Monat: Oktober 2011

Der Chaos Computer Club hat bekannt gegeben, am Samstag, 7. Oktober 2011 den Bundestrojaner gehackt zu haben.

In diesem Zusammenhang stellt sich die Frage, wie Anbieter von Sicherheitssoftware ihre Sicherheitssoftware gestalten, um ein mögliches Eindringen des Bundestrojaners zu verhindern.

Der Softwareanbieter F-Secure teilte in seiner Pressemitteilung vom 11. Oktober 2011 mit, dass für F-Secure-Kunden keine Gefahr der Spionage durch den Bundestrojaner bestanden habe.
In der Pressemitteilung heißt es: „F-Secure wird zu keiner Zeit Lücken in der Sicherheitssoftware zulassen – ganz gleich, woher die Schadprogramme auch kommen mögen“.

Es bleibt abzuwarten, wie sich amerikanische Sicherheitssoftware-Hersteller in dieser Hinsicht äußern und ob sie eine ähnlich lautende Selbstverpflichtungserklärung ablegen.

Für unverlangt zugesandte E-Mail-Werbung haftet der Geschäftsführer eines Unternehmens. Das Landgericht Berlin entschied, dass Geschäftsführer auch haften, wenn sie die Versendung nicht beauftragt haben, aber Kenntnis davon hatten und sie nicht verhindert haben.
Anlass für diesen Urteilsspruch war der Hackerangriff  auf ein Unternehmen, in dessen Folge 180.000 Werbe-E-Mails verschickt wurden und einer der Empfänger auf Unterlassung klagte.
Dieser Unterlassungsanspruch gilt uneingeschränkt für alle unverlangt zugesandten E-Mails.

(Az. 15 S 1/11)

Der Verbraucherzentrale Bundesverband (vzbv) hat eine Online-Petition für eine gesetzliche Regelung gestartet, damit alle Geräte und Dienste bei ihrer Auslieferung so voreingestellt sind, das der Datenschutz maximal gewährleistet wird. Eine Umsetzung dieser Forderung würde vor allem den unerfahrenen Anwendern  entgegenkommen, denen meist nicht bewusst ist, welche (persönlichen) Daten die sozialen Netzwerke sonst über sie sammeln.

Auf der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29. September 2011 in München wurden u. a. zu folgenden Schwerpunktthemen Entschließungen getroffen:
a) Datenschutz bei sozialen Netzwerken:
Laut Konferenz müssen sich Anbieter von solchen Plattformen auch dann an europäische Datenschutzstandards halten, wenn sie ihren Sitz außerhalb von Europa haben.
b) Datenschutz als Bildungsaufgabe
Die Konferenz wies darauf hin, dass Datenschutz als Bildungsaufgabe verstanden und praktiziert werden müsse. Die digitale Aufklärung sei ein unverzichtbarer Bestandteil der Datenschutzkultur des 21. Jahrhunderts. Hierzu gehöre neben der Wissensvermittlung auch die Entwicklung eines wertebezogenen Datenschutzbewusstseins.
c) Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing
Die Konferenz fordert Cloud-Anbieter auf, ihre Dienstleistungen datenschutzkonform zu gestalten. Auf der anderen Seite müssen die Cloud-Anwender aber auch ihre Pflichten als verantwortliche Stelle wahrnehmen.

Zu den genannten Themen stellt der Hessische Datenschutzbeauftragte auf seiner Website die Entschließungen im Detail zusammen.
Die „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien kann dort ebenfalls heruntergeladen werden.

Google setzt Forderungen der Aufsichtsbehörden um

(hmbbfdi, 15.9.2011) Seit Ende 2009 haben der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises und Google Gespräche über die erforderlichen Änderungen zum gesetzeskonformen Einsatz von Google Analytics geführt. Hintergrund dafür bildete der entsprechende Beschluss der Aufsichtsbehörden der Länder zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten.

Durch konstruktive Gespräche ist es gelungen, sich gemeinsam auf zentrale Punkte zu einigen und diese umzusetzen. Insbesondere hat Google das Verfahren dahingehend geändert, dass

•    den Nutzern die Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten eingeräumt wird. Google stellt ein so genanntes Deaktivierungs-Add-On zur Verfügung (http://tools.google.com/dlpage/gaoptout?hl=de). Dieses Add-On war bisher für Internet Explorer, Firefox und Google Chrome verfügbar. Google hat nun Safari und Opera hinzugefügt, so dass alle gängigen Browser berücksichtigt sind;
•    auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Die Löschung erfolgt innerhalb Europas;
•    mit den Webseitenbetreibern ein Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abgeschlossen werden soll.

Für Webseitenbetreiber stellt der Hamburgische Datenschutzbeauftragte besondere Hinweise auf seiner Homepage www.datenschutz-hamburg.de zur Verfügung. Macht ein Webseitenbetreiber von diesen Möglichkeiten Gebrauch, wird dadurch ein beanstandungsfreier Betrieb von Google Analytics gewährleistet.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:

„Wir befinden uns am Ende eines langen, aber konstruktiven Abstimmungsprozesses. Die intensive Zusammenarbeit zwischen den Datenschutz-Aufsichtsbehörden einerseits und Google andererseits haben die erzielten Verbesserungen ermöglicht. Ausdrücklich begrüße ich auch die Ankündigung von Google, dass die technischen Änderungen europaweit umgesetzt werden sollen. Ich möchte jedoch auch daran erinnern, dass die Arbeit nicht abgeschlossen ist. Insbesondere ist zu berücksichtigen, dass nicht Google, sondern die Webseitenbetreiber, die das Produkt einsetzen, für den datenschutzgerechten Einsatz verantwortlich sind.“

Darüber hinaus wird künftig erforderlich sein, die technischen Anforderungen des Opt-Out auch auf Smartphones zu übertragen. Hinzu kommt, dass die Entwicklung der Analyse-Software mit dem derzeitigen Stand der Umsetzung keineswegs endgültig abgeschlossen ist. Technische und rechtliche Veränderungen erfordern eine kontinuierliche Weiterentwicklung. So werden die ausstehende Umsetzung der E-Privacy-Richtline, aber auch die Einführung von IPv6 neue Schritte erfordern.

Hierzu gilt es, auch weiterhin mit Google im Dialog zu bleiben.