Archiv für die Kategorie: ‘Meinung’

Aua: Klingelschilder und DSGVO

Donnerstag, 18. Oktober 2018

Laut einem Artikel auf bild.de [Ergänzung vom 19.10.2018: Im Laufe des Tages berichteten auch andere Medien darüber.] von heute möchte der Immobilien-Eigentümerverband „Haus & Grund“ seinen 900 000 Mitgliedern empfehlen, die Namensschilder bei vermieteten Wohnungen abzuschrauben und durch Nummern zu ersetzen.

Beim Lesen dieses Artikels habe ich doch sehr große Augen bekommen. Natürlich veröffentlicht der Vermieter einer Mitwohnung den Namen des Mieters, wenn er diesen am Klingelschild anbringt. Und natürlich muss es für eine solche Handlung eine Rechtsgrundlage geben, möglich sind Artikel 6 (1) lit. a der DSGVO, die individuelle Einwilligung des bzw. der Betroffenen, eine vertragliche Verpflichtung zur Veröffentlichung, die der Mieter dem Vermieter aufgegeben hat (Artikel 6 (1) lit. b der DSGVO) oder auch Artikel 6 (1) lit. b der DSGVO, z. B. das berechtigte Interesse des Besuchers, einen Mieter schnell zu finden, das berechtigte Interesse des Vermieters, die Wohnanlage persönlich zu präsentieren etc..

Es wird eine Verfahrensbeschreibung für das Verfahren benötigt, ggf. eine dokumentierte Interessensabwägung und die Information der Betroffenen nach Artikel 13 der DSGVO. Ggf. müssen, wenn einzelne Mieter gegen ihr Namensschild sind, diese Namensschilder entfernt werden. Aber das vorsorgliche Abschrauben aller Namensschilder ist doch sehr übertrieben.

Wenn Sie, lieber Vermieter, Informationen brauchen, z. B. Musterinformationen für das Namensschild, eine Mustereinwilligungserklärung, eine allgemeine Interessensabwägung im Falle der Namensschilder, so wenden Sie sich bitte an mich.

[Ergänzung vom 19.10.2018: Inzwischen gibt es Stellungnahmen mehrerer Landesdatenschutzbeauftragten, die eine Empfehlung, Namensschilder an Klingeln abzuschrauben, ebenfalls für nicht sinnvoll erachten.]

Ergänzung vom 19.10.2018:

Ist die DSGVO für Klingelschilder anwendbar?

Jetzt wird es akademisch mit der Frage, ob die DSGVO für Klingelschilder überhaupt anwendbar ist. Auf heise.de wird die Bundesdatenschutzbeauftragte Andrea Voßhoff zitiert „Das Ausstatten der Klingelschilder mit Namen für sich genommen stellt weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar”. Dort wird dann gefolgert, Klingelschilder würden also gar nicht von der DSGVO erfasst. Frau Voßhoff wird wieder zitiert, der Mieter hätte nur „in besonderen Fällen ein Widerspruchsrecht“.

Artikel 2 (1) der DSGVO legt fest „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Betrachten wir den Fall der nichtautomatisierten Namensverarbeitung bei den Klingelschildern, so stellt sich die Frage der tatsächlichen Speicherung in einem Dateisystem. Wie ist also die physische Tabelle der Namen neben den Klingeln an der Haustür zu sehen? Ist ein „Dateisystem“ ausschließlich ein „Dateisystem in einem Computer“? Dann würden aber auch Karteikartensammlungen nicht unter die DSGVO fallen und wir hätten den Fall, dass die Verordnung technikabhängig wäre und dies ist nach Erwägungsgrund 15 ausdrücklich nicht gewünscht („Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.“). Schließlich stellte sich dann die Frage, warum, also auf welcher Rechtsgrundlage, der Mieter „in besonderen Fällen ein Widerspruchsrecht“ haben sollte.

