Australien veröffentlicht persönliche Daten von 31 Staats und Regierungschefs

und führt die Vorratsdatenspeicherung für 2 Jahre wieder ein. | 30/3/2015

Die Kombination der Ereignisse lässt uns schaudern.

Das Australische  Parlament führt die Vorratsdatenspeicherung für 2 Jahre wieder ein und gleichzeitig zeigen die Behörden wie sie mit sensiblen Daten umgehen, indem Sie Reisepassnummer und Visainformationen von 31 Regierungschefs an die falsche E-Mailadresse senden und sich dann dafür entscheiden, dies den Betroffenen lieber nicht mitzuteilen ...

Wie sicher sind dann die für zwei Jahre gespeicherten Verbindungsdaten aller Nutzer elektronischer Kommunikation in und über Australien?

Vielleicht sollten die Mitarbeiter der Australischen Behörden unser Datenschutz Spiel zur Sensibilisierung für die Brisanz im Umgang mit personenbezogenen Daten nutzen.


BestOf Mittelstand

Datenschutzspiel ist Preisträger der Initiative Mittelstand | 17/3/2015

Die Initiative Mittelstand vergibt jedes Jahr zur CeBIT ihren Innovationspreis Mittelstand in diversen Kategorien.

Dieses Jahr ist unser Daten-Schutz-spiel unter den BestOf in der Kategorie Human Ressources.

"Die größte Hürde bei der Durchführung von Datenschutzkampagnen im Unternehmen ist die Motivation der Mitarbeiter. Hier wird immer wieder versucht den Bauch (Sensibilisierung) über Informationen für den Kopf zu erreichen, Unser »Daten-Schutz-Spiel« bietet einen spielerischen Umgang mit der Thematik Datenschutz. 

Die Teilnehmer erfahren, was es heißt die Kontrolle über die eigenen Daten zu verlieren. Das »Daten-Schutz-Spiel« ist ein Spiel um Datenklau und Datenhandel. Nicht die trockene Definition von Datenschutzparagraphen steht hier im Vordergrund, sondern die Schaffung eines Bewusstseins für die Notwendigkeit eines vorsichtigen Umgangs mit den eigenen und fremden Daten.

Bewusst wurde das Spiel als Gesellschaftsspiel für bis zu 15 Spieler gestaltet, um das Thema Datenschutz aus der reinen IT und Computerecke herauszuholen und den Spielern im direkten Umgang miteinander ein Gefühl für den Wert ihrer eigenen persönlichen Daten zu vermitteln.

 


Datenschutz ade

Unternehmen für Datenschutzverstöße ihrer Dienstleister nicht (mehr) verantwortlich? | 3/11/2013

Das Schleswig-Holsteinische Verwaltungsgericht (VG) in Schleswig hat entschieden:

"[...] dass deutsche Betreiber von Facebook-Fanpages für die bei Facebook erfolgende Datenverarbeitung datenschutzrechtlich in keiner Weise verantwortlich gemacht werden können (Az. 8 A 37/12, 8 A 14/12, 8 A 218/11)."

In Zusammenahng mit den bereits im Januar diesen Jahres gefallenen Entscheidungen des VG wie auch dss Oberverwaltungsgerichtes, dass auch Facebook in Irland bzw. USA selbst nicht zur Anwendung des deutschen Datenschutzrechtes verpflichtet werden kann,( siehe Kommentar des ULD https://www.datenschutzzentrum.de/presse/20130215-verwaltungsgericht-facebook.htm und https://www.datenschutzzentrum.de/presse/20130424-facebook-klarnamen-ovg.htm)

liest sich der Sachverhalt für den unbedarften Unternehmer in Deutschland nun so:

"Wenn du nicht weißt, wie du den Datenschutz im Umgang mit den personenbezogenen Daten deiner Mitarbeiter und deiner Kunden sicherstellst, verlagere alle personenbezogenen Daten zu einem außereuropäischen Dienstleister und überlasse diesem auch die Organisation der Verarbeitung dieser Daten.

Nun hast du keinen Einfluss mehr auf die Prozesse, den Speicherort und die Sicherheit der verarbeiteten Daten und bist für keinen Verstoss mehr haftbar."

Soll das wirklich die Nachricht an deutsche Unternehmen sein?

Wie geht es denn nun weiter auf diesem Irrweg?

Brauche ich in Zukunft keine Umweltsteuer in Abhängigkeit des CO2-Ausstoßes für meinen PKW zahlen, da ich doch auf den CO2-Ausstoß gar keinen Einfluss habe? Das Fahrzeug müsste allerdings im außereuropäischen Auslang gefertigt werden. Japanische, koreanische oder amerikanische Fahrzeuge bekämen damit einen interessanten Marktvorteil.

