Datenschutz

Via Twitter bin ich darauf gestoßen, dass die Piratenpartei einen Generator zur Erstellung des Anschreibens zur Einholung von Selbstauskunftsanfragen nach §§ 34 I, IV BDSG bereit stellt. (Was für ein Satz)

Dabei gibt man die notwendigen Daten zur Person ein und lässt sich fertige Anschreiben erstellen, welche man dann nur noch auf den Weg geben muss. Damit kann man z.B. die Schufa und andere Einrichtungen ärgern, welche nach §§ 34 I, IV BDSG (Fassung vom 01. April 2010) dazu verpflichtet sind unentgeltlich Auskunft über die gespeicherten personenbezogenen Daten zu erteilen.

Zum genaueren Hintergrund: §§ 34 I, IV BDSG besagt im folgendes
1) Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über

1.die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,

2.den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und

3.den Zweck der Speicherung.

Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, ist Auskunft über die Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt.

[...]
(4) Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung erhebt, speichert oder verändert, hat dem Betroffenen auf Verlangen Auskunft zu erteilen über

1.die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunftsverlangens übermittelten Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten des Betroffenen sowie die Namen und letztbekannten Anschriften der Dritten, an die die Werte übermittelt worden sind,

2.die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von der Stelle zur Berechnung angewandten Verfahren ergeben,

3.die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2 genutzten Datenarten sowie

4.das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form.

Satz 1 gilt entsprechend, wenn die verantwortliche Stelle

1.die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder

2.bei einer anderen Stelle gespeicherte Daten nutzt.

Die Änderungen vom 01. April 2010 besagen unter anderem
Bei diesen Änderungen – es geht vor allem um die Schaffung der neuen §§28a, 28b BDSG sowie um erneute Änderungen am §34 BDSG – geht es darum, das Scoring– und Auskunfteisystem transparenter zu machen. Der Blick in das BGBl. macht leider deutlich, das zumindest der Gesetzestext, speziell der §34 BDSG, wahrscheinlich keinem normalen Bürger mehr frei zugänglich sein wird. Dabei ist die Intention eine sehr gute: Es wird endlich gesetzlich geregelt, wann Datenübermittlungen an Auskunfteien erlaubt sind, es gibt einen groben Rahmen für die statistischen Methoden und der Betroffene erhält einen Anspruch auf Einblick in das Scoringsystem zu seinem Wert.

Also wieder eine klasse Sache um mit wenig Aufwand etwas zu tun, was die Zufriedenheit und Transparenz fördert.

Sehr gute Aktion, wie ich finde. Auf Datenschutz-Guru.de findet man nun einen kostenlosen Datenschutz-Email-Kurs. Habe den Urheber selbst kennen lernen dürfen und muss sagen, dass ich glaube einiges erwarten zu können.

Meiner Ansicht nach ein muss in der aktuellen Zeit der Rechtsverstöße.

Ich denke mal, dass die Story von haefft.de bereits hinlänglich bekannt ist, falls nicht, kurz der Hintergrund:

haefft.de betreibt eine Art Social Network für Kinder und Jugendliche. Und wie es nunmal (Un-)Sitte bei solchen Netzwerken ist, werden vielerlei Daten gesammelt. Der / Die Entwickler haben aber wiederum massiv geschlampt, unter anderem wurden (lt. fefe) die Passwörter nicht als MD5-Hash, sondern im Klartext (!) abgelegt, auch die Administrationskonten konnten ohne Probleme online abgefragt werden. Mehr zum Thema beim CCC.

Nunja, ein Datenskandal von vielen in letzter Zeit; wäre da nicht diese ausserordentlich schöne Pressemitteilung, die an Chuzpe kaum zu übertreffen ist.

Ich zitiere:

Allerdings zeigt die Pressemitteilung des CCC, dass zum Thema Haefft.de sehr wenig Hintergrundwissen vorliegt und leider auch etliche Dinge schlicht falsch dargestellt sind:

1.) Haefft.de ist eine Jugendcommunity, das Gros der Jugendliche ist 14 – 22 Jahre, Kinder spielen keine Rolle.

Nun ja, ich will mich nicht über die Definition "Kinder" streiten, aber Fakt ist, dass die Seite definitiv für Schüler gedacht ist, was in meinen Augen nunmal Kinder sind. Aber davon ab, meiner Meinung nach ein absolut unwichtiger Baustein, der völlig irrelevant in dem Zusammenhang ist.

