Datenschutzalltag

Einen aktuellen und laienverständlichen Überblick zum Stand der Dinge beim Thema “Filesharing” gibt Michael Rahe in seinem beobachtenswerten Blog unter dem Titel “Filesharing: Warten auf Godot“. Im Gegensatz zu Godot glaube ich vom BGH zu wissen, dass es existiert und irgendwann in Erscheinung treten wird

Einige Fixpunkte für Lesefaule:

• Angebot zum Download? Strafbar!
• Download? Strafbar, aber schwer nachweisbar
• Betreiben einer Plattform? Eigentlich legal, aber internationaler Gegenwind
• Praxis: Anschlussinhaber der Rechtsbrecher haftet als Störer, wenn er den Zugang nicht absichert
• Reichweite der Störerhaftung umstritten (…BGH)
• “Gewerbliches Ausmaß” umstritten (…BGH)
• Digitale Privatkopie bleibt erlaubt
• Koalitionsvertrag und EU-Telekom-Paket beachten

Manchmal treffen zufällig zwei Ereignisse aufeinander und beleuchten dadurch ein bekanntes Thema in einem neuen Licht. Ich habe in den letzten Tagen Anlass gehabt, über das Verhältnis von Marketing und Datenschutz nachzudenken.

Marketing entdeckt Datenschutz

Vor einer Woche überraschten mich die Ergebnisse einer lesenswerten Studie von Client Vela und TU München. Siehe dazu hier im Blog:

Auf die Frage „Wie beeinflussen die folgenden Faktoren Ihre Absicht, bei einem Unternehmen erneut zu kaufen und/oder dieses weiterzuempfehlen?“ erhielt der Punkt „Datenschutz“ insgesamt die drittbeste Bewertung, wurde aber von 43%  als „sehr starker“ Faktor genannt – Spitzenwert!

Datenschutz rangierte damit hinter dem Preis und der Mitarbeiterkompetenz, aber vor Serviceleistungen, den Kernleistungen des Produktes und sieben weiteren Faktoren.
Continue reading ‘Marketing und Datenschutz: Eine Hassliebe’ »

Mnementh verdeutlicht in seinem Blog den Zusammenhang zwischen den aktuellen Datenpannen und Programmierern, die “man­geln­den tech­ni­schen Sach­ver­stand und man­geln­de Vor­aus­sicht im Um­gang mit per­sön­li­chen Daten” haben, weil sie das oft nicht haben müssen.

Nicht jeder darf einen Bus mit Fahr­gäs­ten fah­ren, Spren­gun­gen durch­füh­ren oder an an­ste­cken­den Vi­ren­stäm­men for­schen. Aber jeder darf ein Sho­psys­tem für Tau­sen­de von Nut­zern schrei­ben und be­trei­ben.

Soll­te es nicht einen staat­lich ge­prüf­ten Da­ten­schutz­pro­gram­mie­rer geben, der die Ent­wick­lung einer ent­spre­chen­den Soft­ware über­wacht oder zu­min­dest bei der End­ab­nah­me der Soft­ware be­tei­ligt ist und mit sei­nem Namen für den Be­trieb bürgt?

Irgendwie in diese Richtung marschiert die neue Bundesregierung; hier im Blog zu Aussagen im Koalitionsvertrag: Continue reading ‘Für Datenschutz qualifizierte Programmierer?’ »

…  Louis D. Brandeis, Samuel D. Warren, Postgeheimnis, Fernmeldegeheinnis,  BDSG, BfDI, OECD, Electronic Communications Privacy Act, Employee Polygraph Protection Act, Peter Swire, Nuala O’Connor Kelly, “National Do Not Call Registry”, Genetic Information Nondiscrimination Act.

Was haben alle diese Dinge gemeinsam?

Sie werden in der sehenswerten Fotoserie zum Artikel “Wie retten wir die Privatsphäre?” von Lew McCreary” als “Hüter des Datenschutzes” in den letzten 12.000 Jahren dargestellt.

Gefällt mir – trotz amerikanischer Brille – sehr gut und verdeutlicht einmal mehr, daß “Datenschutz” keine Erfindung unserer Zeit ist.

Anschauen (Hier) – Lesen – Nachdenken – und beim letzten Foto  an die notwendige Weiterentwicklung der Datenschutzgesetzgebung in Deutschland erinnert werden.

