Internetkriminalität ist nach wie vor ein Thema und nimmt täglich zu (siehe dazu auch den Lagebericht des Bundesamts für Sicherheit in der Informationstechnik 2011). Die EU versucht diesen Trend bereits seit längerem aufzuhalten. Bereits 2005 hat sie daher einen Rahmenbeschluss über Angriffe auf Informationssysteme erlassen. Damals stellte die EU das unerlaubte Eindringen in Computersysteme, Daten- und Systemstörungen, sowie das Verbreiten von Viren unter Strafe.  Auch jede erdenkliche Form der Teilnahme an solchen Delikten wurde mit Strafe bedroht.

Nun will der Rat der EU die bestehenden Delikte erweitern und wesentlich härter bestrafen, als es nach der aktuellen Gesetzeslage möglich ist. Künftig sollen bereits die Produktion und das zur Verfügungstellen von kriminellen Tools bestraft werden. Darunter fällt z. B. das Angebot von Software um die äußerst gefährlichen Botnetze zu erstellen, bei denen infizierte Computer zusammengeschlossen und zentral gesteuert werden, um beispielsweise Spam zu versenden, Tastatureingaben auszuspähen oder Angriffe auf andere Systeme vornehmen, etwa Webserver oder ganze Netze. Ebenso soll das Abfangen von Computerdaten als Delikt eingestuft werden.

Zusätzlich soll die europäische Zusammenarbeit gestärkt werden; dazu zählt insbesondere die künftige Pflicht statistische Daten über Cybercrime-Delikte zu sammeln und dringende Anfragen eines Mitgliedsstaates innerhalb von acht Stunden zu beantworten, um einen effektiven Zugriff zu gewährleisten.

Darüber hinaus soll das Strafmaß angehoben werden. Die Höhe der Freiheitsstrafe soll sich danach auf mindestens zwei bis fünf Jahre belaufen. Die Höchststrafe ist dabei für organisierte Kriminalität und besonders umfangreiche Schäden vorgesehen.

Inwiefern die Vorschläge umgesetzt werden hängt davon ab, wie sich das Parlament entscheidet. Es bleibt zu hoffen, dass die Notwendigkeit erhöhter Strafen erkannt wird.

Vielen Dank an unsere wissenschaftliche Mitarbeiterin Frau Kristina Krupp für die wertvolle Recherche und Mitarbeit an diesem Beitrag.

1 Comment

Über die hessischen Pläne zur Verschärfung der Datenschutzvorschriften des Telemediengesetzes (TMG) hatten wir bereits kritisch berichtet. Gestern hat der Gesetzentwurf den Bundesrat passiert und muss nun im Bundestag beraten werden. Der Entwurf sieht unter Anderem vor, dass Anbieter von sozialen Netzwerken stets die restriktivsten Datenschutz- und Privatsphärenoptionen als Standardeinstellung vorsehen müssen und verbietet grundsätzlich den Zugriff externer Suchmaschinen auf die Inhalte solcher Netzwerke. Zwar sind Ausnahmen hiervon möglich, die entsprechende Vorschrift ist jedoch so unpräzise formuliert, dass Streitigkeiten über ihre Reichweite vorprogrammiert sind.

No Comments

Als Reaktion auf unseren letzten Artikel zu den datenschutzrechtlichen Aspekten von Geolocation erreichte uns ein Hinweis auf ein spannendes Experiment der ZEIT:

Der Grünen-Politiker Malte Spitz klagte von der Telekom sechs Monate seiner Vorratsdaten ein und überreichte diese zur weiteren Aufbereitung der ZEIT. Die ZEIT erstellte hiermit ein Bewegungsprofil und kombinierte die Bewegungsdaten mit öffentlich verfügbaren Informationen aus Twitter, dem Blog und der Website von Malte Spitz. So kann jedermann nachsehen und -lesen, was Malte Spitz wann und wo machte.