(hpr)

 


Dienstleister für sichere E-Mails schließen in den USA

Lavabit rät:"Vertrauen Sie keinem Unternehmen mit physischen Verbindungen in die USA Ihre privaten Daten an. " | 9/8/2013

Nun hat die Snowden-Affaire ihr erstes Opfer gefordert. Lavabit, dessen verschlüsselte E-Mail Kommunikation durch Edward Snowden genutzt wurde, hat seine Dienste eingestellt. Der Kommunikationsdienstleister Silent Circle überlegt derzeit den gleichen Schritt zu gehen.

Interessant ist das letzte Statement von lavabit:

"Er bedauert seine schwierige Entscheidung zu der er gezwungen wurde. Er musste sich entscheiden zwischen der Beteiligung an Verbrechen gegen die amerikanischen Kunden oder der Beendigung von 10 Jahren harter Arbeit. Er hat sich für die zweite Variante entschieden. Leider darf er seine Beweggründe nicht nennen, die freie Rede gilt nicht für ihn.

Er warnt jeden davor persönliche Daten jemanden mit physikalischen Verbindungen in die USA anzuvertrauen."

Dies macht die Nutzung internationaler Clouddienste mehr als schwierig.

Auch das gerade in Berlin vorgestellte Projekt e-mail-made-in-germany.de der Deutsche Telekom und United Internet könnte von der Vorgehensweise amerikanischer Behörden gegen Anbieter und Dienstleister sicherer weil verschlüsselter elektronischer Kommunikation betroffen sein wenn die Möglichkeit der durchgehenden Ende zu Endeverschlüsselung genutzt wird. Im "Normal"-Betrieb werde alle Mails auf den Servern der Dienstleister entschlüsselt und auf Vieren und sonstige Gefährdungen durchsucht. Das gefällt auch den amerikanischen Behörden.
(hpr)

 


Hier finden Sie den Text im Original: lavabit


"Safe Harbour" Abkommen in Gefahr

Speicherung von personenbezogenen Daten außerhalb Europas nach deutschem Datenschutzrecht nicht mehr zulässig? | 5/8/2013

Die Konferenz der Datenschutz-Aufsichtsbehörden des Bundes und der Länder fordern in einer Pressemitteilung vom 24.7.2013 die Europäische Kommission auf, ihre Entscheidungen zu Safe Harbor und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren.

Das heißt, die Nutzung außereuropäischer Datenspeicherorte, die nicht direkt der europäischen Gesetzgebung  unterliegen , könnten nicht mehr mit dem Hinweis auf eine Selbstverpflichtung des Speicherdienstleisters (z.B. Microsoft oder IBM) nach dem "Safe-Harbour" Abkommen genutzt werden.

Die geübte Praxis der Geheimdienste zeigt, dass die rechtlichen Möglichkeiten des Patriot Actes keine rein theoretische ist, sondern massiv genutzt wird.

Es ist zu befürchten, dass auch weitergehende vertragliche Regelungen, die Unternehmen mit ihren außereuropäischen Speicher-Dienstleistern geschlossen haben, als nicht ausreichend erachtet werden und damit eine Speicherung von personenbezogenen Daten außerhalb Europas nach deutschem Datenschutzrecht nicht zulässig ist.
(hpr)

 

 


Rösler will stärkere Maßnahmen der Wirtschaft gegen Datenspionage

Kommt die Unterrichtungspflicht für Unternehmen? | 4/8/2013

Heise berichtet:

Die amerikanische Regierung habe klar gestellt, dass sie die Daten für die Terrorismusbekämpfung nutze. "Unabhängig davon müssen wir dafür sorgen, dass die Anfälligkeit für Wirtschaftsspionage und Datenmissbrauch weiter eingedämmt wird", so Rösler. Nicht nur Privatleute, sondern auch Unternehmen nutzten heute die Server US-amerikanischer Konzerne. Auch bei den mobilen Technologien dominierten US-Unternehmen. "Europa droht damit die Gefahr, in Abhängigkeiten zu geraten. Hier müssen wir gegensteuern."

Das akute Problem ist gar nicht so sehr die technologische Abhängigkeit, die haben wir mit der Nutzung amerikanischer Betriebssysteme schon lange. Das akute Problem ist die systematische Ausleitung aller Daten aus dem internationalen Infrastrukturen und die gesetzlich vorgeschriebenen Abhörschnittstellen in amerikanischer aber auch russischer Hard- und Software.

Hier die Entwicklung von Hard- und Software zu fördern, die europäischen Gesetzen unterliegen, ist auf den ersten Blick eine gute Idee. Zusätzlich sind aber noch ein paar organisatorische Maßnahmen erforderlich.

