Wie verhalte ich mich aber bei unbestellten Werbe-Newslettern mehr oder weniger seriöser Anbieter, die den Weg in meinen Posteingang gefunden haben? Hier mache ich mir einen schlanken Fuß und verweise einfach auf einen aktuellen Artikel im Datenschutz-Blog inclusive Muster-Antwortschreiben. Empfehlung:  Nachmachen!

Ausdrücklich lege ich Online-Shop-Betreibern den letzten Absatz ans Herz:

Shop-Betreiber sollten sich umgehend um Auskunftsanfragen kümmern. Nicht auch, sondern vor allem um die, die per Mail eingehen. Viele deuten das als nicht ernst gemeint oder sogar als Zeichen von wenig Willen das durch zu ziehen: Falsch gedacht. Vielmehr ist es die einzige Chance, das mit möglichst wenig Aufwand und ohne größere Kosten durch zu ziehen. Wer meint, dass er das nicht braucht, der soll hinterher auch nicht jammern, wenn es dann teuer wird.

Immer daran denken: Beschwerden sind kostenlose Beratungsleistungen.

Mit gefällt vor allem, dass ich meinen Browser durch die Add-ons so gut an meine (jeweiligen) Bedürfnisse anpassen kann. Im Sicherheitsbereich verwende ich Counterpixel und NoScript (auch wenn es manchmal nervig wird); es gibt ne Menge mehr hier.

Eine sehr gute Übersicht der Firefox-Einstellungen zum Schutz der Privatspäre findet sich im FirefoxWiki. Außerdem empfehlenswert: Cookies von Drittanbietern deaktivieren, Anleitung hier.

Open Source kann funktionieren – offensichtlich.

Zum Schluß ein kleines Geburtstagsfilmchen:

Dazu zwei Anmerkungen:

Wie bei jedem Modethema, gehen auch hier recht schnell die Relationen flöten. Einerseits reagieren die Verantwortlichen auf den Umfang selbst großer Schäden herablassend, andererseits wird inzwischen jeder umgefallene Reissack als schwere Datenpanne angepriesen.
Natürlich ist jeder Zwischenfall für den Betroffenen ärgerlich, manchmal tragisch. Ob er mediale Beachtung verdient, sollte am möglichen Schaden und an der Zahl der Betroffenen festgemacht werden.

Weit mehr beschäftigt mich der persönliche Umgang mit den Pannen und Skandalen. Aus meiner Sicht wird zu viel zugeschaut, lamentiert, weitergeleitet, retweetet, kommentiert, kopfgeschüttelt – und zu wenig konsequent reagiert.

Dabei bieten gerade die bekanntgewordenen Datenschutzversäumnisse gute Möglichkeiten für persönliche Konsequenzen. Beispiele gefällig?

Datenfreigiebigkeit bei Deutsche Bank, Postbank:  Die eigene Bank um Auskunft ersuchen, wer Zugriff auf die eigenen Daten hatte. Musterbrief hier.

Einbruch in Fanshop des 1.FC Köln, Sparkassen-Shop, libri.de: Selbst genutzte Webshops fragen, was sie für die Sicherheit Ihrer Daten tun. Muster dafür hier.

Falsch versendete Kontoauszüge, Aufsichtsratsgehälter (Deutsche Bank, Stadtwerke München GmbH) usw.: Im Büro oder im Verein über cc und bcc reden. Sekretärin ins Gewissen reden und/oder angemessen bezahlen

Schlamperei bei der Bundesagentur für Arbeit: Bundestagsabgeordneten vor Ort deswegen anrufen/anmailen/besuchen. Adressen hier.

Sicherheitsleck bei Bank oder Kreditkarteninstitut (KarstadtQuelle Bank): Informationspolitik beobachten, u.U. Bank wechseln.

Und für alle, die sich mit den verschiedenen Datenschutzbehörden nicht so auskennen: Hier gibt es Hilfe.

