Australien veröffentlicht persönliche Daten von 31 Staats und Regierungschefs

und führt die Vorratsdatenspeicherung für 2 Jahre wieder ein. | 30/3/2015

Die Kombination der Ereignisse lässt uns schaudern.

Das Australische  Parlament führt die Vorratsdatenspeicherung für 2 Jahre wieder ein und gleichzeitig zeigen die Behörden wie sie mit sensiblen Daten umgehen, indem Sie Reisepassnummer und Visainformationen von 31 Regierungschefs an die falsche E-Mailadresse senden und sich dann dafür entscheiden, dies den Betroffenen lieber nicht mitzuteilen ...

Wie sicher sind dann die für zwei Jahre gespeicherten Verbindungsdaten aller Nutzer elektronischer Kommunikation in und über Australien?

Vielleicht sollten die Mitarbeiter der Australischen Behörden unser Datenschutz Spiel zur Sensibilisierung für die Brisanz im Umgang mit personenbezogenen Daten nutzen.


Datenschutz ade

Unternehmen für Datenschutzverstöße ihrer Dienstleister nicht (mehr) verantwortlich? | 3/11/2013

Das Schleswig-Holsteinische Verwaltungsgericht (VG) in Schleswig hat entschieden:

"[...] dass deutsche Betreiber von Facebook-Fanpages für die bei Facebook erfolgende Datenverarbeitung datenschutzrechtlich in keiner Weise verantwortlich gemacht werden können (Az. 8 A 37/12, 8 A 14/12, 8 A 218/11)."

In Zusammenahng mit den bereits im Januar diesen Jahres gefallenen Entscheidungen des VG wie auch dss Oberverwaltungsgerichtes, dass auch Facebook in Irland bzw. USA selbst nicht zur Anwendung des deutschen Datenschutzrechtes verpflichtet werden kann,( siehe Kommentar des ULD https://www.datenschutzzentrum.de/presse/20130215-verwaltungsgericht-facebook.htm und https://www.datenschutzzentrum.de/presse/20130424-facebook-klarnamen-ovg.htm)

liest sich der Sachverhalt für den unbedarften Unternehmer in Deutschland nun so:

"Wenn du nicht weißt, wie du den Datenschutz im Umgang mit den personenbezogenen Daten deiner Mitarbeiter und deiner Kunden sicherstellst, verlagere alle personenbezogenen Daten zu einem außereuropäischen Dienstleister und überlasse diesem auch die Organisation der Verarbeitung dieser Daten.

Nun hast du keinen Einfluss mehr auf die Prozesse, den Speicherort und die Sicherheit der verarbeiteten Daten und bist für keinen Verstoss mehr haftbar."

Soll das wirklich die Nachricht an deutsche Unternehmen sein?

Wie geht es denn nun weiter auf diesem Irrweg?

Brauche ich in Zukunft keine Umweltsteuer in Abhängigkeit des CO2-Ausstoßes für meinen PKW zahlen, da ich doch auf den CO2-Ausstoß gar keinen Einfluss habe? Das Fahrzeug müsste allerdings im außereuropäischen Auslang gefertigt werden. Japanische, koreanische oder amerikanische Fahrzeuge bekämen damit einen interessanten Marktvorteil.

(hpr)

 


Dienstleister für sichere E-Mails schließen in den USA

Lavabit rät:"Vertrauen Sie keinem Unternehmen mit physischen Verbindungen in die USA Ihre privaten Daten an. " | 9/8/2013

Nun hat die Snowden-Affaire ihr erstes Opfer gefordert. Lavabit, dessen verschlüsselte E-Mail Kommunikation durch Edward Snowden genutzt wurde, hat seine Dienste eingestellt. Der Kommunikationsdienstleister Silent Circle überlegt derzeit den gleichen Schritt zu gehen.

