Datenschutzalltag

In der aktuelle Ausgabe 10/2009 der herrlich unrhythmisch und nie zu früh erscheinenden DuD (Datenschutz und Datensicherheit) findet sich ein Artikel von Dirk Fox zu “Mindestlängen von Passwörtern und kryptografischen Schlüsseln” (620-623). Der technische Fortschritt fordert seinen Preis; Stichworte “Rainbow Tables” und hilfreiche Grafikprozessoren. Aus der Dauer einer „Brute Force“-Suche nach Windows-Passworten mit „Rainbow Crack“ ergibt sich – vereinfacht gesagt – die Konsequenz: Continue reading ‘Passwort: Auf die Länge kommt es an’ »

Heute zwitscherte jemand: “In Deutschland sollte mal eine Anlaufstelle für Datenfunde eingerichtet werden. Kann ja nicht sein, dass es der Job von @Netzpolitik ist.”

Ist es auch nicht. Netzpolitik schreibt selbst etwas zum Thema “Wie geht man mit Sicherheitslücken um?”. Als Datenschützer ergänze ich flink die zuständigen Datenschutzaufsichtsbehörden und gebe noch ein paar Hinweise.

Wer diesen Artikel liest, kennt Blogs. Wichtige Datenschutzblogs finden sich in meiner Blogroll. Für die einfache Publizierung einer Datenpanne empfehle ich zusätzlich den Eintrag beim “Projekt Datenschutz“.

Wird bei Datenpannen oder Beschwerden gern übersehen: Für Klärungen und Fragen kann man sich direkt an den entsprechenden betrieblichen Datenschutzbeauftragten der betroffenen Unternehmen wenden: Sie müssen von außen problemlos erreichbar sein (telefonisch verbinden lassen) und sind nach dem Bundesdatenschutzgesetz zur Verschwiegenheit über die Identität des Betroffenen verpflichtet. Aus dem BDSG §4f: Continue reading ‘Kontakte: Wohin mit Datenfunden oder Datenschutzproblemen?’ »

Manchmal treffen zufällig zwei Ereignisse aufeinander und beleuchten dadurch ein bekanntes Thema in einem neuen Licht. Ich habe in den letzten Tagen Anlass gehabt, über das Verhältnis von Marketing und Datenschutz nachzudenken.

Marketing entdeckt Datenschutz

Vor einer Woche überraschten mich die Ergebnisse einer lesenswerten Studie von Client Vela und TU München. Siehe dazu hier im Blog:

Auf die Frage „Wie beeinflussen die folgenden Faktoren Ihre Absicht, bei einem Unternehmen erneut zu kaufen und/oder dieses weiterzuempfehlen?“ erhielt der Punkt „Datenschutz“ insgesamt die drittbeste Bewertung, wurde aber von 43%  als „sehr starker“ Faktor genannt – Spitzenwert!

Datenschutz rangierte damit hinter dem Preis und der Mitarbeiterkompetenz, aber vor Serviceleistungen, den Kernleistungen des Produktes und sieben weiteren Faktoren.
Continue reading ‘Marketing und Datenschutz: Eine Hassliebe’ »

Mnementh verdeutlicht in seinem Blog den Zusammenhang zwischen den aktuellen Datenpannen und Programmierern, die “man­geln­den tech­ni­schen Sach­ver­stand und man­geln­de Vor­aus­sicht im Um­gang mit per­sön­li­chen Daten” haben, weil sie das oft nicht haben müssen.

Nicht jeder darf einen Bus mit Fahr­gäs­ten fah­ren, Spren­gun­gen durch­füh­ren oder an an­ste­cken­den Vi­ren­stäm­men for­schen. Aber jeder darf ein Sho­psys­tem für Tau­sen­de von Nut­zern schrei­ben und be­trei­ben.

