Schlagwort-Archiv: Datenschutz

Kamera-Attrappe auf Schultoilette

Logo Hubit-DatenschutzIn Österreich ließ eine Schulleiterin eine Kamera-Attrappe auf der Jungen-Toilette installieren. Angeblich habe sie dies mit der Verschmutzung rund um die Pissoirs begründet. Der Landesschulratspräsident habe mittlerweile angeordnet, die Attrappe zu demontieren hieß es.

Nicht nur in Österreich auch in Deutschland ist die Gerichtsbarkeit der Meinung, dass auch eine Kamera-Attrappe die Persönlichkeitsrechte schwerwiegend beeinträchtige und psychischen Druck ausübe. Eine Kamera-Attrappe unterliegt somit den gleichen Anforderungen, wie eine echte Kamera.

Jede Videoüberwachung (auch Attrappen) ist durch einen Datenschutzbeauftragten vor der Installation zu prüfen. Nur datenschutzrechtlich unbedenkliche Videoüberwachungen dürfen in Betrieb gehen.

Die Firma HUBIT – Datenschutz führt in Bremen, Hamburg, Hannover, Niedersachsen und Nordrhein Westfalen führt die Überprüfung von Videoüberwachungen gemäß dem Bundesdatenschutzgesetz durch. Damit schützen Sie sich a) vor einer peinlichen Berichterstattung und b) vor einer Strafe und weiterhin können Sie c) ruhig schlafen, weil Sie wissen, dass Sie alles richtig gemacht haben.

Fahndung im Netz

Logo Hubit-DatenschutzDie Polizei setzt bei Ihren Ermittlungen immer mehr auf digitale Hilfsmittel. So werden mittlerweile auch soziale Netzwerke genutzt. Die Polizei in Niedersachsen hat auf diese Weise bereits mehrere Fahndungserfolge vermeldet. Nicht alle Bundesländer nutzen soziale Netzwerke.

Die Landesdatenschutzbeauftragten weisen teilweise daraufhin, dass die Nutzung der sozialen Netzwerke rechtliche grenzen im Telekommunikations- bzw. Telemediengesetz finden.

Es bleibt weiter abzuwarten, wie sich die rechtliche Lage und die Fahndungserfolge entwickeln.

Bewegungsdaten von Handykunden sollen verkauft werden

DatenverkaufDer spanische Konzern Telefonica will die Bewegungsdaten seiner Kunden vermarkten. Dies könnte auch die deutsche Tochter O2 und deren Kunden betreffen. Der hochverschuldete Telekom-Konzern will scheinbar auf diese Weise seine hohe Verschuldung reduzieren. Die begehrten Bewegungsdaten finden in der Wirtschaft dankende Abnehmer.

Telefonica hat zu diesem Zwecke eigens eine neue Tochtergesellschaft Telefonica Dynamic Insights gegründet. Laut tagesschau.de wirbt die Firma im Internet in einem Werbefilm mit den Wort: „Mit Telefónica Dynamic Insights können Sie ab jetzt sehen, wohin sich Kunden bewegen, während sie sich bewegen. Sie erfahren, wo Ihre potenziellen Kunden wirklich sind, wann sie da sind – und wie oft.“
Die Bewegungsdaten sollen zusätzlich mit Bestandsdaten, wie z.B: Alter und Geschlecht, angereichert werden.

Zunächst solle das Projekt in England starten und dann in Deutschland eingeführt werden. Laut focus.de sagte ein Sprecher, der Datenschutz müsse zu hundert Prozent eingehalten werden. Die Daten sollen anonymisiert verarbeitet werden.
Ohne eine Anonymisierung wäre dies in Deutschland gar nicht möglich.

Wenn hingegen die Daten nicht anonymisiert würden, sondern lediglich pseudonymisiert würden, wäre diese ein deutlicher Unterschied. Das Bundesdatenschutzgesetz definiert diese beiden Sachverhalte explizit.

Frank Rieger vom Chaos Computer Club (CCC) äußerte hierzu auf Twitter, man solle der Werbenutzung der Standortdaten wiedersprechen (oder gleich den Vertrag kündigen). Später twitterte er, wenn O2 jetzt von Kunden ordentlich und öffentlich Feuer bekämen, würden sich die anderen Operator überlegen, ob sie auch diesen Schritt gingen.

Whitepaper Datenschutz vom BVDW

BVDW Whitepaper DatenschutzDer Bundesverband Digitale Wirtschaft hat am 25.10.2012 ein Whitepaper zum Datenschutz rausgegeben.

