Archiv für die Kategorie: ‘Allgemein’

Vertrauliche Daten in E-Mails

Freitag, 15. Februar 2019

Privat musste ich den Stromanbieter wechseln. Ein neuer Anbieter war Dank der diversen Vergleichsportale schnell gefunden, ein Vertrag über einen dieser Vermittler schnell beantragt.

Der Vermittler stellte mir die Vertragsunterlagen über einen personalisierten Link zur Verfügung, bei dem ich mich mittels meines Geburtsdatums authentifizieren musste. Nicht optimal, besser wäre es gewesen beim Bestellprozess ein „Geheimnis“ zu vereinbaren, aber eine Möglichkeit.

Das Problem: E-Mail mit vertraulichen Daten im Klartext

Das böse Datenschutzerwachen kam dann, als der neue Versorger mir seine Auftragsbestätigung per E-Mail schickte: unverschlüsselt als für jeden lesbare PDF-Datei und inklusive sensibler personenbezogener Daten.

Ich dachte mir, dass in dem Unternehmen offensichtlich nicht genügend über Datenschutz, den aktuellen Stand der Technik und die notwendigen technischen und organisatorischen Maßnahmen zum Datenschutz nachgedacht worden war und schrieb den Datenschutzbeauftragten des Unternehmens an. Hierbei schlug ich als Lösungen die Vereinbarung eines Geheimnisses beim Vertragsschluss, eben die Verwendung des Geburtsdatums oder der Bankverbindung als Geheimnis zur Verschlüsselung oder zum Download der Unterlagen vor.

Die Stellungnahme des Unternehmens

Meine Anfrage wurde, das war positiv, sehr schnell vom Datenschutzbeauftragten von einer Mail-Adresse des Mutterkonzerns aus Süddeutschland aus beantwortet.

Der Inhalt lässt jedoch leider nicht auf zu geringes Nachdenken, sondern auf Ignoranz der Risiken schließen. Ich zitiere wörtlich:

[…] Nach Ziffer 6 der AGB der [Namen des Unternehmens entfernt] für Strom- oder Gaslieferverträge verpflichtet sich die [Namen des Unternehmens entfernt] zur Online-Kommunikation mit dem Kunden. Dies bedeutet u.a., dass die [Namen des Unternehmens entfernt] die vertragliche Korrespondenz dem Kunden per E-Mail sendet oder in den passwortgeschützten Online-Kundenbereich „Mein [Namen des Unternehmens entfernt]“ einstellt. Mit der Tarifauswahl entscheidet sich der Kunde freiwillig für diese Form der Kommunikation und bestätigt diese über das Einverständnis in die AGB per Opt-In.[…]

Antwort des Datenschutzbeauftragten, Firmen- und Produktnamen entfernt

Der Vollständigkeit halber sei der Passus aus den AGB hier auch aufgeführt:

(1) Wenn Sie sich für Online-Kommunikation entschieden haben, werden Rechnungen und sämtliche sonstigen Mitteilungen zur Durchführung dieses Stromvertrags Ihnen per E-Mail zugesendet oder in Ihrem persönlichen „Mein [Namen des Unternehmens entfernt]“ Bereich als PDF-Dateien zur Verfügung gestellt.
[Namen des Unternehmens entfernt] wird Sie stets über eine neue Einstellung in Ihrem „Mein [Namen des Unternehmens entfernt]“ Bereich per E-Mail informieren. Sie verzichten ausdrücklich auf den postalischen Versand von Rechnungen und sonstigen Mitteilungen durch [Namen des Unternehmens entfernt]. [Namen des Unternehmens entfernt] behält sich das Recht vor, einzelne Mitteilungen, wie z. B. Mahnungen, per Post versenden zu dürfen.
(2) [Namen des Unternehmens entfernt] stellt Ihnen zur Abwicklung des Vertrags einen passwortgeschützten persönlichen Zugang zum geschlossenen „Mein [Namen des Unternehmens entfernt]“ Bereich online zur Verfügung. Hierfür müssen Sie sich mit Ihrer E-Mail Adresse und einem Passwort registrieren. Um die Online-Vertragsabwicklung gewährleisten zu können, sind Sie verpflichtet, die technischen Voraussetzungen, wie insbesondere Zugang zu einem PC mit Internetanschluss und installiertem Browserprogramm und E-Mail-
Adresse, zu schaffen sowie zu unterhalten. Sie sind verpflichtet, [Namen des Unternehmens entfernt] stets eine aktuelle empfangsbereite E-Mail-Adresse anzugeben

relevanter Auszug aus den AGB des Versorgers, Firmen- und Produktnamen entfernt

Bewertung der Antwort des Datenschutzbeauftragten

Die Antwort des Datenschutzbeauftragten und das Verhalten des Unternehmens kranken hier gleich an zwei wichtigen Punkten:

