Archive for Juni 2011

Regierungspfusch: Die Änderung des Geldwäschegesetzes

Mittwoch, 29. Juni 2011

Ich denke, Sie und ich sind uns darüber einig, dass Geldwäsche zu unterbinden ist. Was jedoch im „Entwurf eines Gesetzes zur Optimierung der Geldwäscheprävention“ zu lesen ist, zeigt handwerkliche Unzulänglichkeiten auf, die schon auf den ersten Blick haarsträubend sind. Auch wenn der Text extrem schwer zu lesen ist – typischerweise sind die Worte angegeben, die den bestehenden Gesetzestext ändern und die der Leser dann manuell im bestehenden Text ersetzen „darf“ – so fallen doch recht schnell in der Begründung interessante Unzulänglichkeiten auf:

Geldwäschebeauftragter

Sie sind Unternehmer und handeln gewerblich mit Gütern? Das ist an sich ja noch nicht verwerflich. Doch als solcher sind Sie ein „Verpflichteter“ im Sinne des GwG, des Geldwäschegesetzes oder, korrekt bezeichnet, des „Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten“. Nach dem Entwurf der Bundesregierung müssen Sie in Zukunft einen „Geldwäschebeauftragten“ bestellen – zumindest dann, wenn Sie mehr als neun Personen beschäftigen. „Dem Geldwäschebeauftragten ist ungehinderter Zugang zu sämtlichen Informationen, Daten, Aufzeichnungen und Systemen zu verschaffen, die im Rahmen der Erfüllung seiner Aufgaben von Bedeutung sein können.“ Auf den Cent genau wurden im Gesetzentwurf die Kosten für die Wirtschaft abgeschätzt. Für die Mitteilung der Bestellung und Entpflichtung an eine Behörde wurden bundesweit 143.366,67 € kalkuliert! Dividiert man diesen Betrag durch die vermutliche Anzahl von Unternehmen mit mehr als 9 Mitarbeitern, die gewerblich mit Gütern handeln, so muss eine solche Meldung sehr schnell abgewickelt werden. Kosten für die Bestellung selbst, ein evtl. Gespräch zwischen Geschäftleitung und zukünftigem Geldwäschebeauftragten, evtl. Informationskosten etc. wurde von der Bundesregierung offensichtlich vergessen… Wie schreibt die Regierung „Die zusätzlichen Kosten für die Wirtschaft (Personalkosten, Materialkosten) werden sich auf nicht mehr als 1 000 000 € belaufen, weil die zukünftig neu bestellten Geldwäschebeauftragten in der Regel bereits mit anderen Funktionen eines Betriebsbeauftragten („Compliance Officers“) betraut sind und diese neue Funktion mit dem insoweit bereits vorhandenen Personalbestand wahrgenommen werden kann.“ Offensichtlich haben die befassten Mitarbeiter in Unternehmen soviel Langeweile und dabei soviel Wissen, dass die neue Aufgabe ohne Zusatzaufwand erledigt werden kann.

Als Datenschutzbeauftragter verwundert mich das. Schließlich geht es hierbei letztendlich um die Übermittlung von personengebundenen Daten auf Grund einer gesetzlichen Vorschrift. Der Geldwäschebeauftragte ist also auch im Bereich des Datenschutzes entsprechend zu schulen und in den EDV-Systemen sind entsprechende Zugriffsmöglichkeiten für den Geldwäschebeauftragten vorzusehen, zumindest sind aber entsprechende Verfahrensanweisungen sowie Dokumentationsrichtlinien zu erlassen. Aufwand, den die Bundesregierung ignoriert.

E-Geld

Noch ein weiterer Punkt stößt beim ersten Lesen des Gesetzentwurfes auf: Die Einführung der Unmöglichkeit, im Internet anonym einkaufen zu können. Schon bisher sind Handlungen, die im „normalen Leben“ problemlos anonym möglich sind (Kauf der Hose, der Zeitschrift etc.) im Internet nur schwer anonym anzuwickeln. Schließlich müssen die Waren den Käufer ja irgendwie erreichen. Aber zumindest für Dinge, die auch über das Internet genutzt werden, also Downloads, Spiele etc., ist eine anonyme Nutzung möglich, wenn der Anbieter sein Geld anonym erhält. Um diese zu verwirklichen, wurde E-Geld entwickelt. Heute können Sie an Automaten und Kiosks Wertgutscheine erwerben, mit denen Sie digitale Güter nutzen können. Damit ist es, nach dem Willen der Bundesregierung, in Zukunft vorbei. Solche Verkafsstellen müssen in Zukunft – ohne Mindestgrenze – die Personalien der „Geldtauscher“ (Bargeld zu E-Geld) aufzeichnen, denn sie sind dann „E-Geld-Agenten nach § 1a Absatz 6 des Zahlungsdiensteaufsichtsgesetzes“. Man fragt sich schon, wer sich diese Regeln ausgedacht hat.

