Veröffentlicht am Kategorien News, Politik, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, RechtTags , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , Leave a comment

Datenschutz-Informationspflichten bei Datenpannen nach § 42a BDSG („Data Breach Notifications“)

IITR InformationStellen Unternehmen fest, dass als besonders schutzwürdig definierte Daten (z.B. Gesundheitsdaten, Konto- und Kreditkarteninformationen) unrechtmäßig an Dritte gelangt sein können (z.B. durch einen Hackerangriff oder beispielsweise den Diebstahl eines unverschlüsselten Laptops), müssen diese die Datenschutz-Aufsichtsbehörde und die Betroffenen informieren. Der folgende Beitrag gibt einen Überblick über die rechtlichen Rahmenbedingungen dieser Datenschutz-Informationspflichten.

Datenschutz-Informationspflichten bei Datenpannen nach § 42a BDSG („Data Breach Notifications“) weiterlesen

Veröffentlicht am Kategorien UrteileTags , , , , Leave a comment

LG Dortmund zu Einwilligungs-Generalklauseln

Immer noch nutzen Anbieter gerne Generalklauseln zur Einwilligung in die Datenverarbeitung. Das LG Dortmund (8 O 194/06) hatte sich 2007 mit zwei Musterklauseln in diesem Bereich zu beschäftigen und hat dazu bis heute gültige Feststellungen getroffen.

LG Dortmund zu Einwilligungs-Generalklauseln weiterlesen

Veröffentlicht am Kategorien Kommentar, RechtTags , , , , , , , , Leave a comment

Regierung will Sicherheit in Informationstechnik des Bundes verbessern

Die Bundesregierung möchte dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Befugnisse einzuräumen, technische Vorgaben für die Sicherung der Informationstechnik (IT) in der Bundesverwaltung zu machen und Maßnahmen umzusetzen, um Gefahren für die IT-Sicherheit abzuwehren.

Der Gesetzentwurf ist hier zu finden und in vielerlei Hinsicht von großem Interesse:

  1. Die eingeräumten Befugnisse sind natürlich aus Sicht der betroffenen Nutzer sicherlich mehr als nur einen Blick wert.
  2. §2 des Entwurfes ist dogmatisch interessant: Hier wird erstmals ausdrücklich in Gesetzesform definiert, was Schadprogramme und Sicherheitslücken sind. Mit Blick z.B. auf die §§202aff. StGB ist das natürlich nicht verbindlich, aber eine interessante Auslegungshilfe.
  3. Nach §7 darf das BSI die Öffentlichkeit über entdeckte Sicherheitslücken in Software – auch von Drittherstellern – unterrichten.
  4. Ebenfalls interessant sind die umfassenden Regelungen zur Erteilung vin IT-Sicherheits-Zertifikaten.

Der Entwurf hatte schon vorher für Aufsehen gesorgt, weil Datenschützer teilweise bemerken, dass durch die in Artikel 3 vorgesehene Änderung des TMG eine Surf-Protokollierung erfolgen werden. Ich hatte dazu hier bereits Anmerkungen gegeben, die ich so auch aufrecht erhalte und um einen Punkt ergänzen möchte:

Die Erlaubnisnorm im TKG schafft am Ende mehr Probleme, als sie löst, wie ich ja schon dargestellt habe. Ein weiteres Problem könnte aber dazu kommen: Wer im Gesetzesentwurf auf Seite 23 und 24 die Anmerkung zur Änderung im TMG liest, merkt, dass „der Gesetzgeber“ der Meinung ist, dass es keine vernünftigen Erlaubnistatbestände zum Speichern von Nutzungsdaten (also auch IPs, darum geht es hier ja konkret) gibt. Er möchte nun einen ausdrücklichen Erlaubnistatbestand schaffen, berücksichtigt aber ausdrücklich die prävention von „Störungen“ – und sonst nichts. Insbesondere geht er gar nicht erst auf das Thema Statistiken ein.