  1. Bedeutet eine Vereinbarung zur elektronischen Kommunikation keine Vereinbarung zur unsicheren elektronischen Kommunikation. Es gibt technische Maßnahmen, auch elektronischen Kommunikation sicher zu machen und diese Maßnahmen sind von Unternehmen als Verantwortlichen zu ergreifen.
  2. Außerdem kann eine „Einwilligung in AGB“, die durch das Setzen eines Hakens stattgefunden hat, niemals eine datenschutzrechtliche Einwilligung i.S.d. Artikels 7 DSGVO sein. Es fehlen Aufklärung des Betroffenen, Hervorhebung der Erklärung etc.

Das Verhalten macht also leider deutlich, dass man sich bei dem Unternehmen entweder zu wenig Gedanken um den Schutz der sensiblen Kundendaten gemacht hat oder sich bewusst gegen den Datenschutz entschieden hat und damit die Rechte seiner Kunden bewusst verletzt oder keine Kompetenz in diesem Bereich besitzt. Ich finde keine dieser Möglichkeiten Vertrauen erweckend.

Dass der Datenschutzbeauftragte des Unternehmens offensichtlich mit dem Unternehmenshandeln übereinstimmt, stimmt mich nicht nur traurig, es lässt mich an der Aufgabenwahrnehmung zweifeln.

Fazit und Lehre

  • Wenn Sie E-Mail als Verantwortlicher als Kommunikationsform nutzen, so nutzen Sie bitte auch die Möglichkeiten, die personenbezogenen Daten zu schützen: Nutzen Sie verschlüsselte Archive. Ein Passwort / Geheimnis können Sie mit Ihren Kunden direkt beim Vertragsschluss vereinbaren oder Sie nutzen ein Geheimnis, das beim Vertragsschluss automatisch angefallen ist und nicht allgemein bekannt ist. Beispiele sind die Bankverbindung des Kunden, ggf. verknüpft mit dem Geburtsdatum etc.
  • Wenn sich Kunden bei Ihnen mit einem Datenschutzverstoß oder auch nur einem Hinweis beschweren, so überlegen Sie bitte, ob die Hinweise evtl. eine Grundlage haben. Denn seien wir ehrlich: Unsere Prozesse sind nicht fehlerfrei und durch Fehler und Hinweise können wir lernen und unsere Prozesse verbessern. Das ist auch Datenschutzmanagement und eine der Verpflichtungen, die uns die DSGVO aufgibt.
  • Und wenn Sie eine Einwilligung als Rechtsgrundlage, als Begründung heranziehen, dann achten Sie darauf, dass diese auch wirklich korrekt angefordert und erteilt worden ist, beachten Sie die Anforderungen des Artikels 7 der DSGVO.


DSGVO: Was bedeutet die Pflicht zur Angabe der Rechtsgrundlagen in den Betroffeneninformationen

Freitag, 1. Februar 2019

Die Artikel 13 und 14 der EU Datenschutz-Grundverordung (DSGVO) legen dem Verantwortlichen komplexe Informationspflichten auf. Insbesondere verlangen sie, dass der Verantwortliche dem Betroffenen „die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung“ mitteilt.

Nun benennt Artikel 6 (1) der DSGVO die Rechtsgrundlagen der Datenverarbeitung eigentlich abschließend. Es handelt sich um die Datenverarbeitung

  • auf Grund einer Einwilligung des Betroffenen (lit. a),
  • zur Vertragserfüllung oder zur konkreten Vertragsanbahnung (lit. b),
  • zur Erfüllung einer gesetzlichen Verpflichtung (lit. c),
  • zum Schutz lebenswichtiger Interessen (lit. d),
  • zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (lit. e) oder
  • zur Wahrung berechtigter Interessen (lit. f).

Generell verlangt die DSGVO ein sehr hohes Maß an Transparenz (z. B. die Information in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“, Artikel 12 DSGVO). Der Betroffene soll, plastisch ausgedrückt, nach der Information durch den Verantwortlichen wissen, worum es geht und warum was mit seinen Daten gemacht wird.

