen“) mit „harten Drogen“ hantiert hat und heute problemlos weiter in seinem Job ohne weiteres Abhandeln der Thematik arbeiten kann.

Gerade (1) ist ein Standardbeispiel von mir, wenn mir wieder einmal einer gegenüber steht, der meint „Aber ich habe ja nichts gemacht“, wenn erste Vorwürfe erhoben werden.
Sicherlich liegt es an dem besonderen Blickfeld, dass ich habe, wenn ich sehr kritisch daran gehe. Aber es ist nun einmal für mich nichts besonderes, dass Menschen, die sich „nichts zu schulden haben kommen lassen“ plötzlich mit Vorwürfen konfrontiert werden und dann Hilfe suchen:

  1. Sei es dass gegen den Familienvater ermittelt wird, weil ein Zahlendreher in der IP vorkam,
  2. dass man plötzlich ein Ermittlungsverfahren am Hals hat, weil man bei eBay unwissend Hehlerware gekauft hat,
  3. dass man plötzlich das eigene Kind missbraucht haben soll – zufällig kommt der Vorwurf während eines Sorgerechts-Streits

Wer dann meint „Aber ich bin doch unschuldig“ soll immer an (1) denken und sich fragen, wer nochmal genau Andreas Türk war. Und was „unschuldig sein“ mitunter wert sein kann.
Wir leben, und deswegen stehen da oben zwei Beispiele, längst in einer Verdachtsgesellschaft: Nicht was wir tun interessiert am Ende besonders, sondern wessen man uns verdächtigt. Und auch bei den Verdächtigungen gilt die übliche Abstufung der Tatvorwürfe – deswegen wiegt alleine der Vorwurf der Vergewaltigung (1) schwerer als der im Raum stehende Konsum harter Drogen (2).

Und deswegen ist alleine der Vorwurf „Kinderpornographie“, ohne dass Verben genutzt werden müssen („handeln mit“, „besitzen“, „vertreiben“) schon ausreichend, um eine Existenz zu vernichten. Ein Blick in die Zeitungen reicht, um das zu bestätigen: Was ist den Bitte der „Verdacht auf Kinderpornographie“? Jedenfalls ist es kein Satz, denn da fehlt die Tat, also wessen man beschuldigt wird (momentan ja zumindest „besitzen“). Der Leser bemerkt das nicht, denn das Wort ist so schlimm, dass man nicht mehr schreiben muss. Und so gut diese absolute pönalisierung dieser Verbrechen im Zusammenhang mit Kinderpornographie nun einmal ist, so schlecht ist es, wenn wir zu lax mit dem Wort um uns schmeißen.

Eben deswegen rate ich auch immer so aggressiv, einen aktiven Strafverteidiger zu konsultieren – auch wenn „nur“ der Vorwurf einer Tat, ganz besonders Sexualtat, geäussert wird. Gerade wer erklärt, dass das System funktioniert, muss sich bewusst sein, dass die Strafverteidigung eben ein Teil dieses Systems ist. Wer sie nicht frühstmöglich konsultiert, provoziert geradezu eklatante Fehler.

Veröffentlicht am Kategorien Kommentar, NewsTags , , , , , 1 Comment

Studie: Deutsche besonders sicher

Ich bin ja skeptisch, wenn ausgerechnet ein von PayPal in Auftrag gegebenes Gutachten solche Aussagen trifft, aber es ist mir ein Zitat wert: IpSos hat für payPal in 6 Ländern untersucht, wie sicher die Nutzer sich im Internet bewegen. Dabei kam für Deutschland heraus:

  • Studie aus sechs Ländern zeigt: Deutsche nutzen die sichersten Passwörter
  • Deutschland von Identitätsdiebstahl und Phishing im internationalen Vergleich wenig betroffen
  • Nur 14 Prozent der Deutschen halten ihr Online-Bankkonto für „sehr sicher“

Die Deutschen sind beim E-Commerce sehr vorsichtig, obwohl sie im internationalen Vergleich wenig von Identitätsdiebstahl oder Phishing betroffen sind. […] Für die Studie wurden in den USA, in Kanada, Frankreich, Großbritannien, Spanien und Deutschland jeweils 1.000 Personen befragt, die innerhalb der letzten drei Monate online eingekauft hatten. […]

Trotz ihrer skeptischen Einstellung sind die deutschen Online-Shopper sehr aktive Nutzer der verschiedenen Angebote. Sie haben mit 22 Prozent die meisten Online-Brokerage-Konten (USA: 11 Prozent, Frankreich: 7 Prozent), sind mit 67 Prozent zusammen mit den Briten die aktivsten eBay-Nutzer (USA: 57 Prozent) und setzen auch regelmäßig die Kreditkarte zur Online-Zahlung ein (82 Prozent).