Das Whitepaper zeigt klar auf, welche Anforderungen gesetzliche Datenschutz an die Wirtschaft stellt. Nun ist dieses Whitepaper auf die digitale Wirtschaft ausgelegt, dennoch können die meisten Punkte auf die Großzahl der deutschen Unternehmen projetziert werden.

In der Ankündigung zu dem Whitepaper heißt es auf der Webseite des BVDW:
Trotz zahlreicher Informations- und Aufklärungsmaßnahmen herrscht in manchen Unternehmen noch die gelebte Praxis, kein aktives Datenschutz-Management zu betreiben. Dennoch müssen die rechtlichen Vorgaben zum Datenschutz in deutschen Unternehmen überall dort beachtet werden, wo personenbezogene Daten digital verarbeitet werden.

Während eines kürzlich gehaltenen Vortrages fasste es Haye Hösel, Datenschutzberater und Inhaber der Firmen HUBIT, wie folgt zusammen: „[…] man kann es mit einem Satz sagen: Datenschutz ist eine gesetzliche Pflicht für alle Unternehmen in Deutschland.

Sind Sie noch nicht (gut) beraten? Dann sprechen Sie uns an. Wir beraten Sie zu den gesetzlichen Erfordernissen des Datenschutzes und der Datensicherheit.

Auf zig-Millionen PC ist dringendes Update erforderlich!

Java UpdateIn bestimmten Kreisen war schon lange die Rede davon, dass es eine Sicherheitslücke in der Java-Plattform gebe. Der Hersteller Oracle hatte hierzu eine Zeit lang geschwiegen. Nun hat Oracle bekannt gegeben, dass es eine Sicherheitslücke in Java gibt und ein Update bereitgestellt.

Java ist für viele Programmierer (auch für Internetseiten) sehr beliebt. Leider auch bei denen, die die Technik kriminell einsetzen. So sollen bereits (infiltrierte / kriminelle) Internetseiten diese Sicherheitslücken ausnutzen, um Schadcode einzuschleusen. Vier Sicherheitslücken sollen nun durch das Java-Update geschlossen werden. Weltweit sollen laut Oracle mehrere Milliarden Geräte mit Java installiert sein. In Deutschland sind vermutlich zig Millionen PC´s, Notebooks und andere Geräte betroffen.

Dieses Update installiert sich in den meisten Fällen nicht von alleine! Die meisten Nutzer sollten durcheine Meldung auf das Update hingewiesen werden. Darauf sollten Sie nicht warten! Laden Sie sich das Java Update von der Herstellerseite runter

In den meisten Fällen ist es erforderlich, dass zunächst die alte Version deinstalliert wird. Sollten Sie weitere Fragen zur Systemverträglich, Installation oder Deinstallation haben, wenden Sie sich bitte an Ihren IT-Dienstleister bzw. Administrator.

In der Installation wird gefragt, ob Sie eine Toolbar installieren wollen (siehe Bild unten). Diese ist nicht zwingend erforderlich. Wenn Sie die Toolbar nicht wünschen entfernen Sie den Haken. In vielen Fällen sammeln Toolbars Nutzerdaten. Wie diese Toolbar arbeitet ist uns nicht bekannt.

Was ist eine Vorabkontrolle?

Logo Hubit-DatenschutzEine Vorabkontrolle wird vor der Einführung eines Verfahrens durchgeführt. Eine Vorabkontrolle gem. Bundesdatenschutzgesetz (BDSG) ist durch einen Datenschutzbeauftragten durchzuführen.

Wann ist eine Vorabkontrolle erforderlich?
Das BDSG nennt nur zwei Sachverhalte, die eine Vorabkontrolle in jedem Falle erfordern. Die Verarbeitung von besonderen Arten personenbezogener Daten macht eine Vorabkontrolle erforderlich. Ebenso ist sie zwingend vorgeschrieben, wenn personenbezogene Daten dazu bestimmt sind, die die Persönlichkeit (Fähigkeiten, Leistung, Verhalten) des Betroffenen zu bewerten.

Zwei Paradebeispiele, die einer Vorabkotrolle erforderlich machen, sind Videoüberwachung und GPS-Ortung.
Grundsätzlich kann man sagen: Ist sich ein Unternehmen nicht sicher, ob eine Vorabkontrolle erforderlich ist, sollte der Datenschutzbeauftragte befragt werden. Ist kein Datenschutzbeauftragter in dem Unternehmen bestellt, sollten Sie sich Rat bei HUBIT holen. Wir beraten Sie zu datenschutzrechtlichen Fragen.