Artikel 4 Nr. 6 definiert ein Dateisystem als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. Der Begriff umfasst dabei auch Akten und Aktensammlungen, allerdings nur (Erwägungsgrund 15) für solche Akten oder Aktensammlungen sowie ihre Deckblätter, die nach bestimmten Kriterien geordnet sind. Fehlt es daran, soll eine Akte nicht in den Anwendungsbereich der DS-GVO fallen (Erwägungsgrund 15). Namen auf Klingelschildern in Wohnblöcken sind normalerweise nach Kriterien geordnet (z. B. alle Wohnungen einer Etage nebeneinander etc.), mindestens dadurch, dass sie einem Haus zugeordnet sind. Es ist daher nicht erkennbar, warum Klingelschilder per se nicht unter die DSGVO fallen sollen.

IfG Institut für Grundschutz: Wie einzelne schwarze Schafe auf Kundenfang gehen und den Ruf der externen, betrieblichen Datenschutzbeauftragten schädigen

Freitag, 5. Oktober 2012

Harte Worte für eine Überschrift, aber anders kann man meines Erachtens nach die nachfolgend beschriebene Methode nicht beschreiben. Ein D. O. aus Düsseldorf – oder vielleicht aus Duisburg (laut dem Eintrag seiner Domäne) – schreibt zur Zeit in größerer Zahl Arztpraxen an. Dieses Schreiben versucht, einen offiziellen, quasi behördlichen Eindruck zu machen, droht mit Bußgeldern und fragt ab, wer der betriebliche Datenschutzbeauftragte ist bzw. ermöglicht gleich die Bestellung eines betrieblichen Datenschutzbeauftragten des „Instituts für Grundschutz“. In einigen Ärzteforen im Netz wird von Ärzten schon überlegt, Anzeige wg. Betruges zu stellen.

Ich warne vor einer Beauftragung dieses „Institut für Grundschutz“. Einerseits sind Methoden eines solchen Schreibens offensichtlich unseriös. Solche Methoden sind bekannt aus Bereichen der Abzocke mit vermeintlichen Aufforderungen zu Addressbucheintragen, Messekatalogen etc.

Ein Arzt, als Leiter einer verantwortlichen Stelle einen betrieblichen Datenschutzbeauftragten bestellen muss – wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden – kann nur eine Person zum betrieblichen Datenschutzbeauftragten bestellen, die die notwendige Fachkunde und Zuverlässigkeit besitzt. Ob die Zuverlässigkeit bei einem Absender solcher Werbemaßnahmen gegeben ist, mag jeder selbst beurteilen.

Auch an der Fachkunde des Herrn D. O., eingetragener Kaufmann, drängen sich dem Fachmann Zweifel auf: Auf seiner Webseite, die sich zur Zeit in einem „Wartungsmodus“ befindet und nicht erreichbar ist, veröffentlichte er (Zugegriffen über den Google-Cache), ein „Verfahrensverzeichns gemäß § 4e BDSG (öffentliches Verfahrensverzeichnis)“, welches den Anforderungen des Bundesdatenschutzgesetzes in keiner Weise genügt. Auch dass das von Herrn O. und seinem „Institut für Grundschutz“ genutzte Bestellungsformular die Bestellung eben des „Instituts“ und keiner Person vorsieht ist nicht haltbar. Fachkunde und Zuverlässigkeit können nur Menschen besitzen, die Bestellung eines betrieblichen Datenschutzbeauftragten ist daher immer an eine natürliche Person gebunden.

Da Herr O. dem Anschein nach eine TÜV-Prüfung im Bereich Datenschutz abgelegt hat, sollte der TÜV die eigenen Kriterien für das Bestehen seiner Prüfungen oder das Aberkennen seiner Zertifikate einmal überdenken. Leider ist Herr O. damit auch ein Beispiel dafür, dass „Zertifikate“ im Bereich des Datenschutzes mit Vorsicht zu genießen sind und „verantwortliche Stellen“ die Fachkompetenz und Zuverlässigkeit ihres betrieblichen Datenschutzbeauftragten konkret selbst prüfen müssen.