Interessant ist das letzte Statement von lavabit:

"Er bedauert seine schwierige Entscheidung zu der er gezwungen wurde. Er musste sich entscheiden zwischen der Beteiligung an Verbrechen gegen die amerikanischen Kunden oder der Beendigung von 10 Jahren harter Arbeit. Er hat sich für die zweite Variante entschieden. Leider darf er seine Beweggründe nicht nennen, die freie Rede gilt nicht für ihn.

Er warnt jeden davor persönliche Daten jemanden mit physikalischen Verbindungen in die USA anzuvertrauen."

Dies macht die Nutzung internationaler Clouddienste mehr als schwierig.

Auch das gerade in Berlin vorgestellte Projekt e-mail-made-in-germany.de der Deutsche Telekom und United Internet könnte von der Vorgehensweise amerikanischer Behörden gegen Anbieter und Dienstleister sicherer weil verschlüsselter elektronischer Kommunikation betroffen sein wenn die Möglichkeit der durchgehenden Ende zu Endeverschlüsselung genutzt wird. Im "Normal"-Betrieb werde alle Mails auf den Servern der Dienstleister entschlüsselt und auf Vieren und sonstige Gefährdungen durchsucht. Das gefällt auch den amerikanischen Behörden.
(hpr)

 


Hier finden Sie den Text im Original: lavabit


"Safe Harbour" Abkommen in Gefahr

Speicherung von personenbezogenen Daten außerhalb Europas nach deutschem Datenschutzrecht nicht mehr zulässig? | 5/8/2013

Die Konferenz der Datenschutz-Aufsichtsbehörden des Bundes und der Länder fordern in einer Pressemitteilung vom 24.7.2013 die Europäische Kommission auf, ihre Entscheidungen zu Safe Harbor und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren.

Das heißt, die Nutzung außereuropäischer Datenspeicherorte, die nicht direkt der europäischen Gesetzgebung  unterliegen , könnten nicht mehr mit dem Hinweis auf eine Selbstverpflichtung des Speicherdienstleisters (z.B. Microsoft oder IBM) nach dem "Safe-Harbour" Abkommen genutzt werden.

Die geübte Praxis der Geheimdienste zeigt, dass die rechtlichen Möglichkeiten des Patriot Actes keine rein theoretische ist, sondern massiv genutzt wird.

Es ist zu befürchten, dass auch weitergehende vertragliche Regelungen, die Unternehmen mit ihren außereuropäischen Speicher-Dienstleistern geschlossen haben, als nicht ausreichend erachtet werden und damit eine Speicherung von personenbezogenen Daten außerhalb Europas nach deutschem Datenschutzrecht nicht zulässig ist.
(hpr)

 

 


Rösler will stärkere Maßnahmen der Wirtschaft gegen Datenspionage

Kommt die Unterrichtungspflicht für Unternehmen? | 4/8/2013

Heise berichtet:

Die amerikanische Regierung habe klar gestellt, dass sie die Daten für die Terrorismusbekämpfung nutze. "Unabhängig davon müssen wir dafür sorgen, dass die Anfälligkeit für Wirtschaftsspionage und Datenmissbrauch weiter eingedämmt wird", so Rösler. Nicht nur Privatleute, sondern auch Unternehmen nutzten heute die Server US-amerikanischer Konzerne. Auch bei den mobilen Technologien dominierten US-Unternehmen. "Europa droht damit die Gefahr, in Abhängigkeiten zu geraten. Hier müssen wir gegensteuern."

Das akute Problem ist gar nicht so sehr die technologische Abhängigkeit, die haben wir mit der Nutzung amerikanischer Betriebssysteme schon lange. Das akute Problem ist die systematische Ausleitung aller Daten aus dem internationalen Infrastrukturen und die gesetzlich vorgeschriebenen Abhörschnittstellen in amerikanischer aber auch russischer Hard- und Software.

Hier die Entwicklung von Hard- und Software zu fördern, die europäischen Gesetzen unterliegen, ist auf den ersten Blick eine gute Idee. Zusätzlich sind aber noch ein paar organisatorische Maßnahmen erforderlich.

