Kategorie-Archiv: Nachrichten Datenschutz und Datensicherheit

Haftungsrisiko für WLan –Betreiber

Logo Hubit-DatenschutzWer sein WLan anderen zur Verfügung stellt geht rechtliche Risiken ein. Dies betrifft zum Beispiel auch Gastwirte, Ladenbesitzer oder Campingplätze, die Ihren Kunden bzw. Gästen einen Internetzugang zur Verfügung stellen. Im Rahmen der sogenannten Störerhaftung kann der der Anschlussinhaber – also der Betreiber des WLans – für Straftaten der Nutzer zur Rechenschaft gezogen werden oder zumindest in die Mithaftung genommen werden.

Stellt zum Beispiel ein Kunde Musikdateien zum Download bereit, während er das WLan einer Gaststätte nutzt, so kann der Gastwirt hierfür haftbar gemacht werden.

Aus Sicht des Datenschützers ergeben meist noch weitere Aspekte. In vielen Fällen wird das Firmennetzwerk nicht von dem Besuchernetzwerk getrennt. Somit besteht für den Besucher des WLan eventuell die Möglichkeit auf Firmendaten des WLan-Betreibers zuzugreifen. Datenschutzberater der Firma HUBIT beraten Sie gern zu Risiken und möglichen Absicherungsmaßnahmen für Ihr Firmen-WLan.

Kamera-Attrappe auf Schultoilette

Logo Hubit-DatenschutzIn Österreich ließ eine Schulleiterin eine Kamera-Attrappe auf der Jungen-Toilette installieren. Angeblich habe sie dies mit der Verschmutzung rund um die Pissoirs begründet. Der Landesschulratspräsident habe mittlerweile angeordnet, die Attrappe zu demontieren hieß es.

Nicht nur in Österreich auch in Deutschland ist die Gerichtsbarkeit der Meinung, dass auch eine Kamera-Attrappe die Persönlichkeitsrechte schwerwiegend beeinträchtige und psychischen Druck ausübe. Eine Kamera-Attrappe unterliegt somit den gleichen Anforderungen, wie eine echte Kamera.

Jede Videoüberwachung (auch Attrappen) ist durch einen Datenschutzbeauftragten vor der Installation zu prüfen. Nur datenschutzrechtlich unbedenkliche Videoüberwachungen dürfen in Betrieb gehen.

Die Firma HUBIT – Datenschutz führt in Bremen, Hamburg, Hannover, Niedersachsen und Nordrhein Westfalen führt die Überprüfung von Videoüberwachungen gemäß dem Bundesdatenschutzgesetz durch. Damit schützen Sie sich a) vor einer peinlichen Berichterstattung und b) vor einer Strafe und weiterhin können Sie c) ruhig schlafen, weil Sie wissen, dass Sie alles richtig gemacht haben.

Fahndung im Netz

Logo Hubit-DatenschutzDie Polizei setzt bei Ihren Ermittlungen immer mehr auf digitale Hilfsmittel. So werden mittlerweile auch soziale Netzwerke genutzt. Die Polizei in Niedersachsen hat auf diese Weise bereits mehrere Fahndungserfolge vermeldet. Nicht alle Bundesländer nutzen soziale Netzwerke.

Die Landesdatenschutzbeauftragten weisen teilweise daraufhin, dass die Nutzung der sozialen Netzwerke rechtliche grenzen im Telekommunikations- bzw. Telemediengesetz finden.

Es bleibt weiter abzuwarten, wie sich die rechtliche Lage und die Fahndungserfolge entwickeln.

Bewegungsdaten von Handykunden sollen verkauft werden

DatenverkaufDer spanische Konzern Telefonica will die Bewegungsdaten seiner Kunden vermarkten. Dies könnte auch die deutsche Tochter O2 und deren Kunden betreffen. Der hochverschuldete Telekom-Konzern will scheinbar auf diese Weise seine hohe Verschuldung reduzieren. Die begehrten Bewegungsdaten finden in der Wirtschaft dankende Abnehmer.