Falls Sie, liebe Leserin, lieber Leser, Opfer der Werbemethode des „Instituts für Grundschutz“ geworden sind und Herrn O. beauftragt haben: Melden Sie sich bitte bei mir. Ich werde Sie gerne bei der Auflösung oder Anfechtung des Vertrages unterstützen.

Mehr zu den Themen:

Ergänzung zum Artikel: „Hoffen, dass es keiner merkt…“

Samstag, 27. August 2011

Wie in einem Update auf Heise-Online zu lesen war, äußerte sich ein CDU-Sprecher im Gespräch mit heise online: „Der Hackerangriff 2009 sei zwar registriert worden, zum damaligen Zeitpunkt konnte aber kein Datenverlust festgestellt werden.“

Leider macht diese Aussage die im Blogeintrag „Hoffen, dass es keiner merkt: Datenpanne bei der CDU“ geschilderte Situation in keiner Weise besser: Hackerangriffe können, wenn die passende Infrastruktur installiert ist, relativ einfach bemerkt werden. So treten z. B. Login-Versuche von unzulässigen IP-Adressen auf etc., Aktionen, die häufig auch von Kontrollsystemen außerhalb des angegriffenen Systems bemerkt werden können. Da Daten jedoch bei einem „Datendiebstahl“ nicht abhanden kommen, sondern überlicherweise kopiert werden, ist ein konkreter „Diebstahl“ erheblich schwerer festzustellen. Spuren des Kopierens finden sich häufig nur auf dem befallenen System selbst und sind dort durch Manipulation von Log-Datien und History-Dateien etc. durch den Angreifer verwischbar. Insofern wird man bei vielen Hackerangriffen zwar feststellen, dass diese stattgefunden haben, jedoch die genauen Tätigkeiten des Angreifers nicht nachvollziehen, sondern lediglich vermuten können.

Vor diesem Hintergrund, sehe ich eine Aussage, man habe den Angriff zwar registriert, aber keinen Datenverlust festgestellt, für leichtsinnig.

Hoffen, dass es keiner merkt: Datenpanne bei der CDU

Freitag, 26. August 2011

Leider kann man den Umgang der CDU mit der berichteten Datenpanne nur so beschreiben. Zwei Jahre nach einer Datenpanne wurden heute die betroffenen Mitglieder darüber informiert, dass Ihre Daten – Nachname, eine interne Nummer und die E-Mail-Adresse – beim IT-Dienstleister der CDU, der Union Betriebs-GmbH entwendet wurden. Aber die Information erfolgte nicht nur erst zwei Jahre nach der Entwendung, sondern auch 14 Tage nach der Veröffentlichung der Daten im Internet.

Die Begründung für die 2-Jahres-Verspätung:

„Durch die Logfiles hatten wir Anhaltspunkte für einen Hackerangriff, wir waren uns aber nicht ganz sicher.“

Natürlich ist es peinlich, wenn der eigene Server offensichtlich gehackt wurde. Aber die „Kopf-in-den-Sand-Methode“ und das Versuchen des Todschweigens ist nicht der richtige Umgang mit Datenpannen.

Die Daten sind in der Kombination auf Grund der Datenquelle und der damit verbundenen Zusatzeigenschaft „CDU-Mitglied“ sicherlich als personenbezogene Daten besonderer Art i.S.d. BDSG anzusehen. Somit wäre zu überprüfen, ob ein Verstoß gegen §42a BDSG (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten) vorliegt. Wobei in der von der CDU verschickten E-Mail  steht: „Heute müssen wir Sie darüber informieren, dass im August 2009 ein Hackerangriff auf unseren Web-Server stattgefunden hat.“ Und der erwähnte §42a BDSG ist erst zum 1.9.2009 in Kraft getreten. Und am 27.10.2009 war Bundestagswahl – die Veröffentlichung der Datenpanne wäre sicherlich besonders unangenehm gewesen. Der Leser wundert sich und würde sicherlich gerne einen Blick in die erwähnte Log-Dateien werfen.