Was macht man, wenn keine Vorabkotrolle durchgeführt wurde?
In vielen Unternehmen ist nicht bekannt, dass eine Vorabkontrolle erforderlich, wenn z.B. Video- oder GPS-Technik eingesetzt wird. Erfolgte keine Vorabkontrolle (vor der Inbetriebnahme), so ist diese Datenverarbeitung illegal.
Eine nachträgliche Kontrolle ist möglich. So können Sie Ihre Datenverarbeitung (für die Zukunft) legalisieren.

Schaden für Unternehmen durch Social Media möglich?

Logo Hubit-DatenschutzSocial Media ist der Trend der letzten Jahre im Internet. Plattformen wie z.B. Twitter, Facebook, Google etc. bieten vielfältige Möglichkeiten zum Informationsaustausch. Viele Unternehmen nutzen mittlerweile diese Dienste für Marketing Kampagnen. Doch bringen diese Dienste nur Vorteile?

Es ist wie mit allen Dingen im Leben. Jede Sache hat zwei Seiten. Es gibt natürlich auch eine negative Seite. Aus technischer Sicht sind hierzu schon viele Artikel veröffentlicht worden, in den z.B. Facebook für das Auspionieren der Benutzer angeprangert wurde. Darum soll es in dieser Datenschutz-News nicht gehen.
Es geht um ansehensschädigende Beiträge und Industriespionage mittels Social Engineering. Beim Social Engineering Weitere Infos im Lexikon wird die größte Schwachstelle im System für die Informationsgewinnung genutzt.
Der Mensch.

Die Menschheit ist das, was sie ist, durch das Sprechen geworden. Das Austauschen von Informationen ist ein wichtiger Baustein in unserem Sein. So verwundert es nicht, dass alle gern über dies und das sprechen. In der Vergangenheit war es kein so großes Problem, wenn man seinen Freunden in geselliger Runde ein paar lustige Geschichten aus dem Geschäftsalltag erzählte oder sich negativ über seinen Arbeitgeber ausgelassen hat. Das meiste blieb in der Runde und die meisten Informationen gerieten mit der Zeit in Vergessenheit.

Heute sieht dies anders aus. Es gibt das Internet und eine Vielzahl an Möglichkeiten sich über Foren, Social Media Plattformen und andere Portale auszutauschen. Aber wo ist der Unterschied?
Es gibt zwei gravierende Unterschiede. Zum einen bleiben geschriebene Worte im Internet sehr lange gespeichert und werden selten gelöscht. Es ist sozusagen für die Ewigkeit geschrieben. Zum anderen wird selten darauf geachtet, dass nur eine bestimmte Personengruppe diese Beiträge liest.

Die Mitarbeiter müssen dafür sensibilisiert werden, dass sie nicht alles im Internet veröffentlichen. Auch das bayrische Landesamt für Verfassungsschutz warnt vor den Gefahren durch Internetplattformen.

Mitarbeiter sollten in Schulungen sensibilisiert werden. Weiterhin sollte ihnen vermittelt werden, wie sie ihre Privatsphäre-Einstellungen konfigurieren sollten. Schulungen von HUBIT zum richtigen Umgang mit sozialen Netzwerken, dem Internet und Unternehmensdaten können Sie individuell für Ihre Bedürfnisse durchführen lassen.

Dass sich Mitarbeiter negativ über Ihren Arbeitgeber auslassen ist sicherlich nicht angenehm. Aber auch hier sollte man sich der Kritik stellen und beurteilen, wieso der Mitarbeiter so unzufrieden ist, dass er (wissentlich oder unwissentlich) seinem Arbeitgeber Schaden zufügt.

Schlimmer ist hingegen, wenn unternehmensinterne Informationen im Internet veröffentlicht werden.
Zu Zeiten des Kalten Krieges wurde viel Wert auf Sicherheit und Schutz vor Industriespionage gelegt. Heute wird dieses Thema stiefmütterlich behandelt. Aber Industriespionage ist immer noch weit verbreitet. Jedoch wird sie heute mit ganz anderen Mitteln umgesetzt. Facebook, Google und andere Plattformen bieten genügend Raum für Klatsch und Tratsch. Jeder hat zig oder hunderte von Freunden, denen er alles mitteilt.

Aber sind das wirklich Freunde?
Wie gut kennt man seine „Freunde“ und „Follower“? Oder hat man sie nur seiner Liste hinzugefügt, weil sie nett waren, aussahen oder sich als Freund eines Freundes ausgaben?
Man sollte immer genau überlegen, wem man welche Informationen mitteilt – insbesondere im Internet.