Paypal und der Datenschutz – Finger weg

Mittwoch, 29. Juni 2011

Datenschutz und US-amerikanische Unternehmen – scheinbar ein Widerspruch in sich. Ein weiteres Beispiel für den unverantwortlichen Datenhunger ist PayPal. Eigentlich sollte PayPal als Zahlungsdienstleister Geld übermitteln, nicht mehr und nicht weniger. Daher stellt sich die Frage, warum lässt sich Paypal in seinen Nutzungsbedinungen weitgehende Rechte zur Datenübermittlung und Datenauswertung einräumen. Einige Beispiele:

  1. Bei der Kontoeröffnung steht: „Weisen Sie PayPal ausdrücklich an, entsprechend den Datenschutzgrundsätzen bestimmte Informationen über Sie und Ihr Konto an Dritte weiterzugeben.“ Dort kann man dan z. B. lesen: „Wenn Sie registrierter PayPal-Nutzer sind, werden Ihr Name, Ihre E-Mail-Adresse, Ihre Skype-ID (sofern vorhanden), Ihre Telefonnummer (sofern vorhanden), das Datum der Anmeldung, die Anzahl von Zahlungen, die Sie von verifizierten PayPal-Kunden erhalten haben, und Informationen darüber, ob Sie über einen verifizierten Zugriff auf ein Bankkonto verfügen, anderen PayPal-Kunden angezeigt, an die Sie eine Zahlung gesendet haben, oder die über PayPal eine Zahlung an Sie senden möchten.“ (Fettmarkierungen von mir und nicht von PayPal).
  2. Ferner erlaubt der Benutzer die Offenlegung aller Daten an jegliche Institution, von denen PayPal glaubt!, „dass sie zur Untersuchung von Betrugsfällen oder anderen ungesetzlichen oder potenziell ungesetzlichen Aktivitäten sowie Verstößen gegen unsere Nutzungsbedingungen geeignet sind.“. Hierbei wird ausdrücklich keinerlei Einschränkung hinsichtlich eines Landes etc. getroffen! Ausserdem werden alle  „relevanten Daten an entsprechende Auskunfteien zur Verhinderung von Betrug“ weitergegeben, wenn PayPal einen Betrug feststellt und „ungenaue Informationen gegeben wurden“.
  3. Weiter folgt eine seitenlange Liste von Finanzfirmen, Banken aber auch Marketingfirmen, an die die Daten weitergegeben werden und dies zu teilweise ziemlich dubiosen Zwecken, wie z. B. „Um zusätzliche Benutzerinformationen zu sammeln und Marketingkampagnen besser ausrichten zu können.“.

Dies nur als erster und kurzer Überblick über den Umgang von PayPal mit Ihren persönlichen Daten. Sie können sich also sicher sein, dass Ihre Daten von PayPal in der Welt weit verbreitet werden. Wenn Sie mehr lesen wollen: Hier der Link zu den PayPal-„Datenschutz“-Grundsätzen.

Facebook und Datenschutzbeauftragte

Sonntag, 12. Juni 2011

Es ist manchmal schon etwas haarsträubend, welche Blüten das Werbeinteresse so treibt. In meinem vorheringen Blogeintrag habe ich auf die Problematik von Facebook-HInweisen auf der eigenen Webseite hingewiesen. Eigentlich sollte sich jeder, der sich beruflich mit dem Datenschutz in Deutschland beschäftigt, dieser Problematik bewusst sein.

Umso erstaunlicher ist es, das ich bei einer Stichprobe bei einigen Webseiten von betrieblichen Datenschutzbeauftragten genau solche Links gefunden habe: Entweder war der Originalcode von Facebook eingebunden, häufiger waren jedoch Bilder, die von der Facebook-Seite stammen, eingebunden.

Eingebunden wurde das Bild mit diesem Code:

 

Daher hier noch einmal der technische Hinweis: Auch wenn nur ein Bild von einem fremden Server, in diesem Fall Facebook, eingebunden wird, so findet trotzdem eine Anfrage an diesen fremden Server statt. Dieser hat, auch bei nur einem Bild, die Möglichkeit, die Daten des Besuchers mitzuschreiben, Cookies zu setzen und zu lesen etc.