Ist dieses Vorgehen sinnvoll? Und ist es ethisch?

Demnächst Pflicht für den Datenschutz? Sturmhaube oder Niqab

Freitag, 8. Juli 2011

Es klingt absurd, aber müssen wir demnächst, wenn wir uns in der Öffentlichkeit oder in Geschäften bewegen mit einer Sturmhaube oder dem Niqab, dem islamischen Gesichtsschleier, schützen, wenn wir verhindern wollen, dass selbst unser kleinteiliges Bewegungsverhalten komplett überwacht wird? Was wie ein Schreckensszenario klingt, ist technisch näher, als wir annehmen.

Gesichtserkennung und -auswertung als Technologie

Die Technologie der Gesichtserkennung in Videosequenzen oder auf Fotos ist inzwischen soweit, dass Personen schnell und weitgehend eindeutig erkannt werden. Die Technologie, einem Menschen auf einem Videos zu folgen, ist seit Jahren einsatzbereit. Kombinieren wir in Gedanken beide Techniken und malen uns das zwangsläufig entstehende Gesamtbild aus: Sie betreten das Kaufhaus Ihrer Wahl und werden von den dort schon seit Jahren vorhandenen Kameras aufgenommen. Nun jedoch wird Ihr Gesicht analysiert und Ihnen eindeutig zugeordnet. Ihre Bewegungen werden verfolgt, es wird festgehalten, vor welchen Regalen Sie stehenbleiben, welche Produkte Sie sich ansehen etc. Wenn Sie das Geschäft das nächste Mal besuchen, werden Sie erneut erkannt und Ihr Profil wird entsprechend ergänzt. Der clevere Kaufmann lässt seine Software im Internet recherchieren und findet zu dem Gesicht auch gleich Ihren Namen – oder er wartet, bis Sie mit Ihrer Kredit- oder Bankkarte bezahlen und hat auf diese Weise Ihren Namen. Doch auch ohne Sie mit Namen ansprechen zu können: Sie sind eindeutig identifiziert und verfolgt. Unser gedachter Kaufmann hat sich mit seinen Kollegen zusammengetan und tauscht die Gesichtsdaten und Ihr Verhaltensprofil in seinem Geschäft mit seinen Kollegen aus – und schon gibt es das umfassende Profil: Gegebenenfalls ohne Namen – doch lange nicht mehr anonym.

Rechtliche Zulässigkeit

Ein solches Szenario ist nicht nur in Geschäften denkbar. Auch im öffentlichen Raum gibt es ja inzwischen unzählige Überwachungskameras. Alles in allem ein realistischens Horrorszenario für unsere informationelle Selbstbestimmung. Schützen uns die bestehenden Gesetze hiervor? Eine klare und eindeutige Antwort ist hier nicht gegeben. Sicherlich nicht greift hier das „Recht am eigenen Bild“. Dieser Begriff zielt nur auf die Verbreitung oder öffentliche Zur-Schaustellung eines Bildes ab, die ja hier gerade nicht stattfindet. Schließlich werden nur die charakteristischen Kenndaten des Bildes gespeichert und verarbeitet. Das Bundesdatenschutzgesetz (BDSG) definiert in §3 Abs 1 „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ als personenbezogene Daten, die es entsprechend schützt. Ein Gesichtsfoto fällt sicherlich hierunter – aber wie sieht es mit charakteristischen gesichtsbeschreibenden Daten aus? Auch diese sind meiner Ansicht nach als personenbezogene Daten zu verstehen, denn diese Daten lassen sich eben einer „bestimmbaren natürlichen Person“ zuordnen, bestimmbar ist die Person eben durch ein Foto. Und wie sieht es mit den Bewegungsprofilen aus? Auch diese müssen als personenbezogene Daten betrachtet werden, denn auch diese sind ja, über die charakteristischen Bilddaten und ein Foto, einer bestimmten Person zuzuordnen. Im Rahmen des Grundrechtes eines jeden Menschen auf seine informationelle Selbstbestimmung darf und kann es nicht sein, dass die beschriebenen Informationen ohne Zustimmung des Betroffenen erfasst und verarbeitet werden.