Im Rahmen der Auslegung des TMG kann man somit formulieren, dass der Gesetzgeber (1) keine Erlaubnistatbestände zur Speicherung sieht und (2) gezielt nur die Behebung von Störungen vor sieht. Das schlägt der Speicherung von Daten für rein informative Statistiken, etwa via Google Analytics, natürlich den Boden unter den Füßen weg.

Selbst wenn man „Störung“ weit versteht (auf Seite 24 wird es ausdrücklich formuliert), kann man beim besten Willen reine Marketing-Statistiken nicht darunter fassen. Einen Ausweg kann ich aber anbieten: Wenn etwa Statistik-Anbieter den Aspekt „Sicherheits-Analyse“ aufnehmen und die Datenauswertung auch dazu vornehmen, dürfte es erfasst sein.

Im Ergebnis ist aber festzuhalten, dass letztlich keine Klarheit geschaffen wird – weder für die eine, noch für die andere Seite. Der Gesetzgeber sollte seiner Verantwortung gerecht werden und einen ausdrücklichen und abschliessenden Erlaubniskatalog zur Verwendung von Nutzungsdaten erstellen. Solange dies nicht geschieht, ist und bleibt es eine umstrittene Grauzone.

Veröffentlicht am Kategorien News, PolitikTags , , , , , , , , , , 15 Comments

Entwurf des Bundesdatenschutzgesetzes liegt (mir) vor

Der (noch nicht öffentliche) Gesetz-Entwurf der Bundesregierung (STand: 13.10.08) für ein neues Bundesdatenschutzgesetz liegt mir vor. Es stehen einige Änderungen an, so im §28 – es gibt mit dem §44a BDSG aber auch eine Neuerung: Mit ihm wird eine Informationspflicht für Abhanden gekommene Daten eingeführt, wobei ich die entsprechende Bußgeldvorschrift bei einem Verstoß hiergegen noch suche.
Ausserdem wird endlich ein Datenschutzauditgesetz geschaffen, sowie die Bußgeldrahmen erhöht – wobei die gewählte Wortwahl fragwürdig ist.
Die Änderungen im BDSG sollen zum 1.7.09 in Kraft treten.

Den Text des Entwurfs samt Begründung gibt es hier als PDF. (Hinweis: Der Hinweis auf mein Blog am Anfang der Datei dient internen Zwecken, es ist deswegen kein selbst ausgedachter Entwurf, sondern der offizielle – es kamen Anfragen deswegen).

Entwurf des Bundesdatenschutzgesetzes liegt (mir) vor weiterlesen

Veröffentlicht am Kategorien NewsTags , , , , , , , , , , , , , , , , , , , , , , , , , , , , Leave a comment

News zum Thema Datenschutz (4/2008)

Und wieder gesammelte News rund um das Thema Datenschutz und Datensicherheit. Viel Spass beim Lesen.

News zum Thema Datenschutz (4/2008) weiterlesen

Veröffentlicht am Kategorien NewsTags , , , Leave a comment

Soziale Netzwerke sehr interessant

Aus einem Spiegel-Interview mit einem StudiVZ-Vertreter:

Riecke: Wir bekommen täglich Anfragen von Behörden, die kenne ich nicht im Detail.

SPIEGEL ONLINE: Wie viele Anfragen sind das?

Riecke: Gut zehn in der Woche.

SPIEGEL ONLINE: Worum geht es da?

Riecke: Am häufigsten Jugendschutz, Beleidigung, Volksverhetzung, Verletzungen von Persönlichkeitsrecht zum Beispiel durch Fake-Profile.

Klar, dass sich Behörden dafür interessieren. Klar dass die auch wissen wollen, wer hinter den Pseudonymen steht. Und zur herausgabe der Daten hat der Interviewpartner auch eine deutliche Meinung:

Riecke: Gott sei Dank dürfen wir bei Ermittlungsersuchen solche Daten nun herausgeben. Nutzungsdaten speichern wir bei allen Nutzern, die uns das erlaubt haben durch ihre Einwilligung.

SPIEGEL ONLINE: Wie viele sind das?

Riecke: Sehr viele. Weit über 90 Prozent.