No Comments

Dank der Ausstattung von Smartphones mit GPS-Chips (Global Positioning System) kann nun auch jeder Fußgänger, Jogger und Fahrradfahrer seine Position, Strecke und Geschwindigkeit auch ohne besondere Navigationsgeräte bestimmen. Gut entwickelte Apps bieten dem User zahlreiche hilfreiche Funktionen. Der Aufenthaltsort ist mithilfe von GPS oder WLAN bis auf ca. 4-15 Meter exakt zu bestimmen. Dabei können die Ortungsdaten jederzeit vom App-Anbieter und auch vom Telekommunikationsanbieter – durch Ortung des Smartphones – gesammelt und abgespeichert werden. Dies führt dazu, dass diese Anbieter genau wissen, wo man sich wann gerade aufhält, welchen Weg man zur Arbeit nutzt, wo man gerne mittags isst, ob man regelmäßig ins Stadion geht, welchen Arzt man aufsucht, welche Kirche man besucht oder wo genau man seine Nächte verbringt. Daraus ergeben sich für die Anbieter äußerst detaillierte Bewegungsprofile, von denen der User regelmäßig nichts mitbekommt. Zwar lässt sich Geolocation abschalten, viele User vergessen dies aber oder haben gar keine Kenntnis von dieser Abschaltfunktion.

Datenschützer haben daher schon länger zahlreiche Bedenken gegen Geolocation geäußert. Nun hat sich auch die europäische Artikel-29-Datenschutzgruppe mit dieser Problematik befasst. Bei der Artikel-29-Datenschutzgruppe handelt es sich um das unabhängige Beratungsgremium der Europäischen Kommission, die sich mit Fragen des Datenschutzes auseinandersetzt.

Sowohl App-Anbieter als auch Telekommunikationsanbieter können den Smartphone-User identifizieren:

Der Telekommunikationsanbieter kann die georteten Geodaten anhand der gespeicherten Kundendaten problemlos dem Smartphone-User zuordnen. Für den Erwerb von Apps muss der Smartphone-User in der Regel Name, Adresse und Bankverbindung angeben, so dass auch der App-Anbieter die Geodaten und Bewegungsprofile durch Verknüpfung dieser Daten einer bestimmten Person – nämlich dem Smartphone-User – zuordnen kann.

Daher hat die Art-29-Datenschutzgruppe im Hinblick auf Telekommunikations- und Anbieter von Geolocation-Apps zu Recht angenommen, dass es sich bei den Geodaten des Smartphone-Users um personenbezogene Daten handelt und die Datenschutzgesetze Anwendung finden. Denn der Betroffene hat das Recht grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen und zu wissen wer, was, wann und bei welcher Gelegenheit über ihn weiß. Mangels Erlaubnistatbestandes dürfen die Bewegungsdaten grundsätzlich nicht ohne die vorherige Einwilligung des Handynutzers erhoben, gespeichert oder verwertet werden. Andernfalls sind Erhebung, Speicherung und Verwertung datenschutzrechtlich unzulässig.

Die Einwilligung des Smartphone-Users muss ausdrücklich und vorab erfolgen. Eine konkludente Zustimmung durch Vertragsabschluss – sei es durch den Kauf der App oder den Abschluss des Mobilfunkvertrages – ist gerade nicht ausreichend. Ebenso ist eine Einwilligung nicht durch bloße Akzeptanz der AGB möglich. Eine solche Einwilligung muss freiwillig erteilt werden, wobei der Einwilligende vollumfänglich über die Datenerhebung informiert sein muss.

Die Einwilligung soll in regelmäßigen Abständen aktualisiert werden, um sicher zu gehen, dass der User nach wie vor an dem Service interessiert und mit der Ortung einverstanden ist. Als Zeitraum sollte ein Jahr angemessen sein. Darüber hinaus sollte die Einwilligung jederzeit leicht widerrufbar und die Daten einsehbar und löschbar sein.

Die datenverarbeitende Stelle muss sicherstellen, dass ihre User wissen, dass sie ihre Daten sammelt und zu welchen Zwecken. Der User muss „Herr seiner Daten“ bleiben und selbst entscheiden können, ob er einwilligt oder nicht.