Zu Artikel 6 (1) lit. f der DSGVO legt die Verordnung beispielsweise fest, dass der Betroffene nicht nur informiert werden muss, dass seine Daten auf Grund der Wahrung eines berechtigten Interesses verarbeitet werden. Vielmehr muss das konkrete Interesse beschrieben werden.

In Bezug auf Artikel 6 (1) lit. c weisen viele Muster und daraus folgend viele Informationen nach Artikel 13 bzw. Artikel 14 DSGVO meines Erachtens nach massive Lücken auf, sind daher unvollständig und daher ungenügend. Diese Muster nennen nämlich als Rechtsgrundlage lediglich „Artikel 6 (1) lit. c“. Sie geben also lediglich an, dass die Datenverarbeitung „zur Erfüllung einer rechtlichen Verpflichtung erforderlich“ sei, ohne die konkrete rechtliche Verpflichtung zu benennen.

Bei diesem Vorgehen kann der Betroffene natürlich nicht beurteilen, geschweige denn überprüfen, ob die Datenverarbeitung rechtmäßig ist. Woher soll der Betroffene wissen, welchen rechtlichen Verpflichtungen der Verantwortliche unterliegt?

Unabhängig von den Informationspflichten gegenüber den Betroffenen benötigt der Verantwortliche eine Rechtsgrundlage für die Datenverarbeitung. Er muss also, wenn er sich auf Artikel 6 (1) lit. c beruft, selbst genau wissen, welche rechtliche Verpflichtung ihn trifft.

Auch hieraus folgt, dass der Verantwortliche die genauen gesetzlichen Bestimmungen ermitteln und dann auch aufführen muss, aus der sich die Verpflichtung zur konkreten Datenverarbeitung ergibt.

Für die Personaldatenverarbeitung reicht es also nicht aus, pauschal zu schreiben, man müsse die personenbezogenen Daten wie Name, Vorname, Adresse, Steuernummer, Sozialversicherungsnummer etc. verarbeiten, weil man als Verantwortlicher einer rechtlichen Verpflichtung unterliege. Nein, der Verantwortliche muss die konkreten Bestimmungen des SGB, der AO etc. aufführen.

Leider haben sich die Anbieter von Musterlösungen für die Informationen nach Artikel 13 / 14 DSGVO selten die Mühe gemacht, die genauen Bestimmungen zu ermitteln und aufzuschreiben. Um es offen zu sagen: Außer meinen eigenen Mustern ist mir kein weiteres Muster bekannt, welches die konkreten Angaben enthält.

Falls Sie als ein anderer Anbieter von Musterlösungen für die Informationen nach Artikel 13 / 14 DSGVO diesen Artikel hier lesen sollten und ebenso wie ich den Aufwand der komplexen Recherche betrieben und entsprechende Muster erarbeitet haben, so nehmen Sie doch bitte mir mir Kontakt auf. Sehr gerne würde ich mit Ihnen gemeinsam ein möglichst vollständiges Archiv solcher Musterlösungen aufbauen und ggf. gemeinsam anbieten.

Und wenn Sie, liebe Leserin, lieber Leser eine verantwortliche Stelle vertreten und für sich diese Informationen nach Artikel 13 / Artikel 14 DSGVO erstellen müssen, selbst wissen müssen bzw. wissen wollen, was im Einzelfall die konkreten gesetzlichen Grundlagen sind, so nehmen Sie bitte auch mit mir Kontakt auf und fragen nach meinen Musterlösungen.

Betriebsrat und Datenschutz: Datenverarbeitungsrechte des Betriebsrates

Dienstag, 29. Januar 2019

Der Betriebsrat eines Betriebes hat aus dem BetrVG (Betriebsverfassungsgesetz) weitgehende Rechte in Bezug auf die personenbezogenen Daten der Mitarbeiter eines Betriebes.

Im Licht der DSGVO stellen sich jedoch neue Fragen:

  • Bestehen die Rechte des Betriebsrates auch nach der DSGVO fort oder müssen diese im Hinblick auf die ausdrücklichen Anforderungen der DGSVO z. B. in Bezug auf eine Pseudonymisierung neu bewertet werden?
  • Welche Daten muss und darf ein Unternehmen an den Betriebsrat übermitteln?
  • Wie muss der Betriebsrat intern mit übermittelten Daten vorgehen, um den Anforderungen der DSGVO gerecht zu werden?

In der gutachterlichen Stellungnahme werden diese Fragen analysiert und Handlungsempfehlungen für Unternehmen und Betriebsräte erarbeitet.