Telefonica hat zu diesem Zwecke eigens eine neue Tochtergesellschaft Telefonica Dynamic Insights gegründet. Laut tagesschau.de wirbt die Firma im Internet in einem Werbefilm mit den Wort: „Mit Telefónica Dynamic Insights können Sie ab jetzt sehen, wohin sich Kunden bewegen, während sie sich bewegen. Sie erfahren, wo Ihre potenziellen Kunden wirklich sind, wann sie da sind – und wie oft.“
Die Bewegungsdaten sollen zusätzlich mit Bestandsdaten, wie z.B: Alter und Geschlecht, angereichert werden.

Zunächst solle das Projekt in England starten und dann in Deutschland eingeführt werden. Laut focus.de sagte ein Sprecher, der Datenschutz müsse zu hundert Prozent eingehalten werden. Die Daten sollen anonymisiert verarbeitet werden.
Ohne eine Anonymisierung wäre dies in Deutschland gar nicht möglich.

Wenn hingegen die Daten nicht anonymisiert würden, sondern lediglich pseudonymisiert würden, wäre diese ein deutlicher Unterschied. Das Bundesdatenschutzgesetz definiert diese beiden Sachverhalte explizit.

Frank Rieger vom Chaos Computer Club (CCC) äußerte hierzu auf Twitter, man solle der Werbenutzung der Standortdaten wiedersprechen (oder gleich den Vertrag kündigen). Später twitterte er, wenn O2 jetzt von Kunden ordentlich und öffentlich Feuer bekämen, würden sich die anderen Operator überlegen, ob sie auch diesen Schritt gingen.

Whitepaper Datenschutz vom BVDW

BVDW Whitepaper DatenschutzDer Bundesverband Digitale Wirtschaft hat am 25.10.2012 ein Whitepaper zum Datenschutz rausgegeben.

Das Whitepaper zeigt klar auf, welche Anforderungen gesetzliche Datenschutz an die Wirtschaft stellt. Nun ist dieses Whitepaper auf die digitale Wirtschaft ausgelegt, dennoch können die meisten Punkte auf die Großzahl der deutschen Unternehmen projetziert werden.

In der Ankündigung zu dem Whitepaper heißt es auf der Webseite des BVDW:
Trotz zahlreicher Informations- und Aufklärungsmaßnahmen herrscht in manchen Unternehmen noch die gelebte Praxis, kein aktives Datenschutz-Management zu betreiben. Dennoch müssen die rechtlichen Vorgaben zum Datenschutz in deutschen Unternehmen überall dort beachtet werden, wo personenbezogene Daten digital verarbeitet werden.

Während eines kürzlich gehaltenen Vortrages fasste es Haye Hösel, Datenschutzberater und Inhaber der Firmen HUBIT, wie folgt zusammen: „[…] man kann es mit einem Satz sagen: Datenschutz ist eine gesetzliche Pflicht für alle Unternehmen in Deutschland.

Sind Sie noch nicht (gut) beraten? Dann sprechen Sie uns an. Wir beraten Sie zu den gesetzlichen Erfordernissen des Datenschutzes und der Datensicherheit.

Facebook-Fanseiten in der Kritik

Logo Hubit-DatenschutzIm September 2012 fand in Bremen eine Sitzung der GDD-ErfaKreis Bremen statt. Teilnehmer waren Datenschutzbeauftragte verschiedener Unternehmen im Bremer Raum oder Unternehmen wie HUBIT-Datenschutz, die Unternehmen als externe Datenschutzberater zur Seite stehen. Als weiterer Gast konnte Frau Sommer begrüßt werden. Sie ist die Landesdatenschutzbeauftragte des Landes Bremen.

In einer offenen Diskussionsrunde wurden verschiedene Themen rund um den Datenschutz angesprochen. Unter anderem wurde die Frage gestellt, was ein Unternehmen machen müssen, damit der Auftritt bei Facebook gesetzlich (und datenschutzrechtlich) konform wäre. Die Antwort war eindeutig. Betreibe ein Unternehmen eine sogenannte Fanseiten bei Facebook, dann können gesetzliche Anforderungen nicht erfüllt werden.
Damit die gesetzlichen Anforderungen erfüllt werden, reicht es nicht aus, ein Impressum auf der Fanseite zu installieren. Vielmehr ist es derzeit schlicht unmöglich die gesetzlichen Anforderungen zu erfüllen. Dies liegt an der Art und Weise und dem Umfang der Datenerhebung auf bzw. durch Facebook. Der Unternehmer auf hat Aufklärungspflichten, die er schlicht nicht erfüllen kann, weil ihm selber die Informationen fehlen, wie und wofür Facebook Daten verarbeitet.