Sowie Daten über internationale Netze fließen kann international darauf zugegriffen werden. Das betrifft nicht nur die Nutzung eines Glasfaserbackbones zur Datenspiegelung sondern auch das Versenden einer vertraulichen Mail über öffentliche Leitungen.

  • Wir bräuchten in Europa Regelungen, die die Einhaltung des europäischen Datenschutzrechts von allen in Europa genutzten technischen Einrichtungen sicherstellt.
  • Jedes Unternehmen benötigt eigene Regelungen, die regelt, wo welche Daten gespeichert werden dürfen und wie damit umgegangen werden muss.
  • Diese Regelungen müssen allen Beteiligten zeitnah und für diese verständlich kommuniziert werden.

Die Unternehmensregelungen existieren meist für personenbezogene Daten, dafür sorgt das Datenschutzgesetz, für andere sensible Daten sind diese aber mindestens genauso wichtig.

Was fehlt ist die regelmäßige Information der Mitarbeiter welche Regelungen für sie gelten, wo sie diese finden und der Nachweis, dass alle Mitarbeiter die aktuellen Regelungen verstanden haben und diese akzeptieren.

  1. Fangen Sie doch heute damit an, ihren Mitarbeitern zu erklären, welche Cloud genutzt werden darf und welche nicht.
  2. Erklären Sie den Mitarbeitern, welche Folgen die Nutzung von sozialen Netzwerken auch für das Unternehmen hat.
  3. Regeln und kommunizieren Sie, wie Daten in Ihrem Unternehmen klassifiziert werden, und was das für die tägliche Arbeit bedeutet.

(hpr)

 


Bußgeld für E-Mailpanne

Mitarbeiter für Datenschutzfehler verurteilt | 29/6/2013

Nicht nur Unternehmen und deren Leitungen sind haftbar für Verstöße gegen den Datenschutz, sondern auch Mitarbeiter.  Das Bayerischen Landesamt für Datenschutzaufsicht teilt in einer Pressemitteilung vom 28.06.2013 mit:

"Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat gegen eine Mitarbeiterin eines Unternehmens ein Bußgeld verhängt, weil sie mit einem offenen E-Mail-Verteiler personenbezogene E-Mail-Adressen einem großen Empfängerkreis übermittelt hat."

Interessant ist in diesem Zusammenhang, ob die Mitarbeiterin wusste was sie tat?

Wahrscheinlich hat die Mitarbeiterin gar nicht alle Adressen in das Adressfeld eingetragen, sondern den Namen einer Adressliste verwendet. Der Name der Adressliste im Adressfeld wäre unkritisch, wenn bei den E-Mailempfängern auch nur der Name der Adressliste stehen würde. E-Mailprogrammen lösen aber leider die Namen von Adesslisten in Einzeladressen auf und damit kennt jeder Empfänger der E-Mail auch alle anderen Empfänger der E-Mail.

Dem Auftrag: "Senden Sie bitte folgende Informationen an diese Adressliste !" ist nicht unbedingt zu entnehmen dass die Empfänger nichts voneinander erfahren dürfen. Hier ist die Kenntnis einer Datenschutzpolicy Voraussetzung.

Dafür müsste aber diese Datenschutzpolicy im Unternehmen erst erstellt , schriftlich fixiert, an die Mitarbeiter verteilt und dann noch sichergesellt werden, dass jeder Mitarbeiter diese Policy auch verstanden hat.

Zusätzlich ist die Information an die Mitarbeiter erforderlich, wann das Adressfeld einer E-Mail, wann das Kopie-Feld und wann des Blindkopie-Feld für E-Mailadressen verwendet werde muss. Normalerweise wird diese Information im Rahmen einer E-Mailpolicy festgelegt und über Sensibilisierungsmaßnahmen für Informationssicherheit an alle Mitarbeiter verteilt.

Auch hier benötigt die Geschäftsleitung zur eigenen Entlastung einen Nachweis, dass alle Mitarbeiter diese Policy auch verstanden haben. Sonst schlägt der Fehler eines Mitarbeiters ganz schnell bis zur Geschäftsleitung durch.

Die Frage, ob eine Geschäftsführerversicherung den oder die Geschäftsführer, die ja gemeinschaftlich für Unternehmenrisiken haften, entlastet, überlassen wir den Juristen.

Also besser jetzt anfangen die erforderlichen Policies zu definieren und an alle Mitarbeiter nachweislich verstanden verteilen. Nutzen Sie unser Know-How in Ihrer Datenschutzkampagne.
(hpr)


Letzte Testphase des Datenschutzspiels

Feintuning an den Varianten der Spielregeln | 18/6/2013

Vielen Dank an die Teilnehmer der Testrunden unseres Datenschutzspiels.