Sowie Daten über internationale Netze fließen kann international darauf zugegriffen werden. Das betrifft nicht nur die Nutzung eines Glasfaserbackbones zur Datenspiegelung sondern auch das Versenden einer vertraulichen Mail über öffentliche Leitungen.

  • Wir bräuchten in Europa Regelungen, die die Einhaltung des europäischen Datenschutzrechts von allen in Europa genutzten technischen Einrichtungen sicherstellt.
  • Jedes Unternehmen benötigt eigene Regelungen, die regelt, wo welche Daten gespeichert werden dürfen und wie damit umgegangen werden muss.
  • Diese Regelungen müssen allen Beteiligten zeitnah und für diese verständlich kommuniziert werden.

Die Unternehmensregelungen existieren meist für personenbezogene Daten, dafür sorgt das Datenschutzgesetz, für andere sensible Daten sind diese aber mindestens genauso wichtig.

Was fehlt ist die regelmäßige Information der Mitarbeiter welche Regelungen für sie gelten, wo sie diese finden und der Nachweis, dass alle Mitarbeiter die aktuellen Regelungen verstanden haben und diese akzeptieren.

  1. Fangen Sie doch heute damit an, ihren Mitarbeitern zu erklären, welche Cloud genutzt werden darf und welche nicht.
  2. Erklären Sie den Mitarbeitern, welche Folgen die Nutzung von sozialen Netzwerken auch für das Unternehmen hat.
  3. Regeln und kommunizieren Sie, wie Daten in Ihrem Unternehmen klassifiziert werden, und was das für die tägliche Arbeit bedeutet.

(hpr)

 


Bußgeld für E-Mailpanne

Mitarbeiter für Datenschutzfehler verurteilt | 29/6/2013

Nicht nur Unternehmen und deren Leitungen sind haftbar für Verstöße gegen den Datenschutz, sondern auch Mitarbeiter.  Das Bayerischen Landesamt für Datenschutzaufsicht teilt in einer Pressemitteilung vom 28.06.2013 mit:

"Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat gegen eine Mitarbeiterin eines Unternehmens ein Bußgeld verhängt, weil sie mit einem offenen E-Mail-Verteiler personenbezogene E-Mail-Adressen einem großen Empfängerkreis übermittelt hat."

Interessant ist in diesem Zusammenhang, ob die Mitarbeiterin wusste was sie tat?

Wahrscheinlich hat die Mitarbeiterin gar nicht alle Adressen in das Adressfeld eingetragen, sondern den Namen einer Adressliste verwendet. Der Name der Adressliste im Adressfeld wäre unkritisch, wenn bei den E-Mailempfängern auch nur der Name der Adressliste stehen würde. E-Mailprogrammen lösen aber leider die Namen von Adesslisten in Einzeladressen auf und damit kennt jeder Empfänger der E-Mail auch alle anderen Empfänger der E-Mail.

Dem Auftrag: "Senden Sie bitte folgende Informationen an diese Adressliste !" ist nicht unbedingt zu entnehmen dass die Empfänger nichts voneinander erfahren dürfen. Hier ist die Kenntnis einer Datenschutzpolicy Voraussetzung.

Dafür müsste aber diese Datenschutzpolicy im Unternehmen erst erstellt , schriftlich fixiert, an die Mitarbeiter verteilt und dann noch sichergesellt werden, dass jeder Mitarbeiter diese Policy auch verstanden hat.

Zusätzlich ist die Information an die Mitarbeiter erforderlich, wann das Adressfeld einer E-Mail, wann das Kopie-Feld und wann des Blindkopie-Feld für E-Mailadressen verwendet werde muss. Normalerweise wird diese Information im Rahmen einer E-Mailpolicy festgelegt und über Sensibilisierungsmaßnahmen für Informationssicherheit an alle Mitarbeiter verteilt.

Auch hier benötigt die Geschäftsleitung zur eigenen Entlastung einen Nachweis, dass alle Mitarbeiter diese Policy auch verstanden haben. Sonst schlägt der Fehler eines Mitarbeiters ganz schnell bis zur Geschäftsleitung durch.