Freiwillige Zustimmung

Viele Bürger haben in den letzten Jahren vor der allgemeinen Datensammelwut resigniert. Payback- und sonstige „Kundenkarten“ sind hierfür ein trauriges Beispiel. Umso mehr ist hier der Staat gefordert, seine Bürger zu schützen. An eine freiwillige Zustimmung zu einer solchen Datenerfassung müssen daher hohe Ansprüche gestellt werden. Keinesfalls darf es ausreichen, durch einen kleinen Hinweis an einer Geschäftstür darauf hinzuweisen, dass man sich durch das Betreten des Geschäftes mit der Beobachtung einverstanden erklärt. Und dementsprechend darf es keinen implizieten Zwang geben, eine Zustimmung zu erteilen, nach dem Motto: „Wenn Sie mit der Beobachtung nicht einverstanden sind, lassen wir Sie nicht ins Geschäft und verkaufen Ihnen nichts.“ Aber vielleicht kommt dem Bürger dann ja die Religionsfreiheit und das Diskriminierunsverbot zu Hilfe: Tragen wir den Gesichtsschleier als Vollschleier, als Niqab, und behaupten, wir täten dies aus religösen Gründen.

Regierungspfusch: Die Änderung des Geldwäschegesetzes

Mittwoch, 29. Juni 2011

Ich denke, Sie und ich sind uns darüber einig, dass Geldwäsche zu unterbinden ist. Was jedoch im „Entwurf eines Gesetzes zur Optimierung der Geldwäscheprävention“ zu lesen ist, zeigt handwerkliche Unzulänglichkeiten auf, die schon auf den ersten Blick haarsträubend sind. Auch wenn der Text extrem schwer zu lesen ist – typischerweise sind die Worte angegeben, die den bestehenden Gesetzestext ändern und die der Leser dann manuell im bestehenden Text ersetzen „darf“ – so fallen doch recht schnell in der Begründung interessante Unzulänglichkeiten auf:

Geldwäschebeauftragter

Sie sind Unternehmer und handeln gewerblich mit Gütern? Das ist an sich ja noch nicht verwerflich. Doch als solcher sind Sie ein „Verpflichteter“ im Sinne des GwG, des Geldwäschegesetzes oder, korrekt bezeichnet, des „Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten“. Nach dem Entwurf der Bundesregierung müssen Sie in Zukunft einen „Geldwäschebeauftragten“ bestellen – zumindest dann, wenn Sie mehr als neun Personen beschäftigen. „Dem Geldwäschebeauftragten ist ungehinderter Zugang zu sämtlichen Informationen, Daten, Aufzeichnungen und Systemen zu verschaffen, die im Rahmen der Erfüllung seiner Aufgaben von Bedeutung sein können.“ Auf den Cent genau wurden im Gesetzentwurf die Kosten für die Wirtschaft abgeschätzt. Für die Mitteilung der Bestellung und Entpflichtung an eine Behörde wurden bundesweit 143.366,67 € kalkuliert! Dividiert man diesen Betrag durch die vermutliche Anzahl von Unternehmen mit mehr als 9 Mitarbeitern, die gewerblich mit Gütern handeln, so muss eine solche Meldung sehr schnell abgewickelt werden. Kosten für die Bestellung selbst, ein evtl. Gespräch zwischen Geschäftleitung und zukünftigem Geldwäschebeauftragten, evtl. Informationskosten etc. wurde von der Bundesregierung offensichtlich vergessen… Wie schreibt die Regierung „Die zusätzlichen Kosten für die Wirtschaft (Personalkosten, Materialkosten) werden sich auf nicht mehr als 1 000 000 € belaufen, weil die zukünftig neu bestellten Geldwäschebeauftragten in der Regel bereits mit anderen Funktionen eines Betriebsbeauftragten („Compliance Officers“) betraut sind und diese neue Funktion mit dem insoweit bereits vorhandenen Personalbestand wahrgenommen werden kann.“ Offensichtlich haben die befassten Mitarbeiter in Unternehmen soviel Langeweile und dabei soviel Wissen, dass die neue Aufgabe ohne Zusatzaufwand erledigt werden kann.