Gewichtige Worte darf man eigentlich immer von Datenschutz-Mitentdecker Spiros Simitis erwarten, so auch heute bei der Feier zum 30. Geburtstag der Institution des Berliner Datenschutzbeauftragten.

Apropos Feier und Berliner Datenschutzbeauftragte (Glückwunsch an Alexander Dix und seine Mitstreiter): Nein, das Millionen-Bahn-Bußgeld wurde nicht verjubelt. Bin gespannt, bei wem die bedeutende Summe landet!?

Spiros Simitis jedenfalls wurde seinem Ruf gerecht, ebenso wie die anderen Redner. Einen guten Überblick über die Seelenlage der Datenschutz-Vordenker der ersten Generation gibt der Bericht bei heise.

Oft zitierter Höhepunkte auch aus meiner Sicht ist der Simitis-Ausspruch:

“Demokratie zeichnet sich durch Informationsverzicht aus”.

Das  hört man aus seinem Mund nicht zum ersten mal, aber in der allgegenwärtigen, schwarz-gelb verursachten Erwartungshaltung hört man vielleicht neu hin und bewertet die Chancen einer Umsetzung.

Mir kam dazu ein Gedanke aus dem Datenschutzalltag. Naheliegend ist es, den Ruf nach Informationsverzicht allein an die Exekutive zu adressieren. Aber ich predige (BDSG nennt es weniger poetisch “hinwirken auf ” und “bekanntmachen mit”) in meinen Schulungen immer wieder: “Lassen Sie sich nicht in Versuchung führen!”
Continue reading ‘Simitis: Datenschutz, Demokratie und Informationsverzicht’ »

Extra3 erklärt uns in knapp 3 Minuten alles über das Abhören und löst nebenbei (zu spät) das Rätsel um die Massenvernichtungswaffen im Irak: Gute Unterhaltung!
Diese Information erreicht mich über Twitter an dem Tag, an dem über 20.000 Anfragen zur Vorratsdatenspeicherung berichtet wird. Indirektes Abhören sozusagen…

Dank an @aktionfsa.

Als in der heißen Startphase der Koalitionsverhandlungen erst einmal die Kanonen in Stellung gebracht wurden, habe ich am 6.10. in diesem Blog auf Gemeinsamkeiten der Wahlprogramme beim Datenschutz hingewiesen und dabei die Themen Rechtsvereinfachung, Datenschutzkontrolle und Datenschutzbewusstsein genannt. Ein Blick in den vorliegenden Koalitionsvertrag zeigt, dass ich mit allen drei Prognosen richtig lag

Rechtsvereinfachung: “Hierzu werden wir das Bundesdatenschutzgesetz unter Berücksichtigung der europäischen Rechtsentwicklung lesbarer und verständlicher machen sowie zukunftsfest und technikneutral ausgestalten.” In diesem Zusammenhang hat sich auch meine Vermutung bestätigt, dass es kein separates Arbeitnehmerdatenschutzgesetz geben wird: “Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.”
Die Aussagen versprechen nichts weniger als den großen Wurf: eine komplette Überarbeitung des Bundesdatenschutzgesetzes in Richtung eines Datenschutzgesetzbuches. Mutig, mutig – und überfällig. Hier sollte die Koalition nicht zu spät starten – der Weg wird lang genug. Nach der neuen Regierungs-Gemengelage dürfte ein Entwurf dazu eher aus dem Justizministerium als aus dem Innenministerium zu erwarten sein.
Schade, dass seit dem Gutachten von Roßnagel, Pfitzmann und Garstka (“Modernisierung des Datenschutzrechts”) schon wieder 8 Jahre vergangen sind.

Datenschutzkontrolle: Der Koalitionsvertrag verspricht: “Wir werden beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die personelle und sächliche Ausstattung verbessern. Die Unabhängigkeit
der Datenschutzaufsicht steht für uns dabei im Mittelpunkt.” Die Bundesregierung kann selbst nur für den BfDI reden (und hoffentlich auch handeln) – dennoch ist das ein Signal auch an die Landesfürsten. Hier können schnell Ergebnisse erzielt werden.
Ein dicker Wermutstropfen ist der fehlende Bezug zur Stärkung der betrieblichen und behördlichen Datenschutzbeauftragten, wie auch Jens Ferner seufzend feststellt:

[...] anmerken möchte ich aber, dass es schade ist, dass man erneut die Gelegenheit verschlafen wird, die Position “Datenschutzbeauftragter” allgemeinverbindlich zu normieren bzw. ein Gütesiegel zu schaffen – evt. wird die genannte Stiftung diese Lücke mal ausfüllen, doch wird das sicherlich Zeit kosten.