Die Frage, ob eine Geschäftsführerversicherung den oder die Geschäftsführer, die ja gemeinschaftlich für Unternehmenrisiken haften, entlastet, überlassen wir den Juristen.

Also besser jetzt anfangen die erforderlichen Policies zu definieren und an alle Mitarbeiter nachweislich verstanden verteilen. Nutzen Sie unser Know-How in Ihrer Datenschutzkampagne.
(hpr)


Russland fordert Daten der Flugpassagiere

3/6/2013

Die süddeutsche Zeitung berichtet über aktuelle Begehrlichkeiten der russischen Förderation ab 1.Juli 2013 Daten aller Reisenden zu erhalten, die nach Russland fliegen oder über den russischen Luftraum fliegen.

Die Daten möchten Russland aber auch von allen Busreisenden oder Schiffsreisenden, die über russisches Hoheitsgebiet reisen erhalten. Die Liste ähnelt den Flugdaten, die an die USA geliefert werden müssen (Kreditkartennummers, Sitzplatzinformationen, Kontakte in Russland... ).

Allerdings verlangt das europäische Datenschutzrecht zumindest ein Datenübertragungsabkommen, welches die datenschutzrechtliche Behandlung der Daten regelt. So ein Abkommen existiert mit den USA. Dieses ist zwar weder datenschutz noch verfassungskonform aber es versucht zumindest eine Regelung. Ein Abkommen mit Russland ist noch nicht einmal im Gespräch.

Für die Fluggesellschaften droht nun ab 1.Juli 2013 ein Flugverbot über russisches Hoheitsgebiet. Das betrifft alle transkontinentalen Flüge, die russisches Gebiet berühren.

Die Datenquelle "Fluggastdaten" scheint Schule zu machen, da auch Katar und Saudi-Arabien Fluggastdaten haben wollen.
(hpr)


FBI bekommt Googles Kundendaten

1/6/2013

Ein Gerichtsbeschluss zwingt Google dem FBI Kundendaten preiszugeben, ohne dass ein richterlicher Beschluss vorliegt, ohne Nennung von Gründen und ohne dass der Kunde oder irgend jemand anders darüber informiert werden darf.

Googles Beschwerde gegen dieses Verfahren ist damit abgelehnt worden.

Damit können alle Daten, die über einen Nutzer von Googlediensten auch in Benutzerprofilen zusammengefasst werden, vom FBI jederzeit ohne Angabe von Gründen oder richterlichen Beschluss abgerufen werden.

Die Frage stellt sich welche Daten Google über den einzelnen Benutzer nun für das FBI abrufbar gespeichert hat.

  • Wer hat wann nach welchem Suchbegriff gesucht?
  • Wer hat wem etwas in das Googlepostfach gesendet?
  • Welche Daten liegen in der Googlecloud?
  • Welche Cookies hat Googles Tochterfirma Doubleclick im Zugriff?
  • Welche Daten sendet die Webseitenauswertungen Google Analytice an Google?
  • ...
    (hpr)

Datenleck bei Finanzdienstleister

Vertrauliche Nutzerdaten an die Öffentlichkeit gelangt | 30/5/2013

Kunden und Nutzerdaten werden zu Profilen verdichtet und genutzt, dass haben wir mittlerweile gelernt. Je mehr und je sensiblere Daten aufgehäuft werden, desto besser werden diese geschützt, das haben wir erwartet.

Leider stimmt das so nicht.

Der Stern berichtet über ein Datenleck beim Finanzdienstleister Blomberg. Blomberg wiegelt ab. Die Daten zeigten wann sich die Nutzer ein- und ausloggten und wann sie sich für allgemeine Anlageklassen wie Aktien oder Anleihen interessierten. Zusätzlich waren geschäftliche Mitteilungen zwischen Bank-Händlern und deren Kunden, die vertrauliche Informationen zu Preisen und Handelsaktivitäten enthielten veröffentlicht worden. In keinem Falle habe es jedoch Zugang zu Handels-, Portfolio- oder Bildschirmdaten gegeben.