Soll­te es nicht einen staat­lich ge­prüf­ten Da­ten­schutz­pro­gram­mie­rer geben, der die Ent­wick­lung einer ent­spre­chen­den Soft­ware über­wacht oder zu­min­dest bei der End­ab­nah­me der Soft­ware be­tei­ligt ist und mit sei­nem Namen für den Be­trieb bürgt?

Irgendwie in diese Richtung marschiert die neue Bundesregierung; hier im Blog zu Aussagen im Koalitionsvertrag: Continue reading ‘Für Datenschutz qualifizierte Programmierer?’ »

…  Louis D. Brandeis, Samuel D. Warren, Postgeheimnis, Fernmeldegeheinnis,  BDSG, BfDI, OECD, Electronic Communications Privacy Act, Employee Polygraph Protection Act, Peter Swire, Nuala O’Connor Kelly, “National Do Not Call Registry”, Genetic Information Nondiscrimination Act.

Was haben alle diese Dinge gemeinsam?

Sie werden in der sehenswerten Fotoserie zum Artikel “Wie retten wir die Privatsphäre?” von Lew McCreary” als “Hüter des Datenschutzes” in den letzten 12.000 Jahren dargestellt.

Gefällt mir – trotz amerikanischer Brille – sehr gut und verdeutlicht einmal mehr, daß “Datenschutz” keine Erfindung unserer Zeit ist.

Anschauen (Hier) – Lesen – Nachdenken – und beim letzten Foto  an die notwendige Weiterentwicklung der Datenschutzgesetzgebung in Deutschland erinnert werden.

Gewichtige Worte darf man eigentlich immer von Datenschutz-Mitentdecker Spiros Simitis erwarten, so auch heute bei der Feier zum 30. Geburtstag der Institution des Berliner Datenschutzbeauftragten.

Apropos Feier und Berliner Datenschutzbeauftragte (Glückwunsch an Alexander Dix und seine Mitstreiter): Nein, das Millionen-Bahn-Bußgeld wurde nicht verjubelt. Bin gespannt, bei wem die bedeutende Summe landet!?

Spiros Simitis jedenfalls wurde seinem Ruf gerecht, ebenso wie die anderen Redner. Einen guten Überblick über die Seelenlage der Datenschutz-Vordenker der ersten Generation gibt der Bericht bei heise.

Oft zitierter Höhepunkte auch aus meiner Sicht ist der Simitis-Ausspruch:

“Demokratie zeichnet sich durch Informationsverzicht aus”.

Das  hört man aus seinem Mund nicht zum ersten mal, aber in der allgegenwärtigen, schwarz-gelb verursachten Erwartungshaltung hört man vielleicht neu hin und bewertet die Chancen einer Umsetzung.

Mir kam dazu ein Gedanke aus dem Datenschutzalltag. Naheliegend ist es, den Ruf nach Informationsverzicht allein an die Exekutive zu adressieren. Aber ich predige (BDSG nennt es weniger poetisch “hinwirken auf ” und “bekanntmachen mit”) in meinen Schulungen immer wieder: “Lassen Sie sich nicht in Versuchung führen!”
Continue reading ‘Simitis: Datenschutz, Demokratie und Informationsverzicht’ »

Gerade erst hatte Telekom-Datenschutz-Vorstand Manfred Balz seiner Branche mit deutlichen Worten den Kopf gewaschen, von “kriminogenen Strukturen im Telekomvertrieb” gesprochen (siehe hier in diesem Blog) und ein gemeinsames Handeln aller Akteure gefordert. Blätterwald und Netzgemeinde stimmten der Einschätzung zu, bevor sich die Aufmerksamkeit SchülerVZ, der Postbank und dem Koalitionsvertrag zuwandte. Heute erreichte mich überraschend die Mitteilung, dass das – lange vor den Balz-Äußerungen angekündigte – X. Symposium zum Thema “Datenschutz in der Telekommunikation” beim BfDI Peter Schaar am 12.11. ausfallen wird.