Veröffentlicht am Kategorien NewsTags , , , , , , , , 2 Comments

Sichern von Passwörtern mit dem 3-Kategorien-System

Nach einem Datendiebstahl bei dem Login-Informationen im Klartext gestohlen wurden, kann die Sorge schnell groß sein, wo man diese Login-Informationen noch genutzt hat. Im Horror-Szenario nutzt man diese Daten bei einem eBay-Account und die Hacker haben jetzt vollen Zugriff auf den eigenen eBay-Account oder gar PayPal-Account.

Nicht ohne Grund raten Profis, auch ich auf dieser Seite, für jeden Account gesonderte Login-Informationen zu nutzen. Aber machen wir uns nichts vor: In der Praxis machen das gerade die „normalen User“ faktisch nie. Zu viele Logins hat man heute, und auch eine Software wie KeePass ist dann irgendwann zu nervig. Und im Zweifelsfall auch zu unsicher.

Man kann sich auch selbst mit recht einfachen Maßnahmen jedenfalls rudimentär schützen um Standard-Diebstählen vorzubeugen:

  1. Nur registrieren wo es nötig ist: Nutzen Sie bei Zwangsregistrierungen, etwa für Downloads, Wegwerf-Mailadressen wie z.b. von TemporaryInbox.
  2. Wenn Sie sich ernsthaft registrieren, nutzen Sie mein 3-Kategorien-System: Überlegen Sie sich drei verschiedene Passwörter, die sie sich merken können und eine Kombination aus Buchstaben und Zahlen sind. z.b. „GThrd45“.
  3. Die Kategorien teilen Sie wie folgt ein:
    1. Webseiten ohne hegliche persönliche Informationen, ausgenommen Email (typisch sind reine Logins zu Downloads etc.)
    2. Webseiten mit persönlichen Informationen, aber ohne Bankdaten
    3. Webseiten, auf denen Bankdaten vorhanden sind
  4. Nutzen Sie in jeder Kategorie das entsprechende Passwort, aber: Beachten Sie Punkt 5!
  5. Wenn Sie das jeweilige Passwort einer Kategorie einsetzen, hängen Sie an das Ende (oder stellen sie voran) den ersten Buchstaben des Namens des Dienstes den sie gerade nutzen. Das ist nicht der perfekte Schutz, aber wieder eine Hürde mehr. Wer mag, kann nicht einfach den Buchstaben nehmen sondern wandelt ab, etwa: Immer den X.Buchstaben des Dienstes nutzen, oder immer den letzten aber +1, also anstelle ein „A“ wird ein „B“ an das Passwort angehängt.

Wenn man sich das einmal angewöhnt hat, kann man nach einiger Zeit problemlos relativ sicher arbeiten, ohne Zusatzsoftware. Bei einem Datendiebstahl der Kategorie 1 sind die Kategorien 2+3 erstmal nicht gefährdet (wenn man wirklich verschiedene Passwörter genutzt hat!).

Beispiele:

Wer in der Kategorie 3 das Passwort „GThrd45“ nutzt und sich auf der Seite „PayyBall.tld“ registriert, würde im einfachsten Fall das Passwort „GThrd45P“ (erster Buchstabe des Dienstes ist „P“) nutzen. Man kann auch immer den zweiten Buchstaben wählen, dann nutzt man hier „GThrd45a“.
Auf der Webseite „emarketbill.tld“ (ebenfalls Kategorie 3) registriert man sich dann mit „GThrd45e“ (1. Buchstabe) oder „GThrd45m“ (2. Buchstabe).
Nochmals: Man nutzt natürlich immer und auf allen Seiten das gleiche System, also z.B. hängt man immer den ersten Buchstaben hinten an, das verinnerlicht man recht schnell 😉

Und wenn man Punkt 5 beachtet, ist selbst innerhalb einer Kategorie alles etwas entspannter. Dabei nutzt man regelmässig unterschiedliche Passwörter, ohne sich ständig alle merken zu müssen. Natürlich ist das System durchschaubar, auch wenn man es abwandelt – im Regelfall aber nutzen Hacker automatisierte Systeme und suchen nicht im Einzelfall nach Möglichkeiten.