Bei Interesse an der gutachterlichen Stellungnahme zu den Fragen der Datenverarbeitungsrechte des Betriebsrates nehmen Sie bitte mir mir Kontakt auf.

EuGH erklärt Safe Harbor für ungültig – und nun?

Donnerstag, 8. Oktober 2015

Nachdem der EuGH das Safe-Harbor-Abkommen zwischen der EU und den USA faktisch als keine zulässige Grundlage für eine Datenübermittlung in die USA sieht, stellt sich für Unternehmen nun die Frage, welche Grundlagen es geben könnte.

Generell gibt es vier weitere Möglichkeiten, die als rechtliche Grundlage für eine Übermittlung dienen könnten:

  1. Eine gesetzliche Ausnahme nach §4c (1) BDSG besteht, wenn der „Betroffene seine Einwilligung gegeben hat“. Inzwischen wird jedoch diskutiert, ob eine solche Einwilligung gültig gegeben werden kann. Eine wirksame Einwilligung setzt voraus, dass der Betroffene sich der Tragweite seiner Einwilligung bewusst ist. Und es ist fraglich, ob der „Durchschnittsbürger“ sich der Auswirkungen der Einwilligung angesichts der umfassenden staatlichen Überwachung, dem Verzicht auf Rechtsschutz und Auskunftsrecht bewusst ist oder bewusst sein kann.
  2. Die zweite Ausnahme erlaubt „die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind“. Ist also eine solche Übertragung für die Vertragserfüllung zwingend erforderlich, so ist diese erlaubt. Ein Beispiel wäre z. B. die Buchung eines Zimmers in einem Hotel in den USA über eine deutsche Buchungsplattform.
  3. Auf die weiteren gesetzlichen Ausnahmen, bei juristischen Auseinandersetzungen, bei öffentlichem Interesse und bei Gefahr für Leib und Leben des Betroffenen gehe ich hier nicht weiter ein.
  4. Ferner ist die Datenübertragung erlaubt, wenn im Vertrag zwischen den Unternehmen die EU-Standardvertragsklauseln wörtlich verwendet wurden. Jedoch wurden auch diese Klauseln von der Europäischen Kommission erstellt – und genau hier liegt ja der Kritikpunkt des EuGH. Es könnte also durchaus sein, der der EuGH auch die EU-Standardvertragsklauseln als pauschale Erlaubnis für eine Datenübermittlung als nicht ausreichend betrachtet.
  5. Die letzte Ausnahme betrifft den Fall der konzerninternen Datenübermittlung. Wenn es sogenannte „Binding Corporate Rules“, also verbindliche Konzernregeln gibt, die sicherstellen, dass das europäische Datenschutznivau eingehalten wird, ist eine Übermittlung erlaubt. Aber eben angesichts der juristischen Situation in den USA mit den entsprechenden Verpflichtungen für US-Unternehmen, mit den dortigen Behörden zusammen zu arbeiten und angesichts der behördlichen Überwachungsmaßnahmen stellt sich auch hier die Frage, ob es solche Regeln aktuell geben kann.

Fazit

Der meines Erachtens nach einzig zulässige Weg, personenbezogene Daten in die USA zu übermitteln, führt, wenn nicht eine der oben aufgeführten gesetzlichen Ausnahmen nach Punkt 2 oder Punkt 3 gegeben ist, über die Einwilligung des Betroffenen unter umfassender Aufklärung des Betroffenen, eine Aufklärung, die angesichts der Komplexität der Materie kaum geleistet werden kann. Doch wie sollen Unternehmen nun agieren? Sollen sie schlagartig alle Verträgen mit US-Unternehmen fristlos kündigen? Oder sollen sie weiter machen wie bisher? Die konkreten Handlungsempfehlungen folgen in einem weiteren Artikel.

Datenschutz in der Arztpraxis

Mittwoch, 20. November 2013

Vom 20. November bis zum 23. November 2013 findet in Düsseldorf wieder die Medica statt. Dies ist für mich der Anlass, für niedergelassene Ärztinnen und Ärzte ein besonderes Paket zum Thema Datenschutz in der ärztlichen Praxis zu schnüren. Informationen zu diesem Paket finden Sie auf meiner Webseite unter http://ing-buero-ludwig.de/arztpraxis/

Das Verfahrensverzeichnis nach §4e / §4g BDSG

Sonntag, 13. Mai 2012

Immer wieder erreichen mich Fragen zum Verfahrensverzeichnis: Wie muss es aussehen? Wie umfangreich muss das „externe Verfahrensverzeichnis“ sein? …

Und mit gewissem Erstaunen beobachte ich, wie einige Unternehmen versuchen, mit reinen Marketingverzeichnissen, deren Informationsgehalt das Papier bzw. die Pixel nicht wert sind, auf denen sie erscheinen, sich um ihre Verpflichtungen nach dem BDSG herzumzudrücken. Ich denke, hier kann vielfach Vorsatz vermutet werden und jeder Kunde mag selbst entscheiden, wie viel Vertrauen er solchen Unternehmen entgegen bringt.