Industriespionage hat mit den neuen Medien eine neue Grundlage gefunden, um einfach an Informationen zu gelangen. Social Engineering wird damit so einfach…!

Seien Sie zurückhaltend. Überlegen Sie sich genau, welche Information sie preisgeben möchten. Entscheiden Sie sich für einen sicheren Kanal. Es muss nicht immer jeder alles wissen.

Was ist Phishing?

Logo Hubit-DatenschutzPhishing ist ein Kunstwort, dass sich aus verschiedenen Wörtern ableitet. Hier ist zunächst fishing (das englische Wort für Angeln) zu nennen. Das P am Anfang steht für Password (zu deutsch: Passwort). Das erste H soll für Harvesting (auf deutsch: Ernte) stehen.

Das Prinzip ist relativ einfach. Der Phisher legt einen Köder aus. Dann wird versucht, dem geköderten Internetuser sensible Informationen zu entlocken, wie z.B. Zugangsdaten für Online Banking, Webserver oder Emailkonten.

Es ist somit eine Art des Social Engineering

In der Regel beginnt alles mit einer Email oder Nachricht über einen Messenger (Chatprogramm). Eine solche Email ist meist professionell aufgemacht und versucht das Erscheinungsbild, z.B. einer Bank, nachzuahmen. In der Email wird von einem Fehler oder einem wichtigen Ereignisse gesprochen, dass dem Leser vermittelt, dass er schnell handeln müsse, damit er diese Gefahr abwenden kann. Es wird bewusst Zeitdruck ausgeübt, damit der Betroffene nicht so viel Zeit zum Nachdenken hat. In der Email ist dann meist ein Link zu der vermeintlichen Bank (um bei dem Beispiel zu bleiben). Die Internetadresse sieht der echten Internetadresse meist ähnlich oder ist nicht sichtbar.

Klick nun der Betroffene auf diesen Link kommt er zu einer Webseite, die der echten Webseite der Bank sehr ähnlich sieht. Er wird auf der Webseite freundlichen Empfangen und gegebenenfalls nochmals auf die Gefahren hingewiesen, damit er weiterhin den zeitlichen Druck verspürt und nicht mit dem Denken beginnt.

Hier wird er nun aufgefordert seine Zugangsdaten einzugeben, damit er sich einloggen kann oder damit das Problem direkt behoben werden kann.

Die so abgefangenen Zugangsdaten werden später von dem Phisher verwendet, um Geld von dem Konto des Betroffenen auf eines seiner Konten zu übermitteln.

Es muss sich aber nicht zwingend um eine Bank handeln es gibt auch viele andere Beispiele, wie eine Phishing Attacke aussehen kann. So kann es auch sein, dass man aufgefordert wird, die vermeintliche Service Hotline anzurufen. In Wirklichkeit ist dies natürlich nicht die Service Hotline sondern der Phisher. Am Telefon werden dann ebenfalls sensible Informationen abgefragt. Es müssen nicht zwingend Zugangsdaten für eine Bank sein. Auch andere Zugangsdaten können interessant sein. Kreditkarteninformationen sind ebenfalls sehr beliebt.

Die Variationsmöglichkeiten beim Phishing sind vielfältig. Seien Sie in jedem Fall skeptisch. Wenn Sie sich nicht sicher sind, ob diese Email wirklich von Ihrer Bank, Kreditinstitut oder Geschäftspartner ist, dann fragen Sie dort nach. Aber bitte nehmen Sie nicht die Rufnummer aus der Email! Nehmen Sie die Rufnummer aus Ihrem Telefonbuch. Oder leiten Sie die Email an Ihren Sachbearbeiter weiter, damit der Ihnen die Echtheit bestätigen kann.

Was ist Clickjacking?

Logo Hubit-DatenschutzClickjacking ist eine ganz raffinierte Technik, die von Hackern eingesetzt wird, um das System zu manipulieren.
Im Prinzip werden die Klicks entführt. Der Benutzer denkt er würde sich auf einer Webseite befinden. Wenn er auf einen Link klickt, dann sieht es für ihn ganz gewöhnlich aus.

Aber was passiert nun wirklich?

Das Hackerprogramm legt (für den Benutzer unsichtbar) Schaltflächen hinter den Link. Das heißt, dass der Benutzer glaubt auf einen Link zu klicken, doch in Wirklichkeit wird diese unsichtbare Schaltfläche angeklickt.