2.) Haefft.de ist nicht in erster Linie ein soziales Netzwerk, sondern eine klassische Schüler-Community, in der es vor allem um die Kommunikation und soziale Aspekte wie Chatten und das Nutzen der Forums-Funktion geht.

Welchen anderen Zweck ausser sozialer Interaktion soll das Ganze denn entsprechen? Ich habe keine Ahnung, wie es aufgebaut war, aber es ist doch wohl mehr als offensichtlich, dass hier eine gewissen soziale Zielgruppe angesprochen werden soll.

Jetzt kommt der erste dicke Hund:

3.) Die beschriebene Sicherheitslücke ist nach vielen Jahren erstmals von einem Computer-Fachmann aufgezeigt worden.

Au weia... heisst im Umkehrschluss also, dass die Daten jahrelang auf einfache Art und Weise abrufbar waren? Und das nun als Richtigstellung verkaufen wollen? O-M-F-G! Anstatt da mal wen rüberschauen zu lassen, der es kann - und davon gibt es mehr als genug, die nicht zu blöd sind, Passwörter als Hashes zu hinterlegen - wird einfach Unwissenheit dargestellt.

Und als ob das nicht genug war, hier das Highlight des Ganzen, welches an Argumentationsstärke kaum zu überbieten ist:

4.) Der wichtigste Sicherheitsaspekt von Haefft.de ist dem technikorientierten CCC aber vermutlich nicht bekannt. Seit 2000 arbeiten wir mit einem engagierten Netz an Haefft.de-Moderatoren, die sich nach besten Kräften darum kümmern, dass in den Foren und im Chat kein Platz für sexistische, gewaltverrlichende, rassistische oder sonstwie jugendgefährdende Inhalte ist. Diese “Haefft.de-Mods” leisten eine tolle Arbeit und sind unserer Überzeugung als Ergänzung um ein Vielfaches wichtiger als die 100%-Technik-Optimierung, die es vermutlich ohnehin nie geben wird.

Ja ganz toll, ich finds ganz ehrlich sogar richtig toll, wenn dort engagierte Moderatoren arbeiten. Aber, bitte erklärt mir doch mal den Zusammenhang, ich verstehe es offensichtlich nicht; Was zur Hölle hat denn ein Mod mit dem direkten Auslesen der Datenbanken zu tun?!?

Meiner Meinung nach an Ignoranz und technischem Dilletantismus nicht zu übertreffen; solche Leute sollen lieber tote Bäume verkaufen oder sich in Jugendclubs engagieren, aber nicht solche Datenmonster erschaffen, die noch dazu vom Konzept nur ungläubiges Kopfschütteln hervorrufen. Ich habe fertig.

Die News über Datenpannen reissen nicht ab, sind ja schon fast britische Verhältnisse hier...

Die KarstadtQuelle Bank ruft ihre ausgegebenen Kreditkarten zurück. Hintergrund ist laut offiziellem Statement "[einen] Teil ihrer Kunden proaktiv zu informieren und ihnen die Möglichkeit angeboten, die Kreditkarten kostenlos als Sicherheitsmaßnahme auszutauschen."

Nunja, wenn man den Hintergrund vor Augen hat, dass die Mutterfirma Arcandor insolvent ist und so eine Aktion (angedacht ist, bis 30. November sämtliche Kreditkarten zu sperren und neu auszustellen) nicht grad billig sein dürfte, muss da schon ein bissl mehr passiert sein, als (Zitat) "dass aus ihren Systemen keine Daten abgegriffen worden sind."

Mittlerweile kriegt man ein immer schlechteres Gefühl, seine Daten irgendwo zu hinterlassen. Erst die Terrorkom, die Deutsche Bahn, wieder die Telekom, dann Studi/Mein/SchülerVZ, jetzt Karstadt... Ich sehe es da ähnlich wie Lukas, dass Daten nur so sicher sind, wie einerseits es die Kunden, andererseits die Firmen es zulassen. Grade in der Grössenordnung, wie MySpace, StudiVZ / Facebook oder zB Xing  Daten sammeln, sollte besondere Vorsicht geboten sein.