Die Datenverarbeitung von Facebook wird seit vielen Jahren kritisiert. Vorreiter ist hier sicherlich Herr Weichert, der Landesdatenschutzbeauftragten des Landes Schleswig Holstein. Auf der Webseite des schleswig-holsteinischen Landesdatenschutzbeauftragten ist eine Abhandlung über die genauen Gründe zu lesen und dass bereits mehrere Verfahren gegen Betreiber solcher Fanseiten eingeleitet wurden. Weiterhin wird auch erläutert, warum der Facebook-Like-Button datenschutzrechtlich kritisch betrachtet wird und der Like-Button nicht eingesetzt werden darf.

Facebook-Phishing-Mails

Logo Hubit-DatenschutzDerzeit sind Phishing-Mails im Umlauf, die darauf abzielen, die Zugangsdaten von Facebook-Account auszuspähen. Die Email ist im Farbton von Facebook gehalten. Es wird behauptet, dass der Account gesperrt wäre und man einfach durch einen Login auf der Seite von Facebook diesen Account wieder aktivieren könne.

In der Tat ist es bei Facebook so, dass ein Account nicht gelöscht wird. Er wird nur deaktiviert. Entsperrt wird der Account, in dem man sich bei Facebook mit seiner Emailadresse und seinem Passwort erneut einloggt.


Wo ist nun das Problem?
Das Problem ist für viele nicht so offensichtlich. Der Link, der in der Phishing-Email steht sieht doch korrekt aus:

http://www.facebook.com/home.php.

Wenn man mit der Maus über den Link geht und die Maus dort einen Moment ruhen lässt, dann sieht man (wie im zweiten Bild), wohin der Link wirklich führt. Das wirkliche Ziel hat mit Facebook nichts zu tun. Es handelt sich vermutlich um eine Webseite auf einem kompromittierten Server.

Es gibt allerdings noch mehrere Anhaltspunkte für einen Nepp.

Der Empfänger hat keinen Facebook-Account mit dieser Emailadresse. Und weiterhin ist die Absenderadresse sehr zweifelhaft. Facebook würde wohl kaum diesen Absender 627152EE8@eu*****up.ch verwenden.

Hinweis: Die betroffen Emailadressen und Internetadressen wurden (aus datenschutzrechtlichen Gründen) unkenntlich gemacht. In der Original-Email sind diese lesbar gewesen.

Datenschutz: Ein Umbruch beginnt

Datenschutz in der CloudDatenschutz findet mehr und mehr Beachtung. Dies merkt man zum einen daran, dass die Presse das Thema häufiger aufgreift. Aber auch die großen Player merken, dass Datenschutz das Prestige fördert, er wichtig für das Unternehmen ist und mehr zum Selbstverständnis wird. Dies zeigt sich auch darin, dass einige Betreiber von Internetseiten, die sich früher nicht um das Thema gekümmert haben, nun doch eine Datenschutzerklärung auf Ihrer Internetseite veröffentlichen. Das reicht natürlich immer noch für die gesetzlichen Anforderungen, ist aber immerhin ein Schritt in die richtige Richtung.

Welche Anforderungen der Datenschutz an Ihre Internetseite stellt, können wir gern in einem persönlichen Gespräch erläutern.

Im Laufe dieses Jahres gab es ein paar Ereignisse, die genau in diese Richtung zielten. So gab es mehrere bekannte Internetbetreiber, die sich im Bereich Datenschutz neu aufgestellt haben, wie die folgenden drei Beispiele zeigen.

Bereits zum 01. März 2012 hat Google seine Datenschutzbestimmungen geändert und an die aktuellen Bedürfnisse angepasst. Hierbei hat Google ordentlich aufgeräumt und aus 60 verschiedenen Datenschutzbestimmungen unterschiedlicher Produkte eine Datenschutzbestimmung gemacht.