Der User würde daher am sinnvollsten geschützt, wenn Smartphone-Anbieter Ihre Geräten mit der Ortungsfunktion ab Werk ausgeschaltet verkaufen, so dass der User bei jeder einzelnen Inanspruchnahme des Systems selbst aktiv die Einschaltung vornehmen kann/muss. Die sicherste Möglichkeit wäre eine Displayanzeige, die ähnlich wie ein GPS-Icon oder ein Bluetooth-Icon fortwährend anzeigt, ob die Lokationsfunktion gerade ein- oder ausgeschaltet ist. Nur auf diesem Wege wäre gewährleistet, dass der User sich darüber bewusst ist, dass sein aktueller Standort in diesem Moment ermittelt und gespeichert wird.

Ob aus der unverbindlichen Empfehlung der Art.29-Datenschutzgruppe eine Richtlinie wird, bleibt abzuwarten. Da aktuell aber die Geräte meist noch ab Werk mit eingeschalteter Geolocation-Funktion angeboten werden, müssen User selbst aktiv werden, wenn sie ihre Ortung vermeiden wollen, und genau kontrollieren, ob und wann sie die Geolocation-Funktion Ihres mobilen Gerätes ein- beziehungsweise ausschalten.

Zudem sollte der User sich bewusst machen, wer denn alles Zugriff auf seine Geodaten hat. Denn bei der Erlangung von Geodaten sind die Anbieter der jeweiligen App, die Entwickler des genutzten Betriebssystems, die Kontrolleure des konkreten Geolocation-Angebots, sowie soziale Netzwerke oder andere Kommunikationsmedien, die beispielsweise „geotagging“ (Verortung von Fotos) anbieten, und nicht zu letzt der Telekommunikationsanbieter eingebunden.

Vielen Dank an unsere wissenschaftliche Mitarbeiterin Frau Kristina Krupp für die wertvolle Recherche und Mitarbeit an diesem Beitrag.

1 Comment

Einbruch in das Playstation-Netzwerk bei Sony und Verlust von Millionen Spielekundendaten, Hack des auf IT-Sicherheit spezialisierten Unternehmens RSA, daraufhin Cyber-Attacken auf RSA-Kunde Lockheed-Martin, chinesischer E-Mail Diebstahl bei Morgan Stanley, angeblich Passwort-System von Googles Handy-Betriebssystem geknackt … Die Serie der Datenpannen bei international agierenden Großunternehmen scheint nicht abzureißen; die Aufmerksamkeit der Medien war nie größer. Aber was sind die rechtlichen Folgen?

Der Verlust von Kundendaten bedeutet in aller Regel einen beträchtlichen Imageschaden für das Unternehmen. Es ist dann die Rede von einem PR-Desaster, und die Seriosität des Unternehmens wird angezweifelt. Sogar ein Umsatzrückgang kann die Folge sein. So kostete der Hackerangriff auf das Playstation-Netzwerk Sony laut eigenen Angaben 1,3 Milliarden Euro, teilweise schätzen Analysten den Schaden sogar noch höher.

Angesicht solch verheerender Nachwirkungen dürfte die Versuchung bei Unternehmen groß sein, eventuelle Datenlecks zu verheimlichen.

Doch aufgepasst: Seit 1. September 2009 besteht gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) eine ausdrückliche Verpflichtung zur Information der Betroffenen (Kunden, Mitarbeiter …) und Datenschutzbehörden im Falle von Datenverlusten!

Unternehmen müssen also sich selbst als Datensünder an den Pranger stellen. Bei einem Verstoß drohen Bußgelder bis zu 300.000 Euro.

Wann besteht eine Mitteilungspflicht?