Auf einer kleinen Unterseite zum Thema Verfahrensverzeichnis habe ich einmal einige wichtige Punkte zum Verfahrensverzeichnis nach §4e (Anforderungen an das Verfahrensverzeichnis) und §4g (Hinweis auf das „Jedermannverzeichnis“) zusammengestellt.

E-Mail-Kommunikation in Zeiten von Viren und Spam: Die Sichtweise des Datenschutzes – Teil 1

Montag, 1. August 2011

Datenschutzbeauftragte werden auch mit Fragen zur Verletzung des Post- und Fernmeldegeheimnisses nach §206 StGB konfrontiert, insbesondere mit Abs. 1 Nr. 2:

Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt … eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt..

Ein einer kleinen Artikelserie soll hierzu Stellung bezogen werden. Nach diesem kleinen Artikel hier als Übersicht werden in einem zweiten  Teil technischen Grundlagen der E-Mail-Kommunikation beleuchtet. In einem dritten Teil werden dann Hinweise zum Umgang mit Malware – Spam und Virenmails – gegeben. In den dann folgenden Teilen werden praktische Szenarien aus dem Alltag beleuchtet, z. B.

  • Wie soll mit neuen E-Mails umgegangen werden, wenn ein Mitarbeiter das Unternehmen verlassen hat?
  • Wie soll mit virenverseuchten E-Mails umgegangen werden?
  • Wie soll mit Spams und Newslettern umgegangen werden?

Natürlich stehe ich Ihnen bei Fragen zu den einzelnen Themen gerne zur Verfügung: Sprechen Sie mich an!

Wem vertrauen Sie? S/MIME-Zertifikate in der Praxis

Dienstag, 26. Juli 2011

Erfreulicherweise nimmt der Einsatz von E-Mail-Verschlüsselung und E-Mail-Signierung zu. Es gibt keinen anderen Weg, die Vertraulichkeit von E-Mails zu gewährleisten. An dieser Stelle möchte ich nicht auf die prinzipiellen Möglichkeiten oder die unterschiedlichen Verfahren eingehen, sondern ausschließlich auf Risiken beim S/MIME-Verfahren hinweisen. S/MIME ist nicht prinzipiell schlecht; man darf diese Technik jedoch, wie jede Technik, nicht blind einsetzten, sondern muss sich auch als Benutzer und somit evtl. Laie der Schwächen des Prinzips bewußt sein.

Das Prinzip von S/MIME

Das S/MIME-Verfahren zur Verschlüsselung und Signierung von E-Mails ist in allen aktuellen Mailprogrammen vorhanden. Das Verfahren beruht auf einer Vertrauenshierarchie: Einige zentrale Instanzen, normale Firmen, gelten „per Definition“ als vertrauenswürdig. Dies sind die sogenannten CAs (Certificate Authorities). Diese vertrauen nun anderen Firmen, den Unter-CAs und diese ggf. wiederum Unter-Unter-CAs. Und irgendeine dieser Unter-Unter-CAs bestätigt in einem Zertifikat, dass Sie „Sie“ sind oder Ihr E-Mail-Partner derjenige ist, der er vorgibt, zu sein. Sie vertrauen nun der CA und damit automatisch allen Unter-CAs, Unter-Unter-CAs, etc. sowie allen Zertifikaten, die diese ausgestellt haben. Sie wissen genau, wie die Unter-Unter-CAs Ihre E-Mail-Partner geprüft haben? Sie kennen die internen Maßnahmen aller  (Unter-)CAs genau und sind sich sicher, dass keine „falschen“ Zertifikate ausgestellt werden? OK, damit haben Sie schon die große Schwäche dieses Verfahrens entdeckt. Sie können einem solchen Zertifikat nicht blind vertrauen. Hinzu kommt noch, dass es in den letzten Monate mehrfach „elektronische“ Einbrüche bei CAs und Unter-CAs gegeben hat und es so einen unbefugten Zugriff auf die Zertifizierungsinfrastrukturen gab.