Keinesfalls möchte ich hiermit „absolute Sicherheit“ suggerieren, die gibt es ohnehin nicht – aber es ist mehr als das, was die Realität zur Zeit bietet und ist zudem merkbar. Und im Notfall, wenn man doch mal ein einzelnes Passwort vergessen hat, gibt es ohnehin fast immer eine „Neues Passwort“-Funktion.

Veröffentlicht am Kategorien Kommentar, NewsTags , , , , , , , , , , 2 Comments

Schock: Vorratsdatenspeicherung & juristisches in der lokalen Presse

Man muss sich bei der „Berichterstattung“ in der Presse nicht wundern, wenn sich die Bürger übervorteilen lassen. Die „Dürener Nachrichten“ (Lokalausgabe von den Aachener Nachrichten) berichten unter dem Titel „Gefahr im Netz: Dürener Polizei warnt vor Abzockern“ auf eine Art, die die Haare zu Berge stehen lässt.

Der informierte Leser bekommt schon einen Schlag, wenn er das hier liest:

Beispiel Post vom Nachbarn […] «Die Leute meinen dann, sie seien betrogen worden. Doch dem ist nicht so. Sie haben meist irgendetwas angeklickt und damit bewusst einen Vertrag abgeschlossen», kennt Krallmann die Fälle. Das Kleingedruckte in den Allgemeinen Geschäftsbedingungen (AGB) wird in der Regel überlesen und damit auch das rechtlich garantierte 14-tägige Kündigungsrecht.

Hier wird (von einem Vertreter der Dürener Polizei!) eine so genannte „Abofalle“, die juristisch problemlos bei anderen als rechtlich unwirksam einzustufen ist, als gültiger Vertrag verkauft. Nochmals der Hinweis, dass „Abo-Fallen“ im Regelfall keinen Vertrag darstellen, dass versteckte Preisangaben keine Wirkung entfalten und die genutzte Masche im Regelfall auch wettbewerbswidrig ist (LG Stuttgart, 17 O 490/06). Das ist Wissen, das jeder Jura-Student vermitteln kann und gehört nicht nur in jeden sorgfältig recherchierten Artikel zum Thema, sondern sollte augenscheinlich als momentanes Halbwissen auch bei der Dürener Polizei nochmals dringend aufgefrischt werden.

Nach diesem fundierten Abschnitt kommt dann die Krönung, die hier als Beispiel dienen soll, warum der brave Bürger mit der Vorratsdatenspeicherung kein Problem hat. Zu lesen ist nämlich auch noch dies hier:

Immerhin: Die Dürener Polizei kann eine hohe Aufklärungsrate (87,19 Prozent) bei Internetdelikten vorweisen. Den Beamten hilft dabei künftig die neue Gesetzgebung. Bei jeder Einwahl ins Netz wird vom System eine IP-Adresse vergeben. Wurde diese Adresse vom Internetanbieter bislang maximal sieben Tage aufbewahrt, so muss er sie nun ein halbes Jahr lang vorweisen können.

Laut Dürener Polizei (und Dürener Nachrichten) wird also die Vorratsdatenspeicherung zur Aufklärung von eBay-Betrugsfällen genutzt. Wie das zu den einstweiligen Anordnungen des BVerfG vom März 2008 und Oktober 2008 passt, denen zufolge die Daten hierzu gerade nicht genutzt werden dürfen, bleibt das Geheimnis der Beteiligten.

Festzuhalten bleibt aber, was erstmal beim Bürger hängen bleibt: Eine bessere Aufklärungsquote bei uns allen, dank der VDS. Ich kann, angesichts dieser nicht nur fragwürdigen sondern sogar eher peinlichen „journalistischen Leistung“, der AN-Redaktion nur raten, was die Aachener Zeitung längst macht: Gewöhnt euch an, bei solchen Artikeln Juristen und Bürgerrechtler zu fragen. Andernfalls muss man sich nicht wundern, wenn bei solchen Glanzleistungen die Häme Wellen schlägt.