Datenschutzverstöße – keine Lappalie
Weit verbreitet ist leider eine Sorglosigkeit in Bezug auf Datenschutzverstöße. Auch wenn viele Menschen, die mit personenbezogenen Daten regelmäßig umgehen, zumindest sensibilisiert sind für das Thema Datenschutz, so sind doch die rechtlichen Konsequenzen bei Verstößen kaum präsent. Dabei geht es nicht um Lappalien, der Datenschutz hat Verfassungsrang. Wenn es zu erheblichen Verstößen kommt, kann auch die Sanktion erheblich empfindlich sein.
Das Bundesdatenschutzgesetz sieht Bußgelder in Höhe von bis zu 300.000 Euro vor (§ 43 BDSG). Wenn wirtschaftliche Vorteile mit diesem Bußgeldrahmen nicht abgeschöpft werden können, sind sogar noch höhere Bußgelder möglich (§ 43 Abs. 3 S. 3 BDSG). Für manche Verstöße ist eine Gefängnisstrafe von bis zu zwei Jahren vorgesehen (§ 44 BDSG). Wesentlich härter ist die Regelung im Berliner Datenschutzgesetz. Hier sind keine Bußgelder mehr vorgesehen, sondern Datenschutzverstöße sind regelmäßig Straftaten, die mit Geldstrafe oder Gefängnisstrafe von bis zu zwei Jahren (§ 32 BlnDSG) geahndet werden.
Dies musste kürzlich ein großer Autovermieter in Deutschland spüren. Er hatte in einem Großteil seiner hochwertigen Fahrzeuge GPS-Ortungssysteme einbauen lassen. Ohne Wissen der Mieter wurde der Standort der Fahrzeuge regelmäßig geortet. Dies stellte eine unzulässige Datenerhebung dar, welche mit einem Bußgeld in Höhe von 54.000 Euro vom Hamburgischen Datenschutzbeauftragten geahndet wurde. (Quelle: Datenschutz-News, Nachricht vom 17.07.2012)
Auch im Ausland werden Datenschutzverstöße verfolgt, teilweise mit viel drastischeren Bußgeldern. Dies musste dieses Jahr einer der ganz großen Datenverarbeiter spüren: Google. Um weiterhin personalisierte Werbung anbieten zu können, habe Google eine Lücke in dem Browser „Safari“ von Apple genutzt, um mit Hilfe eines Cookies einen Tracking-Code zu speichern – auch wenn die Cookies vom Nutzer deaktiviert worden sein sollen. Die US-Handelsbehörde und mehrere Staatsanwaltschaften hätten Ermittlungen aufgenommen. Zur Meidung einer Anklage habe Google nun eine Strafzahlung von 22,5 Millionen US-Dollar angeboten. (Quellen: Datenschutz-News, Nachricht vom 13.07.2012; Spiegel Online, Nachricht vom 10.07.2012)
Nur wenig bemerkt sind im Rahmen der Novellierung des Berlin Datenschutzgesetzes verschiedene Neuerungen in das Berliner Landesdatenschutzgesetz eingeflossen.
Eine Regelung ist der neu geschaffene § 18a BlnDSG, der eine Informationspflicht bei Datenlecks vorsieht. Nachgebildet ist er dem § 42a BDSG, welcher seinerzeit als Reaktion auf größere Datenskandale mit offen zugänglichen Konto- und Telefondaten ins Bundesdatenschutzgesetz aufgenommen worden war. …weiterlesen »
Wiederholt stößt man auf breit angelegte Versuche, den Nutzern nicht nur Ihre Bank-, sondern auch ihre Account-Daten (Benutzerkennung und Passwort) zu entlocken. Ein paar dieser Versuche sind auf einer Info-Seite der Uni Paderborn zusammengetragen. Auch an der HU tauchen solche Phishing-Versuche auf. …weiterlesen »
Kleiner Hinweis in eigener Sache: Es findet am 18.9. wieder eine Fortbildung zum Bereich„Datenschutz in Forschung und Wissenschaft“ (BWB: RD002) statt.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und US-CERT warnen vor einer hochkritischen Java-Lücke. Die Gefahr bestünde unabhängig vom benutzten Browser oder Betriebssystem. Betroffenen sei nach aktuellen Erkenntnissen die gesamte Version 7, ein Aktualisieren auf die neueste Version helfe daher nicht. Zur Zeit wird empfohlen, Java vollständig zu deaktivieren! Anleitungen und weitere Informationen bei Heise.