In dem meisten E-Mail-Programmen sind die Zertifikate der CAs jedoch als „vertrauenswürdig“ eingetragen, es wird also eine trügerische Vertrauenswürdigkeit vorgetäuscht: Von E-Mails mit von diesen CAs „unterschriebenen“ Zertifikaten werden mit  einem „Siegel“-Symbol versehen. Sie wissen nun, dass Sie diesem Symbol nicht unüberprüft trauen können.

Es gibt noch einen weiteren Grund für das Misstrauen. Nahezu jede (Unter-)CA bietet verschiedene Qualitäten an: Das eine Zertifikat bestätigt nur, dass die angebliche  Absender-E-Mail-Adresse richtig ist, das andere Zertifikat, dass die E-Mail von der Person verschickt wurde, die im Namen des Zertifikates steht. An den Symbolen im E-Mailprogramm können Sie das nicht unterscheiden. Vielmehr müssen Sie sich die Details der Zertifikate ansehen und überprüfen, wass die CA dort reingeschrieben hat. Ein Text wie „Persona Not Validated“ sagt relativ eindeutig aus, dass die Person eben nicht überprüft wurde. Ein Text wie „Digital ID Class 1“ hat die selbe Bedeutung, ist aber erheblich weniger eindeutig. Und der Aufwand, an ein solches, faktisch nicht viel aussagendes Zertifikat zu kommen, entspricht 5 Minuten: Man braucht nur temporären Zugang zum E-Mail-Server und bekommt das Zertifikat zugeschickt.

Ihre Folgerungen

Die Folgerungen sind einfach:

  1. Vertrauen Sie keinen CAs und von diesen unterschriebenen Zertifikaten, die Sie nicht kennen. Am besten entfernen Sie die CAs aus der Liste vertrauenswürdiger CAs in Ihrem E-Mailprogramm. Dann können Sie gezielt die CAs aufnehmen, denen Sie vertrauen (z. B. Ihrem Arbeitgeber, wenn  dieser eine eigene PKI (Public-Key-Infrastruktur) betreibt und die Personen korrekt überprüft).
  2. Überprüfen Sie die Zertifikate, die an den E-Mails dranhängen. Bei jedem Zertifikat gibt es einen „elektronischen Fingerabdruck“, eine große Zahl. Gleichen Sie diese (einmalig) telefonisch mit Ihrem Partner ab, dann wissen Sie, dass E-Mails, die mit diesem Zertifikat signiert sind, „echt“ sind.
  3. Haben Sie die nicht-vertrauenswürdigen Zertifikate aus Ihrem E-Mailprogramm entfernt (siehe 1.), dann können Sie die telefonisch überprüften Zertifikate aus 2. Ihrem E-Mail-Programm hinzufügen: In Zukunft wird Ihr E-Mailprogramm nur bei genau diesen Absendern das „Siegel“ anzeigen – und Sie müssen den Fingerabruck in Zukunft nicht mehr manuell prüfen.
  4. Das gleiche gillt für die Verschlüssellung in umgekehrter Richtung: Schließlich sollen Ihre Mails ja für den Empfänger passend verschlüsselt sein und nicht für einen dubiosen E-Mail-Partner.

Wenn Sie Fragen haben oder Verschlüsselung bei sich oder Ihrem Unternehmen einführen wollen: Sprechen Sie mich an.

 

Demnächst Pflicht für den Datenschutz? Sturmhaube oder Niqab

Freitag, 8. Juli 2011

Es klingt absurd, aber müssen wir demnächst, wenn wir uns in der Öffentlichkeit oder in Geschäften bewegen mit einer Sturmhaube oder dem Niqab, dem islamischen Gesichtsschleier, schützen, wenn wir verhindern wollen, dass selbst unser kleinteiliges Bewegungsverhalten komplett überwacht wird? Was wie ein Schreckensszenario klingt, ist technisch näher, als wir annehmen.