Es ist ein gutes und befriedigendes Gefühl,  sich von negativen Nachrichten zu eigenem Handeln führen zu lassen. Ich persönlich wechsle gerade den  Provider für mein Blog und ordne meine Online-Einkaufs-Beziehungen neu. Wenig Aufwand, aber ein Gewinn für mich und vielleicht auch für andere. Machen Sie mit!

Ich habe natürlich den Service gleich genutzt, um für meine digitalen Teilidentitäten (Niemals alle Aktivitäten über ein Konto!) eine “Kontenprüfung” durchzuführen.

Google führt alle mit meinem Konto verknüpften Dienste auf und erwähnt am Ende die noch nicht integrierten Produkte mit Informationen über meine Person. Dabei werden öffentliche Daten besonders hervorgehoben. Der Zugriff auf die jeweiligen Datenschutzbestimmungen und mögliche Profilverwaltungen ist übersichtlich.

Wie fast immer (SCHUFA-Auskunft einholen, Mailprogramm durchstöbern, Rechnungen sortieren, Passwortlisten im Browser entrümpeln), bin ich auch diesmal erschrocken über die Fülle der “irgendwann” genutzten Dienste und der dort erhobenen Daten.  Als Nutzer stehe ich damit vor der Frage, wie ich mit dem neuen Wissen umgehe.

Meine Einschätzung:

• Mit dem Dashboard geht Google einen Schritt in die richtige Richtung: Transparenz zählt.
• Die Selbstverwaltung von Profildaten, aber auch von Werbeeinwilligungen, Kommunikationswünschen etc. liegt im Trend.
• Mit dem Überblick habe ich “ein stärkeres Maß” an  Selbst-Kontrolle über meine Kontodaten wiedergewonnen. Mehr oder weniger.
• Das Dashboard erinnert mich an meine eigene gelegentliche Datenfreigiebigkeit. Die Mahnung finde ich gut.
• Je mehr Dienste ich mit einem Google-Konto verknüpfe, desto besser sollte mein Passwort beschaffen sein (und beschützt werden), damit das Dashboard nicht zu einem komfortablen Werkzeug für Identitätsdiebe wird.
• Wie unkompliziert ich einzelne Dienste tatsächlich “abschalten” kann, werde ich in den nächsten Tagen mit ein paar Abmeldungen ausprobieren (und danach versuchen, mich mit derselben Mailadresse wieder anzumelden).
• Zugleich bleibt ein Unbehagen: Google ist weit größer als das, was hier dargestellt und offengelegt wird. Bei der regelmäßigen Nutzung fallen Unmengen weiterer Datenspuren an.

Oder, wie in einem Kommentar gelesen:

“Bildlich betrachtet stünde google nackig dar, wenn alle Geheimnisse um ihre Daten gelüftet würden, ich glaube sie hat noch nicht mal begonnen sich auszuziehen.”

Meine persönliche Google-Strategie hat sich dadurch nicht geändert – vielleicht ein paar Tipps auch für andere:

• Google-Konten nur im absolut notwendigen Umfang nutzen. Viele Dienste lassen sich ohne Konto nutzen (z.B. auch Alerts -wenigstens teilweise).
• Bei Bedarf mehrere Konten nutzen (z.B. dienstlich, privat, Verein, Sport, etc.). Im Zweifelsfall ein Konto = ein Dienst, z.B. bei YouTube. Nach der Nutzung wieder abmelden.
• Google-Suche nicht verwenden, während man angemeldet ist. Hier bin ich einfach skeptisch…
• Sichere Passwörter verwenden und geheimhalten!
• Google-Alternativen verwenden, so weit möglich (Piwik statt Analytics, Google Maps nicht für Routenplanung, kein Desktop, AdSense etc.).
• Regelmäßig Cookies löschen

Ich bin persönlich derzeit kein Google-Freund (siehe hier) und werde so schnell keiner werden, aber ich begrüße das Dashboard trotz aller Bedenken als brauchbares Beispiel für andere Anbieter.