Trotzdem besteht die Mitteilungspflicht nicht in jedem Fall eines Datenlecks. Vielmehr besteht eine solche Pflicht nur bei Verlust bestimmter Datentypen. Im Einzelnen sind dies:

• Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, eine eventuelle Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben
• Informationen, die einem Berufsgeheimnis unterliegen (Anwaltsdaten, ärztliche Daten etc.)
• Strafrechtlich relevante Daten
• Daten zu Bank- und Kreditkartenkonten

Wichtig ist, dass die Pflicht auch nur gilt, wenn die Daten personenbezogen sind, d.h. mit einer konkreten Person in Verbindung gebracht werden können. Handelt es sich um vollständig anonymisierte Daten, besteht kein Risiko für die Betroffenen. Folglich existiert keine Mitteilungspflicht. Bei verschlüsselten Daten kommt es darauf an, ob eine Entschlüsselung für Dritte realistisch möglich ist.

Außerdem besteht die Mitteilungspflicht nicht schon beim bloßen Verlust von Daten. Vielmehr muss das Unternehmen dann auch feststellen, dass tatsächlich Dritte Kenntnis von den Daten erlangt haben. Auch das ist in der Praxis eine wichtige Einschränkung.

Zwar ist laut Gesetz weiterhin eine „schwerwiegende Beeinträchtigung der Rechte oder schutzwürdigen Interessen der Betroffenen“ notwendig. Die sperrige Wendung macht es schon deutlich: Hier ist eine Abwägung im Einzelfall erforderlich.

Wem muss was mitgeteilt werden?

Worst Case. Rien ne va plus. Jemand hat sich tatsächlich Zugriff auf die genannten Daten verschafft. Was tun?

Gesetzliche Pflicht ist eine sofortige persönliche Benachrichtigung der Betroffenen und der zuständigen Datenschutzbehörde, d.h. des jeweiligen Landesdatenschutzbeauftragten. Sollten, wie im Falle Sony, eine Vielzahl von Personen betroffen oder deren Kontaktdaten nicht bekannt und die persönliche Benachrichtigung daher mit unverhältnismäßigem Aufwand verbunden sein, kann sie durch eine Information der Öffentlichkeit in Form einer halbseitigen Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine zur Information der Betroffenen ebenso geeignete Maßnahme ersetzt werden. Die Pflicht zur gesonderten Informierung der Datenschutzbehörden bleibt bestehen.

Die Betroffenen müssen bei der Benachrichtigung darüber informiert werden, auf welche Weise die Daten in fremde Hände gelangt sind und wie etwaige „nachteilige Folgen“ gemildert werden können. In der Benachrichtigung der Behörde müssen auch noch die möglichen nachteiligen Folgen und die daraufhin vom Unternehmen getroffenen Maßnahmen konkret benannt werden.

Sicherheit und Aufklärung gehen vor

Aber: Das Unternehmen darf vielleicht mit der Benachrichtigung warten. Nämlich dann, wenn eine sofortige Benachrichtigung die  Aufklärung des Sachverhalts oder den schnellstmöglichen Schließen der Sicherheitslücke behindern würden. So soll insbesondere verhindert werden, dass das bereits bestehende Datenleck weiteren Dritten eine einfache Angriffsfläche bietet. Weil die Behörden aber einer gesetzlichen Verschwiegenheitspflicht unterliegen, sind sie immer sofort nach Feststellung einer Drittkenntnisnahme zu informieren. Mit diesen Sicherheits- und Aufklärungserwägungen kann sich also ein Unternehmen niemals herausreden, wenn es völlig passiv geblieben ist.

Was bedeutet das für mein Unternehmen?

Ein Datenverlust ist neben dem Imageschaden auch ein rechtliches Problem. Pflichten können entstehen und bei deren Nichtbeachtung können Bußgelder zu 300.000 Euro anfallen. In der Aufarbeitung reicht also keine ausgefeilte Unternehmenskommunikation. Vielmehr ist eine datenschutzrechtlich korrekte Handhabung der Situation erforderlich. Ob eine Mitteilungspflicht besteht, kann nur nach sorgfältiger rechtlicher Prüfung festgestellt werden. Verschiedene Anknüpfungspunkte existieren dabei, um jedenfalls die unangenehme Mitteilungspflicht an Betroffene oder die Öffentlichkeit zu umgehen oder hinauszuzögern.

No Comments