Gesichtserkennung und -auswertung als Technologie

Die Technologie der Gesichtserkennung in Videosequenzen oder auf Fotos ist inzwischen soweit, dass Personen schnell und weitgehend eindeutig erkannt werden. Die Technologie, einem Menschen auf einem Videos zu folgen, ist seit Jahren einsatzbereit. Kombinieren wir in Gedanken beide Techniken und malen uns das zwangsläufig entstehende Gesamtbild aus: Sie betreten das Kaufhaus Ihrer Wahl und werden von den dort schon seit Jahren vorhandenen Kameras aufgenommen. Nun jedoch wird Ihr Gesicht analysiert und Ihnen eindeutig zugeordnet. Ihre Bewegungen werden verfolgt, es wird festgehalten, vor welchen Regalen Sie stehenbleiben, welche Produkte Sie sich ansehen etc. Wenn Sie das Geschäft das nächste Mal besuchen, werden Sie erneut erkannt und Ihr Profil wird entsprechend ergänzt. Der clevere Kaufmann lässt seine Software im Internet recherchieren und findet zu dem Gesicht auch gleich Ihren Namen – oder er wartet, bis Sie mit Ihrer Kredit- oder Bankkarte bezahlen und hat auf diese Weise Ihren Namen. Doch auch ohne Sie mit Namen ansprechen zu können: Sie sind eindeutig identifiziert und verfolgt. Unser gedachter Kaufmann hat sich mit seinen Kollegen zusammengetan und tauscht die Gesichtsdaten und Ihr Verhaltensprofil in seinem Geschäft mit seinen Kollegen aus – und schon gibt es das umfassende Profil: Gegebenenfalls ohne Namen – doch lange nicht mehr anonym.

Rechtliche Zulässigkeit

Ein solches Szenario ist nicht nur in Geschäften denkbar. Auch im öffentlichen Raum gibt es ja inzwischen unzählige Überwachungskameras. Alles in allem ein realistischens Horrorszenario für unsere informationelle Selbstbestimmung. Schützen uns die bestehenden Gesetze hiervor? Eine klare und eindeutige Antwort ist hier nicht gegeben. Sicherlich nicht greift hier das „Recht am eigenen Bild“. Dieser Begriff zielt nur auf die Verbreitung oder öffentliche Zur-Schaustellung eines Bildes ab, die ja hier gerade nicht stattfindet. Schließlich werden nur die charakteristischen Kenndaten des Bildes gespeichert und verarbeitet. Das Bundesdatenschutzgesetz (BDSG) definiert in §3 Abs 1 „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ als personenbezogene Daten, die es entsprechend schützt. Ein Gesichtsfoto fällt sicherlich hierunter – aber wie sieht es mit charakteristischen gesichtsbeschreibenden Daten aus? Auch diese sind meiner Ansicht nach als personenbezogene Daten zu verstehen, denn diese Daten lassen sich eben einer „bestimmbaren natürlichen Person“ zuordnen, bestimmbar ist die Person eben durch ein Foto. Und wie sieht es mit den Bewegungsprofilen aus? Auch diese müssen als personenbezogene Daten betrachtet werden, denn auch diese sind ja, über die charakteristischen Bilddaten und ein Foto, einer bestimmten Person zuzuordnen. Im Rahmen des Grundrechtes eines jeden Menschen auf seine informationelle Selbstbestimmung darf und kann es nicht sein, dass die beschriebenen Informationen ohne Zustimmung des Betroffenen erfasst und verarbeitet werden.

Freiwillige Zustimmung

Viele Bürger haben in den letzten Jahren vor der allgemeinen Datensammelwut resigniert. Payback- und sonstige „Kundenkarten“ sind hierfür ein trauriges Beispiel. Umso mehr ist hier der Staat gefordert, seine Bürger zu schützen. An eine freiwillige Zustimmung zu einer solchen Datenerfassung müssen daher hohe Ansprüche gestellt werden. Keinesfalls darf es ausreichen, durch einen kleinen Hinweis an einer Geschäftstür darauf hinzuweisen, dass man sich durch das Betreten des Geschäftes mit der Beobachtung einverstanden erklärt. Und dementsprechend darf es keinen implizieten Zwang geben, eine Zustimmung zu erteilen, nach dem Motto: „Wenn Sie mit der Beobachtung nicht einverstanden sind, lassen wir Sie nicht ins Geschäft und verkaufen Ihnen nichts.“ Aber vielleicht kommt dem Bürger dann ja die Religionsfreiheit und das Diskriminierunsverbot zu Hilfe: Tragen wir den Gesichtsschleier als Vollschleier, als Niqab, und behaupten, wir täten dies aus religösen Gründen.