Als Datenschutzbeauftragter verwundert mich das. Schließlich geht es hierbei letztendlich um die Übermittlung von personengebundenen Daten auf Grund einer gesetzlichen Vorschrift. Der Geldwäschebeauftragte ist also auch im Bereich des Datenschutzes entsprechend zu schulen und in den EDV-Systemen sind entsprechende Zugriffsmöglichkeiten für den Geldwäschebeauftragten vorzusehen, zumindest sind aber entsprechende Verfahrensanweisungen sowie Dokumentationsrichtlinien zu erlassen. Aufwand, den die Bundesregierung ignoriert.

E-Geld

Noch ein weiterer Punkt stößt beim ersten Lesen des Gesetzentwurfes auf: Die Einführung der Unmöglichkeit, im Internet anonym einkaufen zu können. Schon bisher sind Handlungen, die im „normalen Leben“ problemlos anonym möglich sind (Kauf der Hose, der Zeitschrift etc.) im Internet nur schwer anonym anzuwickeln. Schließlich müssen die Waren den Käufer ja irgendwie erreichen. Aber zumindest für Dinge, die auch über das Internet genutzt werden, also Downloads, Spiele etc., ist eine anonyme Nutzung möglich, wenn der Anbieter sein Geld anonym erhält. Um diese zu verwirklichen, wurde E-Geld entwickelt. Heute können Sie an Automaten und Kiosks Wertgutscheine erwerben, mit denen Sie digitale Güter nutzen können. Damit ist es, nach dem Willen der Bundesregierung, in Zukunft vorbei. Solche Verkafsstellen müssen in Zukunft – ohne Mindestgrenze – die Personalien der „Geldtauscher“ (Bargeld zu E-Geld) aufzeichnen, denn sie sind dann „E-Geld-Agenten nach § 1a Absatz 6 des Zahlungsdiensteaufsichtsgesetzes“. Man fragt sich schon, wer sich diese Regeln ausgedacht hat.

Paypal und der Datenschutz – Finger weg

Mittwoch, 29. Juni 2011

Datenschutz und US-amerikanische Unternehmen – scheinbar ein Widerspruch in sich. Ein weiteres Beispiel für den unverantwortlichen Datenhunger ist PayPal. Eigentlich sollte PayPal als Zahlungsdienstleister Geld übermitteln, nicht mehr und nicht weniger. Daher stellt sich die Frage, warum lässt sich Paypal in seinen Nutzungsbedinungen weitgehende Rechte zur Datenübermittlung und Datenauswertung einräumen. Einige Beispiele:

  1. Bei der Kontoeröffnung steht: „Weisen Sie PayPal ausdrücklich an, entsprechend den Datenschutzgrundsätzen bestimmte Informationen über Sie und Ihr Konto an Dritte weiterzugeben.“ Dort kann man dan z. B. lesen: „Wenn Sie registrierter PayPal-Nutzer sind, werden Ihr Name, Ihre E-Mail-Adresse, Ihre Skype-ID (sofern vorhanden), Ihre Telefonnummer (sofern vorhanden), das Datum der Anmeldung, die Anzahl von Zahlungen, die Sie von verifizierten PayPal-Kunden erhalten haben, und Informationen darüber, ob Sie über einen verifizierten Zugriff auf ein Bankkonto verfügen, anderen PayPal-Kunden angezeigt, an die Sie eine Zahlung gesendet haben, oder die über PayPal eine Zahlung an Sie senden möchten.“ (Fettmarkierungen von mir und nicht von PayPal).
  2. Ferner erlaubt der Benutzer die Offenlegung aller Daten an jegliche Institution, von denen PayPal glaubt!, „dass sie zur Untersuchung von Betrugsfällen oder anderen ungesetzlichen oder potenziell ungesetzlichen Aktivitäten sowie Verstößen gegen unsere Nutzungsbedingungen geeignet sind.“. Hierbei wird ausdrücklich keinerlei Einschränkung hinsichtlich eines Landes etc. getroffen! Ausserdem werden alle  „relevanten Daten an entsprechende Auskunfteien zur Verhinderung von Betrug“ weitergegeben, wenn PayPal einen Betrug feststellt und „ungenaue Informationen gegeben wurden“.
  3. Weiter folgt eine seitenlange Liste von Finanzfirmen, Banken aber auch Marketingfirmen, an die die Daten weitergegeben werden und dies zu teilweise ziemlich dubiosen Zwecken, wie z. B. „Um zusätzliche Benutzerinformationen zu sammeln und Marketingkampagnen besser ausrichten zu können.“.

Dies nur als erster und kurzer Überblick über den Umgang von PayPal mit Ihren persönlichen Daten. Sie können sich also sicher sein, dass Ihre Daten von PayPal in der Welt weit verbreitet werden. Wenn Sie mehr lesen wollen: Hier der Link zu den PayPal-„Datenschutz“-Grundsätzen.

AGB von Xing: Fragwürdig.

Dienstag, 18. Januar 2011

Heute las ich die AGB von Xing

relevante Zitate der Xing-AGB

relevante Zitate der Xing-AGB

einmal genauer durch – und stieß dabei auf sehr zweifelhafte Klauseln. Es ist ja verständlich, dass ein Internet-Unternehmen nicht möchte, dass seine Plattform für kriminelle Aktionen missbraucht wird. Ein Passus, dass die

„Nichteinhaltung gesetzlicher Vorschriften durch den Nutzer“

ein außerordentliches Kündigungsrecht darstellt, ist daher evtl. verständlich. Auch wenn dies meines Erachtens nach extrem unverhältnismäßig sein kann, schließlich ist der Begriff der „Nichteinhaltung gesetzlicher Vorschriften“ extrem flexibel formuliert und ich behaupte, dass kaum ein Nutzer von Xing sich in seinem Leben an alle ihn betreffenden gesetzlichen Vorschriften gehalten hat. Und das Parkknöllchen als Kündigungsgrund bei Xing? Absurd! Aber Xing hält sich diese Möglichkeiten offensichtlich offen, denn sie schreiben eben nicht „Nichteinhaltung gesetzlicher Vorschriften bei seinen Veröffentlichungen über oder auf Xing“.

Sehr zweifelhaft ist auch der folgende „wichtige Grund“:

„der Nutzer wirbt für Vereinigungen oder Gemeinschaften – oder deren Methoden oder Aktivitäten –, die von Sicherheits- oder Jugendschutzbehörden beobachtet werden;“

denn auch hier ist keine Einschränkung auf die Plattform gegeben. Z. B. wird die Partei „Die Linke“ und werden deren Bundestagsabgeordnete  zur Zeit vom Verfassungsschutz beobachtet. Und ich denke, die Abgeordneten der Partei werden Werbung sowohl für sich als auch für ihre Partei machen.  Damit werben sie für eine Vereinigung, die „von einer Sicherheitsbehörde beobachtet“ wird. Interessanterweise sind trotzdem einige Mitglieder der Linken bei Xing offen vertreten – suchen Sie einmal nach „Die Linke“ in Xing (die Anführungszeichen mit eingeben).