Allein die vertrauliche Korrespondenz und die genutzten Anlageklassen reichen schon aus, damit Wertpapier-Händler daraus Gewinn ziehen können.

Leider sind auch die Signale aus der Politik für das gewünschte Datenschutzniveau nicht immer hilfreich. Am 3.4.2013 konnten wir bei Heise Security lesen, dass die Vortragenden im Innenausschuss sich einig waren, dass IT-Sicherheits- und Datenschutzstandards in Deutschland massiv gesenkt werden sollten.

Der besondere Schutz für Steuer-, Sozial- und Gerichtsdaten, deren elektronischer Transport bisher eine Ende-zu-Ende-Verschlüsselung voraussetzte kann durch das gewünschte De-Mail Verfahren nicht geleistet werden. Statt das De-Mail Verfahren zu verbessern soll jetzt das geforderte Sicherheitsniveau abgesenkt werden (Beschlossen am 18.04.2013) im Bundestag .

Also mehr sensible Daten durch die Mailleitungen schicken mit weniger Sicherheit. Das ist "Unsicherheit per Gesetz" .

Und da regen wir uns über Datenlecks in der Wirtschaft auf.
(hpr)


Online Profile für die Ewigkeit?

29/5/2013

Das Anlegen von Online Proflen z.B. bei sozialen Netzwerken ist sehr einfach und oft auch logisch aufgebaut. Das Abmelden ist schon schwieriger. Oft findet man den Knopf zum Offline gehen erst nach langem Suchen. Ein endgültiges Abmelden mit Löschen der dort gespeicherten Daten ist nicht garantiert. Persönliche Daten, Kontakte und Korrespondenz sowie eigene Bilder und Querverweise aus fremden Beiträgen können erhalten bleiben. Ein intensiver Blick in die AGBs des Anbieters ist hier bei der Anmeldung schon ratsam. Aber Achtung AGBs ändern sich mitunter. Speichern Sie die AGBs und kontrollieren Sie regelmäßig ob sich etwas geänderhat.

Heise berichtet über eine besorgniserregende Stichprobe des Verbraucherzentrale Bundesverbandes (vzbv) unter 19 Anbietern.

Parallel dazu fordern EU-Datenschützer einen besseren Schutz vor Profilbildung durch Firmen und öffentlichen Einrichtungen, denn Profile über persönliche Daten erstellen die Benutzer nicht nur selbst in den sozialen Netzwerken sondern diese Profile werden auch durch Wirtschaft und Behörden erstellt. Nicht immer stellt sich das Sammeln der Daten als rechtmäßig heraus (Verfassungsbeschwerde gegen Dresdner Funkzellenabfrage).

Manchmal entbrennt ein Streit darüber, wer denn die Daten der Kunden sammeln und besonders, wer denn diese pflegen darf (Kassenärzte gegen Gesundheitskarte).

Fast immer bleibt aber offen wer denn diese erhobenen Daten verwendet, wohin diese weitergeleitet werden und welche Auswirkungen diese Nutzung auf die Person hat, der diese Daten eigentlich gehören.

Eine W3B-Studie zeigt, dass die Nutzer die Machtposition der großen 5 (Amazon, Google, Facebook, eBay und Apple) durchaus kritisch sehen.

Folgende Fragen interessieren den sensibilisierten Leser:

  • Wer nutzt die Daten (auch von facebook, Twitter, Google, Payback und Schufa)?
  • Wie kann ich als Betroffener erfahren welche Daten von mir genutzt werden?
  • Wie kann ich falsche Schlussfolgerungen aus meinen Daten richtig stellen?
  • Wie kann ich unrechtmäßig erhobene Daten löschen lassen?

Und die wichtigste Frage: Wie erfahre ich überhaupt dass Daten von mir gesammelt und benutzt werden?
(hpr)