Regierungspfusch: Die Änderung des Geldwäschegesetzes

Mittwoch, 29. Juni 2011

Ich denke, Sie und ich sind uns darüber einig, dass Geldwäsche zu unterbinden ist. Was jedoch im „Entwurf eines Gesetzes zur Optimierung der Geldwäscheprävention“ zu lesen ist, zeigt handwerkliche Unzulänglichkeiten auf, die schon auf den ersten Blick haarsträubend sind. Auch wenn der Text extrem schwer zu lesen ist – typischerweise sind die Worte angegeben, die den bestehenden Gesetzestext ändern und die der Leser dann manuell im bestehenden Text ersetzen „darf“ – so fallen doch recht schnell in der Begründung interessante Unzulänglichkeiten auf:

Geldwäschebeauftragter

Sie sind Unternehmer und handeln gewerblich mit Gütern? Das ist an sich ja noch nicht verwerflich. Doch als solcher sind Sie ein „Verpflichteter“ im Sinne des GwG, des Geldwäschegesetzes oder, korrekt bezeichnet, des „Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten“. Nach dem Entwurf der Bundesregierung müssen Sie in Zukunft einen „Geldwäschebeauftragten“ bestellen – zumindest dann, wenn Sie mehr als neun Personen beschäftigen. „Dem Geldwäschebeauftragten ist ungehinderter Zugang zu sämtlichen Informationen, Daten, Aufzeichnungen und Systemen zu verschaffen, die im Rahmen der Erfüllung seiner Aufgaben von Bedeutung sein können.“ Auf den Cent genau wurden im Gesetzentwurf die Kosten für die Wirtschaft abgeschätzt. Für die Mitteilung der Bestellung und Entpflichtung an eine Behörde wurden bundesweit 143.366,67 € kalkuliert! Dividiert man diesen Betrag durch die vermutliche Anzahl von Unternehmen mit mehr als 9 Mitarbeitern, die gewerblich mit Gütern handeln, so muss eine solche Meldung sehr schnell abgewickelt werden. Kosten für die Bestellung selbst, ein evtl. Gespräch zwischen Geschäftleitung und zukünftigem Geldwäschebeauftragten, evtl. Informationskosten etc. wurde von der Bundesregierung offensichtlich vergessen… Wie schreibt die Regierung „Die zusätzlichen Kosten für die Wirtschaft (Personalkosten, Materialkosten) werden sich auf nicht mehr als 1 000 000 € belaufen, weil die zukünftig neu bestellten Geldwäschebeauftragten in der Regel bereits mit anderen Funktionen eines Betriebsbeauftragten („Compliance Officers“) betraut sind und diese neue Funktion mit dem insoweit bereits vorhandenen Personalbestand wahrgenommen werden kann.“ Offensichtlich haben die befassten Mitarbeiter in Unternehmen soviel Langeweile und dabei soviel Wissen, dass die neue Aufgabe ohne Zusatzaufwand erledigt werden kann.

Als Datenschutzbeauftragter verwundert mich das. Schließlich geht es hierbei letztendlich um die Übermittlung von personengebundenen Daten auf Grund einer gesetzlichen Vorschrift. Der Geldwäschebeauftragte ist also auch im Bereich des Datenschutzes entsprechend zu schulen und in den EDV-Systemen sind entsprechende Zugriffsmöglichkeiten für den Geldwäschebeauftragten vorzusehen, zumindest sind aber entsprechende Verfahrensanweisungen sowie Dokumentationsrichtlinien zu erlassen. Aufwand, den die Bundesregierung ignoriert.

E-Geld

Noch ein weiterer Punkt stößt beim ersten Lesen des Gesetzentwurfes auf: Die Einführung der Unmöglichkeit, im Internet anonym einkaufen zu können. Schon bisher sind Handlungen, die im „normalen Leben“ problemlos anonym möglich sind (Kauf der Hose, der Zeitschrift etc.) im Internet nur schwer anonym anzuwickeln. Schließlich müssen die Waren den Käufer ja irgendwie erreichen. Aber zumindest für Dinge, die auch über das Internet genutzt werden, also Downloads, Spiele etc., ist eine anonyme Nutzung möglich, wenn der Anbieter sein Geld anonym erhält. Um diese zu verwirklichen, wurde E-Geld entwickelt. Heute können Sie an Automaten und Kiosks Wertgutscheine erwerben, mit denen Sie digitale Güter nutzen können. Damit ist es, nach dem Willen der Bundesregierung, in Zukunft vorbei. Solche Verkafsstellen müssen in Zukunft – ohne Mindestgrenze – die Personalien der „Geldtauscher“ (Bargeld zu E-Geld) aufzeichnen, denn sie sind dann „E-Geld-Agenten nach § 1a Absatz 6 des Zahlungsdiensteaufsichtsgesetzes“. Man fragt sich schon, wer sich diese Regeln ausgedacht hat.