Via Gulli, Gedankenfraktion

Da überfliege ich mal wieder die News der letzten Tage und finde einen leserfreundlich zusammengefassten Artikel von Golem zum aktuellen Status der novellierung des Bundesdatenschutzgesetz.

Um was geht es? Heute am 03. Juli 2009 wird die zweite Novellierung des Datenschutzes im Bundestag verabschiedet. Nun, der Datenschutz ist vielen offenkundig gleichgültig. Offensichtlich aber auch, weil viele keine Ahnung haben, was mit ihnen und ihren Daten passiert. Nicht nur, dass wir im vergangenen Jahr eine menge offenkundige Skandale hatten. Nein, täglich geschehen Dinge mit unseren Daten, welche nicht passieren müssten. Sogar nicht passieren DÜRFEN.

Nehmen wir mal das Beispiel der Datenweitergabe: Wem ist es nicht schon einmal passiert, dass er Werbepost oder anderweitiges Material im Briefkasten hatte, ohne zu wissen, woher es kommt. Während der Nachbar es offensichtlich nicht erhalten hat und dementsprechend sich nicht um eine Massensendung halten kann. Wie kann das sein? Zufall? Wohl kaum. Es ist nämlich so, dass es Kundenprofiler gibt, dessen Ziel es ist möglichst alles über das Verhalten eines Menschen oder vielmehr einer Zielgruppe herauszufinden. Es ist mittlerweile Mode entsprechende Informationen sogar freiwillig abzuliefern und sich kaufen zu lassen (man nehme Payback und co). Des Weiteren existiert sogar ein Markt für solche Daten. Ja, richtig. Man wird verkauft! Ui... Wie kann das sein? Andere verdienen Geld damit, indem sie mich beobachten und verkaufen es dann an Dritte, welche ich gar nicht kenne? Richtig!

Und... Surprise, surprise: Die geplante Neuregelung, dass man AKTIV zustimmen muss wurde gestrichen! Wo kämen wir denn sonst hin, wenn jeder selbst entscheiden würde, wer seine Daten erhält?

"Der monatelange massive Druck der Lobbyverbände kippte sowohl die Abschaffung des Listenprivilegs beim Datenhandel, als auch ein generelles Koppelungsverbot aus dem Koalitionskompromiss" (Jan Korte, Parteivorstand).

Soviel dazu! Jetzt wird es halt so, dass wir aktiv WIEDERSPRECHEN müssen. Sicher werden sich die Firmen daran halten und meine Wunsch einer Löschung meiner Daten entsprechen... Klar! Es wird alles gut, da nun eine verstärkte Dokumentationspflicht eingeführt wird. Wenn das mal vergessen wird... Shit happens - Aber meine Daten sind wo anders!

Jetzt ist es ja nicht, als würde nichts getan werden. Immerhin soll "Die Sicherheit von Daten soll durch Vorschriften zur Verschlüsselung verbessert werden. Hervorgehoben wird zudem die Pflicht gemäß dem Prinzip der Datensparsamkeit, personenbezogene Informationen möglichst zu anonymisieren oder Pseudonyme zu verwenden. Wird unrechtmäßig Kenntnis von sensiblen Daten erlangt und besteht ein erhebliches Missbrauchsrisiko, so sind die Betroffenen und die Aufsichtsbehörde zu informieren. Dies hat etwa bei Kreditkartendaten öffentlich zu geschehen." so Heise.

Nun gut. Harren wir der Dinge, die da kommen werden. Dadurch, dass aber nach wie vor keine Regelung zur Auditierung des Datenschutzes existiert, liegen solche Maßnahmen aber mehr oder weniger im Auge des betrachters. Und da stellt sich meiner Ansicht immer die Frage, wie kompetent dieser ist. Immerhin ist es oft kein Geheimnis, dass ein Datenschutzbeauftragter oft obligatorisch ernannt wird. Wenn was passiert kommt eine Rüge, aber es ist vermeidbar gewesen.

Alles in allem, kann man sich auch gern mal durch die diversen Materialieren der Datenschutzbeauftragten der Länder wälzen. Wir haben mehr Rechte, als wir es zunächt glauben würden. Spaßeshalber könnte man einfach mal dieses Formular ausfüllen (gern auch mehrfach) und die diversen Firmen mal fragen welche nach sie woher über mich gespeichert haben...Immerhin ist es das gute Recht eines jeden nach $34 BDSG.