Ursache: Mangelnde Resonanz.

Eingeladen waren insbesondere Datenschutzbeauftragte und Verantwortliche aus dem Bereich der Telekommunikation…
Am Ort, Preis und am Programm kann es kaum gelegen haben.  Ich will den Ausfall nicht überbewerten, aber er wirft zumindest kein gutes Licht auf den Veränderungswillen der TK-Branche.

Stell Dir vor, es ist Datenschutz – und keiner geht hin.

Irgendwo in Deutschland, Burma oder Lampukistan: Papa freut sich, wenn alle Kabel richtig zusammengesteckt sind und das Internet endlich funktioniert. Wer denkt da noch daran, das Standardpasswort im Router zu ändern?
Traurige Zahlen vom Intrusion Detection Systems Lab der Columbia-Universität in New York:

Since initiating the project last December, the Intrusion Detection researchers have scanned 130 million IP addresses and found nearly 300,000 devices whose administrative interfaces were remotely accessible from anywhere on the internet. The 21,000 devices with default passwords are the most vulnerable, but the rest are theoretically vulnerable to brute-force password-cracking attacks, Stolfo said. Extrapolating from the numbers they’ve gathered, the researchers estimate that 6 million vulnerable devices are likely connected to the internet.

Liebe Neu-Breitbandnutzer, das Suchen von Standardpasswortlisten im Internet gehört zum kleinen 1×1 der Scriptkiddies – und bei einer Erfolgschance von 9% braucht man nicht lange zu scannen, um ein Opfer zu finden.

Dank an watchyourweb für die Info zum Artikel von Martin Unger. Dort auch ein paar erste Tipps zur Absicherung des eigenen Routers.

Postbankkunde und Rechtsanwalt Thomas Stadler hat auf seinem Blog ein Auskunftsverlangen nach §34 BDSG veröffentlicht, das zur Nachahmung anregt. Nicht nur aufregen, sondern handeln: Die “guten alten”, aber noch zu selten genutzten Auskunftsrechte stehen jedem Kunden zur Verfügung.

Die Anschriften fehlen (noch) im Blog:

Deutsche Postbank AG
Friedrich-Ebert-Allee 114 – 126
53113 Bonn

Deutsche Postbank AG
Zentraler Datenschutzbeauftragter
Postfach 40 00
53105 Bonn

Bei haufe/acquisa fand ich eine interessante und recht aktuelle Studie zur wachsenden Bedeutung des Datenschutzes für die Kaufentscheidungen von Kunden:

Der Preis ist der wichtigste Faktor für einen erneuten Kauf bzw. eine Weiterempfehlung. Auch die Mitarbeiter eines Unternehmens und der Datenschutz haben einen großen Einfluss auf die Kaufentscheidung. Das hat eine Online-Befragung von Client Vela und TU München ergeben. 89 Prozent der Kunden lassen sich demnach vom Preis stark oder sehr stark beeinflussen. Die Freundlichkeit und Kompetenz der Mitarbeiter ist für 81 Prozent wichtig. Gut drei Viertel achten stark oder sehr stark auf den Datenschutz. Die angebotenen Serviceleistungen rangieren dahinter, allerdings noch vor den Kernleistungen des Produkts selbst. Erhoben wurden die Meinungen von rund 300 Kunden. Weitere Ergebnisse finden Sie hier. (ms)

Kurze Ergänzung: Auf die Frage “Wie beeinflussen die folgenden Faktoren Ihre Absicht, bei einem Unternehmen erneut zu kaufen und/oder dieses weiterzuempfehlen?” erhielt der Punkt “Datenschutz” insgesamt die drittbeste Bewertung, wurde aber von 43%  als “sehr starker” Faktor genannt – Spitzenwert!

Eigentlich mag ich das Wort “Kundenbindung” überhaupt nicht – aber hier zeigt sich: Kundenbindung ohne Datenschutz funktioniert langfristig nicht.