Um niemanden konkret „anzuschwärzen“ habe ich die Namen der Webseiten und der Webseitenbetreiber verpixelt. Trotzdem mein Appell an alle Datenschutzbeauftragten: Lasst uns mit gutem Beispiel im Datenschutz vorangehen!

Facebook-Gefällt-mir-Button und der Datenschutz: Risiko für Unternehmen

Mittwoch, 8. Juni 2011

Wer einen „Gefällt-mir“-Button auf seiner Webseite einblendet, verstößt gegen bundesdeutsches Datenschutzrecht.

Die Hintergründe

Der von Facebook bereitgestellte „Gefällt-mir-Button“ kommt auf einer Webseite nicht vom Webseitenbetreiber, sondern von Facebook. Das bedeutet, dass Facebook, unabsichtlich vom Besucher, direkt beim Besuch einer Webseite über den Besuch informiert wird. Übermittelt werden dann bei allen Besuchern, egal ob Facebook-Mitglied oder nicht, die „üblichen Informationen“ wie die IP-Adresse, Browsertyp, Browserfähigkeiten etc. Zumindest die IP-Adresse ist ein personenbezogenes Datum, welches dem BDSG unterliegt. Insbesondere die Kombination der anderen Merkmale kann ebenfalls als personenbezogenes Datum gesehen werden, da diese Kombination möglicherweise eindeutig für eine individuelle Person ist.

Personenbezogene Daten dürfen, von gesetzlichen Ausnahmen abgesehen, nur mit Zustimmung des Betroffenen verarbeitet werden (§4 (1) BDSG). Auch nach §13 TMG muss ein Diensteanbieter, also der Betreiber einer Webseite, den Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ … „in allgemein verständlicher Form … unterrichten“.

Bei Facebook-Mitgliedern, die während des Besuches der Webseite bei Facebook angemeldet sind, werden nicht nur die genannten Daten zu Facebook übertragen, sondern zusätzlich die Facebook-ID. Facebook weiß also genau, welche Seite die konkrete und Facebook namentlich bekannte Person besucht.

Dass dies, insbesondere in Verbindung mit der Datenverarbeitung in den USA, eine datenschutzrechtliche Katastrophe ist, ist nicht Gegenstand dieses Artikels. Hier sei beleuchtet, wie stark der deutsche Webseitenbetreiber verantwortlich ist und wie er sich korrekt verhalten kann.

Das Problem betrifft nicht nur Facebook, sondern auch andere Dienste, die auf ähnliche Weise eingebunden werden, bei denen also auch Seiteninhalte von anderen Betreibern nachgeladen werden.

Der Webseitenbetreiber kann sich auf den Standpunkt stellen, er sei doch unschuldig. Die Daten würden ja nicht von ihm erfasst und übermittelt, sondern direkt von Facebook. Diese Ansicht wird jedoch kaum haltbar sein. Wenn ein Besucher die Webseite eines deutschen Anbieters in seinem Browser aufruft, kann er davon ausgehen, dass seine Daten gemäß den deutschen Datenschutzrecht behandelt werden. Von der durch den Anbieter erfolgten Einbindung fremden Inhaltes kann er noch nichts wissen, denn diese sieht er ja erst beim Aufruf – also wenn es schon zu spät ist. Insofern ist die Erfassung durch Facebook sicherlich dem Webseitenanbieter zuzuordnen: Er hat die Erfassung eingebunden und er profitiert in seinem Marketing von der Einbindung.

Insofern obliegt es dem deutschen Webseitenbetreiber, seine Besucher wie oben ausgeführt zu informieren.

Die Lösung

Der Webseitenbetreiber möchte die (vermeintlichen) Marketingvorteile von Facebook nutzen. Der angemeldete Facebook-Nutzer möchte auf den Facebook-Button klicken können. Unbeteiligte und auch der angemeldete Facebook-Benutzer sollen aber nicht bespitzelt werden. Hierfür gibt es eine technische Lösung: Wird nicht der von Facebook angebotene Orginal-Button genutzt, so wird auch nicht die ungewünschte Original-Funktion ausgeführt. Statt dessen kann eigener Javascriptcode verwendet werden, um den Benutzer zu informieren und bei seiner Zustimmung die Original-Funktion, ggf. mittels Umleitungsseite, aufzurufen. Ferner wird für die „ge-like-te“ Seite eine eigene Ansprungseite erzeugt, die dann auf die Originalseite umleitet. Auf diese Weise kann ein Facebook-Benutzer die richtige Seite anspringen. Diese Lösung ist zwar nicht im Sinn von Facebook, aber im Sinn des Datenschutzes und der Benutzer.