Update (31.08.2012): Oracle hat nun ein Update herausgegeben, welches die Lücken schließen soll. Es wird dringend empfohlen, Java auf den neuesten Stand zu bringen (Java-Version 7 Update 7). Weitere Informationen z.B. bei Heise.
Update 2 (03.09.2012): Laut dem polnischen Sicherheitsforscher Adam Gowdiak (Meldung von heise) ist auch die neue Version noch verwundbar. Die Lücke wurde vertraulich an Oracle gemeldet, konkrete Angriff auf die neue Version sind jedoch noch nicht bekannt.
Golem berichtet über eine neue Multi-Plattform-Malware, welche in der Lage ist, sich in vier verschiedenen Umgebungen auszubreiten. Neben Mac, Windows und Windows Mobile greift sie auch virtuelle Maschinen an. Ziel sind dabei nicht die Player, sondern die Maschinen selbst, so dass sich der Schädling auch einnisten kann, wenn die virtuelle Maschine nicht läuft. Fies!
Die nicht mehr benötigte Datei wandert in den Papierkorb… jede/r Nutzer/in weiß, dass die Datei noch vorhanden ist und ggf. auch aus dem Papierkorb wieder herausgeholt werden kann. Damit die Datei nicht mehr herausgeholt werden kann, muss der Papierkorb entleert werden. Damit scheint die Datei fort zu sein, sie ist aber nicht wirklich gelöscht.
Kleiner Hinweis in eigener Sache: Es findet am 15.3. wieder eine Fortbildung zum Bereich „Datenschutz in Forschung und Wissenschaft“ statt. In der Veranstaltung dreht es sich diesmal schwerpunktmässig um datenschutzrechtliche Aspekte bei Umfragen.
Will man, z.B. im Rahmen einer Forschungsumfrage, personenbezogene Daten erheben, darf dies nur mit ausreichender Rechtsgrundlage geschehen. Denn Verarbeitung personenbezogener Daten ist nur zulässig, soweit das Datenschutzgesetz, eine andere Rechtsvorschrift sie erlaubt oder der/die Betroffene eingewilligt hat. In der Praxis ist die Einwilligung das häufgste Instrument zur Datenerhebung.
Mit einer kurzen Frage: „Willst Du?“ ist es hier jedoch nicht getan. Vielmehr stellt der Gesetzgeber eine ganze Reihe expliziter Voraussetzungen auf, um eine wirksame Einwilligung anzunehmen (§ 6 Abs. 3-5 BlnDSG). Der Haken: Ist die Einwilligung nicht gesetzeskonform, kann sie unwirksam sein. …weiterlesen »
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt allen Internetnutzern, die DNS-Einstellungen ihres Rechners zu überprüfen. Die Schadsoftware „DNS-Changer“ manipuliert die Netzwerkeinstellungen des Rechners (PC/Mac) so, dass die Benutzer bei Abfrage populärer Webseiten unbemerkt auf manipulierte Suchergebnisse oder Seiten mit betrügerischen oder schädlichen Aktivitäten umgeleitet werden, z.B. Klickbetrug, Scareware oder zum Nachladen weiterer Schadsoftware.
Ob Ihr Rechner betroffen ist, können Sie über die Internetseite www.dns-ok.de (angeboten von der Deutschen Telekom und Bundeskriminalamt) einfach prüfen. Ist alles in Ordnung, erscheint eine grüne Statusmeldung. Wurden die DNS-Einstellungen manipuliert, wird eine rote Statusmeldung angezeigt. Nutzer von Windows-Rechnern können in diesem Fall auf ein von der IT-Sicherheitsunternehmen Avira kostenlos angebotenes Tool zurückgreifen, mit welchem die DnS-Einstellungen automatisch repariert werden können (Information des BSI).