Was sind das für Schaltflächen?

Das kann sehr unterschiedlich sein. Es kann sein, dass dadurch ein Programm installiert wird oder Einstellungen in der Systemsteuerung geändert werden. So kann z.B. das Mikrofon eingeschaltet werden oder das Antivirenprogramm deaktiviert werden.

Ein Schutz gegen Clickjacking ist für den Benutzer schwer umzusetzen. Das eigentliche Problem liegt in dem Aufbau von JavaScript.

Der mögliche Schutz kann eigentlich nur von Fachleuten umgesetzt werden. Hier sind zum einen die Hersteller von Browser, wie z.B. Internet Explorer, Firefox oder Opera gefordert und zum anderen die Entwickler von Webanwendungen.
Die Entwickler müssen den Header X-Frame-Option mit bestimmten Werten senden. Die meisten Browser unterstützen diesen Header mittlerweile. Doch leider nicht alle.

Dem Benutzer kann nur geraten werden, einen aktuellen Webbrowser zu verwenden.

Neues Meldegesetz ist ein datenschutzrechtlicher Rückschritt

Logo Hubit-DatenschutzViele Bürger wissen es vielleicht gar nicht. Die Meldeämter geben teilweise ihre Daten weiter. Bislang war dies auf bestimmte Zwecke limitiert. Das neue Gesetz zur Fortentwicklung des Meldewesens sollte den Datenschutz erhöhen. Dem Entwurf nach sollte eine Weitergabe der Daten nur noch mit der Einwilligung des Bürgers möglich sein. Das nun verabschiedete Gesetz ist aus Sicht des Datenschutzes ein Rückschritt.

Die Informationelle Selbstbestimmung des Bürgers wurde bereits durch das Bundesverfassungsgericht als wichtiges Gut ausgewiesen. Das sogenannte Volkszählungsurteil wurde 1983 gesprochen und war ein wichtiger Meilenstein im deutschen Datenschutz. Grundsätzlich sollte der Bürger selbst bestimmen, wer seine Daten verarbeitet.

Das Bundesdatenschutzgesetz nimmt sich genau dieser Grundlagen an und formulierte ein sogenanntes Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass prinzipiell jede Datenverarbeitung von personenbezogenen Daten verboten ist, es sei denn, dass ein Gesetz dies erlaubt bzw. vorschreibt oder die betroffene Person hierzu eingewilligt hat.

Das neue Meldegesetz soll das Meldewesen vereinheitlichen und so eine Harmonisierung zwischen den Ländern bewirken. Ebenfalls war es das ursprüngliche Ziel, das Datenschutzniveau anzuheben.

Bislang war es den Meldeämtern erlaubt, Daten für verschiedene Zwecke weiterzugeben. Der ein oder andere mag sich schon mal gewundert haben, warum er kurz vor der Wahl Werbung der einen oder anderen Partei in seinem Briefkasten hatte.

Im Rahmen von Wahlen, ist es gestattet die Meldedaten für Parteiwerbung weiterzugeben. Wussten Sie das?

Man konnte der Weitergabe der Daten schriftlich widersprechen (das sogenannt Opt-Out-Verfahren).

Das neue Meldegesetz sollte eine Verbesserung darstellen. Hier war ursprünglich von einem Opt-in-Verfahren die Rede. Dies bedeutet, dass die Daten nur mit Einwilligung des Bürgers weitergegeben werden dürfen.

Das Gesetz zur Fortentwicklung des Meldewesens wurde nun durch den Bundestag verabschiedet. Jedoch mit entscheidenden Änderungen. Von Opt-in ist nun keine Rede mehr. Der Bürger muss (wie in der Vergangenheit) der Weitergabe der Daten widersprechen. Das Gesetz ist nun aber noch weiter in „Datenschutz Vergangenheit“ abgerutscht. Es wurden weitere Lockerungen eingefügt, die nun auch Adresshändler und ähnlichen Werbetreibenden den Zugriff auf die Daten (zum Datenabgleich) erlaubt. Durch Widerspruch soll die Weitergabe zum Datenabgleich nicht betroffen sein. Laut Golem käme daher auch der Bundesbeauftragte für den Datenschutz und die Informationssicherheit zu der Einschätzung, in den meisten Fällen sei der Widerstand zwecklos.

Noch hat das Gesetz keine Rechtskraft. Es muss noch durch den Bundesrat bestätigt werden. Es bleibt also abzuwarten, ob der Bundesrat eine Änderung der Datenschutzbestimmungen fordert und das Gesetz blockiert.