Die aktuelle Datenschutzerklärung von Google.
Diese Änderung ist auch und gerade in Hinblick auf Google-Analytics wichtig. Der Besucherzähler wurde lange Zeit durch die Landesdatenschutzbeauftragten kritisiert. Nach langen Verhandlungen konnte eine Verbesserung des Datenschutzniveaus erreicht werden. Aber auch der heutige Einsatz von Google-Analytics ist an bestimmte Vorgaben gebunden, damit der Einsatz datenschutzkonform ist. Hierzu beraten wir Sie gern.

Ebenfalls im März hat auch der Besucherzähler von Webmasterpro seinen Techniken umgestellt und verzichtet auf das Speichern kompletter IP-Adressen. Die technischen Änderungen gingen einher mit der Aktualisierung der Datenschutzerklärung von Webmasterpro (Flash Counter).

Mitte des Jahres 2012 hat auch Twitter seine Nutzungsbedingungen geändert und auf seine Datenschutzrichtlinie hingewiesen.
Wir werden die oben genannten Änderung nicht an dieser Stelle bewerten.

Sicherheitslücke im Microsoft Internet Explorer (IE)

Zero Day Sicherheitslücke IE Internet ExplorerWie bekannt wurde und auch von Microsoft bestätigt wurde gibt es im Internet Explorer eine Sicherheitslücke – die sogenannte Zero-Day-Schwachstelle. Betroffen seien die Versionen 6 bis 9 (unabhängig vom Microsoft Betriebssystem). Lediglich der Internet Explorer 10 unter Windows 8 sei sicher, hieß es.

Bereits am 17.09.2012 veröffentlichte das BSI (Bundesamt für Sicherheit in der Informationstechnik) hierzu eine Warnmeldung.

Leider gibt es derzeit kein Update oder Patch das diese Sicherheitslücke schließt. Dafür gibt es aber bereits Programme, die diese Sicherheitslücke ausnutzen. Microsoft bietet lediglich einen Workaround (Microsoft Security Advisory) an, der die Sicherheitslücke schließen soll. Unter anderem wird darin empfohlen, dass Active-X-Steuerelemente deaktiviert werden sollten. Leider funktionieren nach einer Deaktivierung viele Internetseiten, wie z.B. Onlinebanking, nicht mehr korrekt.

Wir schließen uns der Empfehlung des BSI an: nutzen Sie einen anderen Browser, wie z.B. Firefox oder Opera, bis ein Patch verfügbar ist. Dies ist in diesem Falle sicherlich einfacher und sicherer als der Workaround. Aber auch bei diesen Browsen sollten Sie immer die aktuellste Version verwenden.

Auf zig-Millionen PC ist dringendes Update erforderlich!

Java UpdateIn bestimmten Kreisen war schon lange die Rede davon, dass es eine Sicherheitslücke in der Java-Plattform gebe. Der Hersteller Oracle hatte hierzu eine Zeit lang geschwiegen. Nun hat Oracle bekannt gegeben, dass es eine Sicherheitslücke in Java gibt und ein Update bereitgestellt.

Java ist für viele Programmierer (auch für Internetseiten) sehr beliebt. Leider auch bei denen, die die Technik kriminell einsetzen. So sollen bereits (infiltrierte / kriminelle) Internetseiten diese Sicherheitslücken ausnutzen, um Schadcode einzuschleusen. Vier Sicherheitslücken sollen nun durch das Java-Update geschlossen werden. Weltweit sollen laut Oracle mehrere Milliarden Geräte mit Java installiert sein. In Deutschland sind vermutlich zig Millionen PC´s, Notebooks und andere Geräte betroffen.

Dieses Update installiert sich in den meisten Fällen nicht von alleine! Die meisten Nutzer sollten durcheine Meldung auf das Update hingewiesen werden. Darauf sollten Sie nicht warten! Laden Sie sich das Java Update von der Herstellerseite runter

In den meisten Fällen ist es erforderlich, dass zunächst die alte Version deinstalliert wird. Sollten Sie weitere Fragen zur Systemverträglich, Installation oder Deinstallation haben, wenden Sie sich bitte an Ihren IT-Dienstleister bzw. Administrator.

In der Installation wird gefragt, ob Sie eine Toolbar installieren wollen (siehe Bild unten). Diese ist nicht zwingend erforderlich. Wenn Sie die Toolbar nicht wünschen entfernen Sie den Haken. In vielen Fällen sammeln Toolbars Nutzerdaten. Wie diese Toolbar arbeitet ist uns nicht bekannt.