Doch es geht noch weiter:

der Nutzer ist Mitglied einer Sekte oder einer in Deutschland umstrittenen Glaubensgemeinschaft

ist ebenfalls ein wichtiger Grund für eine Kündigung. Man mag zu Sekten stehen, wie man will und „umstrittene Glaubensgemeinschaften“ gibt es sicherlich viele in Deutschland – zumal nicht klar gestellt ist, wer hier streitet, der Xing-Vorstand?

Man kann sich auf den Standpunkt stellen, im Rahmen der Privatautonomie stehe es Xing frei, sich seine Kunden auszusuchen. Aber in den beschriebenen Passi geht es nicht um die Aufnahme einer Geschäftsbeziehung, sondern um einen wichtigen Kündgungsgrund, also um schon eine bestehende Geschäftsbeziehnung. Und dann sind andere Maßstäbe anzulegen. Zumal insbesondere der zuletzt zitierte Punkt mit unserer freiheitlich-demokratischen Grundordnung und dort der Religionsfreiheit wohl kaum in Einklang zu bringen ist.

Nun kann es sich ja um extrem schlechte Formulierungen handeln. Ich habe die Xing AG angeschrieben und bin auf die Stellungnahme gespannt.

Absurd: „auch Überschriften, Sätze, Satzteile etc.“ schutzwürdig

Samstag, 19. Juni 2010

Es ist schon absurd, was sich Interessenvertreter so ausdenken: Laut einem Blogeintrag auf netzpolitik.org erachten die deutschen Zeitungsverleger, bzw. deren Verbände BDZV (Bundesverband der Zeitungsverleger) und VDZ (Verband deutscher Zeitschriftenverleger) „Überschriften, Sätze, Satzteile etc, soweit sie einer systematischen Vervielfältigung, Verbreitung oder öffentlichen Wiedergabe in Verbindung mit dem Titel des Presseerzeugnisses dienen“ als schutzwürdig.

Werfen wir einen Blick auf die deutsche Sprache, so liefert der Duden ca. 120.000 Einträge, das Fremdwörterbuch noch einmal ca. 60.000 Einträge hinzu, vielleicht noch einmal 100.000 Slangwörter etc. die es nicht in den Duden geschafft haben, macht in der Summe 280.000 Wörter. (jeweils Schätzungen). Wenn eine Überschrift aus 8 Wörtern besteht, so kommen wir auf (280.000 Objekte, 8, 7, 6, 5, 4, 3, 2, und 1 Position, Wörter können mehrfach vorkommen) 280.000 hoch 8 + 280.000 hoch 7 + 280.000 hoch 6 etc. Kombinationen.

Beschränkt man sich auf zumindest einigermaßen sinnvolle Kombinationen, so ergibt das zwar immer noch eine ganz schön große Anzahl an Wortkombinationen, aber mit ein bischen linguistischer Intelligenz und programmiererischem Geschick sollte es doch möglich sein, ein paar Milliarden der wahrscheinlichsten Kombinationen zusammenzusetzen. Diese veröffentliche man dann im Internet und da es ja auf die Veröffentlichung und nicht auf die Leserschaft ankommt, verklage man dann alle Zeitungsverleger, die einen Satz aus diesem Fundus verwenden. Schöne neue Urheberwelt.

Aber  vielleicht haben die Verbandsvertreter die Absurdität selbst erkannt, schließlich schreiben diese „… in Verbindung mit dem Titel des Presseerzeugnisses …“. Also muss man dieser gedachten Kombinationsliste noch die Titel möglichst aller Presseerzeugnisse hinzusetzen. Aber dies sind ja, vom Standpunkt der EDV her betrachtet, relativ wenige. Die angesprochene „systematische Vervielfältigung“ kann man sicherlich voraussetzen. Schließlich wird der Verleger sich ja regelmäßig aus dem Fundus bedienen – sonst hätte der Linguist und der Programmierer seinen Job schlecht gemacht.