Die Rückmeldungen aus den Fragebögen waren überwältigend.
Über 85% der Spieletester hatten sehr viel Spaß am Spiel und lobten den Gesamteindruck. Auch das Ziel, die Sensibilität für den Datenschutz zu erhöhen ist bei  80% der Testspieler erreicht worden. Lediglich die Tester, die schon sehr sensibilisiert waren, haben ihren Grad der Sensibilisierung nicht mehr erhöhen können aber trotzdem viel Spaß am Spiel gehabt. ("Ich will noch mal spielen! Das gibt es doch nicht, dass du meine Ersparnisse verkaufst und dafür auch noch Punkte bekommst!")

Überrascht hat uns die Aussage von mehr als 70% der Tester, dass sie das Spiel auch daheim mit ihren Freunden spielen würden. Natürlich sind die gesammelten Spielerfahrungen bereits in das Feintuning der Spielvarianten eingeflossen.

Nun gehen wir mit dem Datenschutzspiel in die letzte Testphase, um die überarbeiteten Regeln zu überprüfen.

Wollen Sie noch mittesten?
(hpr)


NSA spioniert auch EU-Bürger aus

Datenschutz ist Persönlichkeitsschutz | 7/6/2013

Die US-Regierung zapft die Kundendaten der großen amerikanischen Internetfirmen an, deren Daten sich auf den Servern dieser Unternehmen befinden. Dabei sind alle nicht amerikanischen Kunden im Visier, und alle Amerikaner, die "häufiger" mit dem Ausland kommunizieren.

Gerade erst hat ein US-Gericht Google dazu verdonnert dem FBI seine Kunden und Benutzerdaten ohne Zugangskontrolle durch Gerichte oder etwaige Begündung seitens des FBI zur Verfügung zu stellen, schon wird öffentlich, dass es sich hier nur um die Spitze eines Eisbergs handelt.

Verarbeitet und ausgewertet wurden, und werden wohl auch immer noch, die Daten der Internetfirmen Google, Skype, Facebook, Apple, Yahoo und Microsoft aber auch der Telefonanbieter Verizon, AT&T und Sprint. Die gesammelten Daten umfassen Bilder, Chats, E-Mailverkehr, Kreditkartendaten, live-Mittschnitte von Telefonaten, kurz alles, was über die Internetplattform der betreffenden Firmen an Daten abgewickelt wird.

Interessanterweise streitet ein Vertreter der Firma Google dies ab und behauptet:"Google hat keine Hintertür, über die die Regierung Zugriff auf private Daten der Nutzer hat." Das wäre dann zwar für die Nutzer erfreulich aber ein klarer Verstoß gegen das oben erwähnte Gerichtsurteil und damit etwas unglaubwürdig.

Der Aufschrei in Europa hat einen kleinen Beigeschmack: Der Guardian berichtet dass der britische Geheimdienst GCHQ offenbar seit dem Jahr 2010 Daten aus dem amerikanischen PRISM erhalten hat. Welche Geheimdienste anderer Länder sich noch aus diesem Datenpool bedienen konnten, ist noch nicht öffentlich. Allerdings wandern sogar interne und geheime Daten auch schon mal aus den USA nach China ab.

Dieses Sammeln und Handeln von Kundendaten erinnert sehr an MainSkill's Datenschutzspiel und zeigt dessen Aktualität.
(hpr)


Russland fordert Daten der Flugpassagiere

3/6/2013

Die süddeutsche Zeitung berichtet über aktuelle Begehrlichkeiten der russischen Förderation ab 1.Juli 2013 Daten aller Reisenden zu erhalten, die nach Russland fliegen oder über den russischen Luftraum fliegen.

Die Daten möchten Russland aber auch von allen Busreisenden oder Schiffsreisenden, die über russisches Hoheitsgebiet reisen erhalten. Die Liste ähnelt den Flugdaten, die an die USA geliefert werden müssen (Kreditkartennummers, Sitzplatzinformationen, Kontakte in Russland... ).

Allerdings verlangt das europäische Datenschutzrecht zumindest ein Datenübertragungsabkommen, welches die datenschutzrechtliche Behandlung der Daten regelt. So ein Abkommen existiert mit den USA. Dieses ist zwar weder datenschutz noch verfassungskonform aber es versucht zumindest eine Regelung. Ein Abkommen mit Russland ist noch nicht einmal im Gespräch.

Für die Fluggesellschaften droht nun ab 1.Juli 2013 ein Flugverbot über russisches Hoheitsgebiet. Das betrifft alle transkontinentalen Flüge, die russisches Gebiet berühren.

Die Datenquelle "Fluggastdaten" scheint Schule zu machen, da auch Katar und Saudi-Arabien Fluggastdaten haben wollen.
(hpr)