Aussagen zum Datenschutzbewusstsein finden sich gleich an mehreren Stellen, so soll die “Stiftung Datenschutz” die “Bildung im Bereich des Datenschutzes” stärken und “den Selbstdatenschutz durch Aufklärung verbessern”. Damit dürfte auch klar sein, wer aus Sicht der Bundesregierung folgende Aufgabe übernimmt: “Wir wollen deshalb die Sensibilität und Selbstverantwortung der Bürgerinnen und Bürger für ihre eigenen Daten stärken.” Eine “Stiftung Datenschutz” macht Sinn, wenn sie nicht nur Stempelchen für Internetseiten verteilt, dazu in Kürze mehr auf diesem Blog.

Gleichlautend sind einige Aussagen im Abschnitt “Informations- und Mediengesellschaft” des Koalitionsvertrages: “Wir werden dabei insbesondere unser Augenmerk auf Aufklärung legen. Die Sensibilität für den Schutz der eigenen Daten muss gestärkt, der Selbstdatenschutz erleichtert werden, um Datenmissbrauch vorzubeugen. Wir werden deshalb prüfen, wie durch die Anpassung des Datenschutzrechts der Schutz personenbezogener Daten im Internet verbessert werden kann, erwarten dabei aber auch von jedem Einzelnen einen verantwortungsvollen Umgang mit seinen persönlichen Daten im Internet.” Dabei gefällt mir besonders die Aussage, dass der Selbstdatenschutz nicht nur “gestärkt”, sondern “erleichtert” werden soll. Das bedeutet in der Praxis zum Beispiel ein Umdenken bei Programm- und Leistungsanbietern in Richtung datenschutzfreundlicher Produkte und Dienstleistungen (Stichworte Datensparsamkeit, Pseudo- und Anonymisierung); aber auch allgemein mehr Transparenz, ohne die keine – ebenfalls verstärkt geforderten – informierten und freiwilligen Einwilligungen möglich sind.
Deutlich wird hierbei: Datenbesitzer und Datenverarbeiter, verantwortliche Stelle und Betroffener – beide Seiten müssen ihren Beitrag leisten.

Reflexartig wiederhole ich meine Ansicht, dass ein wesentlicher Beitrag für ein stärkeres Datenschutzbewusstsein von den betrieblichen und behördlichen Datenschutzbeauftragten vor Ort geleistet werden kann (sofern sie dazu in der Lage sind bzw. in die Lage versetzt werden).

Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: “Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.” Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.

Fazit: Insgesamt finden sich einige Lichtblicke für den Datenschutzalltag. Halten wir als Datenschutzpraktiker und datenschutzsensibilisierte Netzgemeinde die Augen offen, aber nutzen wir auch die Ansatzpunkte für eine konstruktive Zusammenarbeit.

Eine Pressemitteilung des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V.:

Nach Aussagen des Berliner Beauftragten für Datenschutz und Informationssicherheit will die Deutsche Bahn zukünftig eine Modellfunktion in Sachen Datenschutz übernehmen. Diese Entscheidung wird vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. ausdrücklich unterstützt.

Während die Deutsche Bahn als Quittung für mangelhaften Kundendatenschutz 2007 den BigBrotherAward kassierte und der rechtwidrige Umgang mit Mitarbeiterdaten 2009 zu einem Bußgeld von 1,1 Mio Euro führte, hat der neue Unternehmensvorstand nun den Datenschutz zu einer seiner obersten Prioritäten erklärt und sich hohe Ziele gesetzt: Man will „nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion übernehmen.“

Der BvD begrüßt, dass in immer mehr Großunternehmen eine Neubewertung des Datenschutzes stattfindet: Lange Zeit als bürokratisches Hemmnis und Kostenfaktor abgetan, wird zunehmend seine tragende Rolle beim Aufbau und Erhalt einer Vertrauensbeziehung zu Kunden und Mitarbeitern wahrgenommen.

Ausdrücklich würdigt der BvD die angekündigte Stärkung des Konzerndatenschutzbeauftragten. Der betriebliche Datenschutzbeauftragte stellt die gesetzlich normierte, innerbetriebliche Kontrollinstanz dar. Eine enge Anbindung von qualifizierten und zuverlässigen betrieblichen Datenschutzbeauftragten an die Informationsflüsse des Unternehmens und seine Entscheidungsträger ist ein entscheidender Beitrag für eine rechtskonforme, effiziente Datenverarbeitung und hilft bei der Vermeidung imageschädigender Datenschutzpannen und –skandale.

Der BvD appelliert an große und kleine Unternehmen, aus den Ereignissen rund um die Deutsche Bahn zu lernen und auf die richtige Einbindung ihrer Datenschutzbeauftragten zu setzen. Eine bloße Bestellung reicht nicht aus. Mit dem im September verabschiedeten „Beruflichen Leitbild des Datenschutzbeauftragten“ gibt der BvD Unternehmen und Datenschutzbeauftragten gleichermaßen eine Orientierung.

Dank an Rolf Grießhammer für den Hinweis auf den interessanten 43min-ARD-Podcast “Die Macht des Internets”. Kann hier angesehen und auch heruntergeladen werden. Nichs Neues für den Nerd, aber ein netter Überblick für nicht so internet-affine Zeitgenossen. Erwähnt in diesem Blog, weil auch auf verschiedene Gefahren aus dem Netz eingegangen wird – Stichwort Datenmissbrauch und insbsondere Google.

Inhaltsüberblick (Dank an Rolf Grießhammer):

Wie ist das Internet entstanden?
Welche Rolle spielte das Internet im Wahlkampf von Barack Obama?
Die Piratenpartei und Onlinepetitionen: das Internet als politisches Machtinstrument
Die Bedeutung des Internets im Iran
Das Rätsel der 6 Ecken
Die Gefahr des Datenmissbrauchs
Cloud Computing im Studium
Suchmaschinen: Google & Co – wie funktionieren sie eigentlich?
Das Google-Monopol
Google Street View und der Datenschutz
Freiheit und Kontrolle im Netz

[Update 26.10.2009]Koalitionsvertrag liegt vor – Anmerkungen von mir hier.

Stefan Krempl heute Mittag auf heise u.a. erste Details aus dem “heise vorliegenden Entwurf” des Koaltionsvertrages vorgestellt.

Einem “modernen Datenschutz” kommt laut Vereinbarung in der Informationsgesellschaft eine “besondere Bedeutung” zu. Schwarz-Gelb strebt daher an, die “Grundsätze der Verhältnismäßigkeit, der Datensicherheit und -sparsamkeit, der Zweckbindung und der Transparenz” im öffentlichen und privaten Bereich stärker zur Geltung zu bringen. Dazu soll das Bundesdatenschutzgesetz “lesbarer und verständlicher” gemacht sowie “zukunftsfest und technikneutral” ausgestaltet werden. Ziel der Reform müsse es etwa sein, “verbesserte Rahmenbedingungen für informierte und freie Einwilligungen zu schaffen”. Zuvor hatte Schwarz-Rot im Sommer eine halbgare Verankerung des Opt-in-Prinzips bei der Weitergabe persönlicher Daten für Werbezwecke verabschiedet.

Weiter wollen die Koalitionäre eine “Stiftung Datenschutz” errichten, die Produkte und Dienstleistungen auf Datenschutzfreundlichkeit prüfen und Aufklärung betreiben soll. Auch ein Datenschutzaudit samt Gütesiegel soll es geben, an dessen Entwicklung zuletzt die große Koalition gescheitert war. Einsetzen will sich Schwarz-Gelb zudem für eine Verbesserung des Arbeitnehmerdatenschutzes. Bei einem möglichen EU-Beschluss zur Verwendung von Fluggastdaten innerhalb der Gemeinschaft soll ein “höheres Datenschutzniveau” angestrebt werden als beim Abkommen zum Transfer von Passenger Name Records (PNR) an die USA. Auch bei den Verhandlungen zum Austausch von Finanzdaten des SWIFT-Netzwerks wollen die Koalitionäre auf Regeln wie eine strikte Zweckbindung, Löschungsfristen und einen effektiven Rechtsschutz bestehen.

Eine Stellungnahme von mir erst zum vorliegenden Vertrag. [Update: Siehe hier]