Sehr geehrte Damen und Herren,

seit längerer Zeit bin ich zufriedener Kunde Ihres Online-Shops (Kundenummer xyz).

In den letzten Tagen haben mich einige Datenpannen (Libri.de, Sparkassen-Shop, Fanshop des 1. FC Köln – siehe http://projekt-datenschutz.de) aufgeschreckt, so dass ich mir Gedanken um die Sicherheit meiner Kundendaten in Ihrem Online-Shop mache. Die Ergebnisse der XAMIT-Studie “Datenschutzbarometer 2008 – Datenschutz im Internet”
(http://www.xamit-leistungen.de/downloads/XamitDatenschutzbarometer2008.pdf)
haben meine Beunruhigung verstärkt: Gerade einmal 19% der dort überprüften Webshops verwendeten aktuelle Softwareversionen.

Deshalb meine Fragen:

Welche Shop-Software setzen Sie ein? Verwenden Sie die aktuelle Version, um gegen bekannte Angriffe auf Ihre und meine Daten geschützt zu sein?

Falls Ihre Shop-Software auf PHP basiert: Welche PHP-Version verwenden Sie?

Neben der Verwendung aktueller Software: Welche weiteren Maßnahmen zum Schutz meiner Kundendaten haben Sie ergriffen?

Auf Ihre Antwort freut sich

Steffen Schröder
Berater für Datenschutz & Datensicherheit
usw.

[Update - Die Antworten]

• 05.11.2009 12.00 Uhr
  Die Anfragen gehen raus. Einige Eingangsbestätigungen flattern ein.
• 05.11.2009 16.08 Uhr tonermonster.de
  Der Geschäftsführer antwortet. Flott, aber eher allgemein a la “umfangreicher Schutz” und “größter Wert auf Sicherheit”. Shop ist Eigenentwicklung, kein PHP.
• 06.11.2009 09.58 Uhr buhl.de
  Der CTO antwortet. Detailliert, engagiert, realistisch: “Jedoch wird Ihnen und uns auch bewusst sein, dass es NIE eine 100%-ige Sicherheit geben kann. Wir versuchen jedoch möglichst dicht an diese Marke heran zu kommen.”. Shop ist Eigenentwicklung, kein PHP. Regelmäßige externe Überprüfung.
• 06.11.2009 14:39 Uhr staples.de
  Der Kundendienst antwortet. Ich solle mir zunächst die AGB und auf der Webseite die Punkte “Datenschutz und Datensicherheit” durchlesen, “Hierin finden Sie schon eingie Informationen zumThema Datensicherheit”. Shop benutzt kein PHP.
  Die Seiten habe ich mir angeschaut: Allgemeine Aussagen. Wenn es konkret wird, dann eher erschreckend: “Software-Firewall” oder “Das System befindet sich vorwiegend in den Vereinigten Staaten” . Wenigstens “Safe harbor”.
• 06.11.2009 16:21 Uhr office-discount.de
  Der Kundenservice antwortet. Geheimniskrämerei: “Bitte haben Sie Verständnis dafür, dass wir Ihnen zu Ihrer Anfrage keine detaillierten Angaben machen möchten.” Hinweis auf die Webseite, dort aber nichts zum Thema.
• 09.11.2009 11:43 Uhr webmiles.de (Ja, auch Datenschützer nutzen Bonusprogramme. Immer seltener)
  Das Service-Team antwortet. Geheimniskrämerei: “aktuellsten Versionen”, “regelmässige Sicherheitschecks”, “keine Sicherheitsprobleme”, “geeignete Betriebskonzepte”.”Welche Versionen und welche Software wir im einzelnen einsetzen, können wir Ihnen nicht mitteilen,da diese Auskünfte unserem Sicherheitskonzept widersprechen.” Da bin ich aber beruhigt   Nicht mal ein Verweis auf die etwas aussagefreudigere Webseite zum Thema.
• 11.11.2009 11:27 Uhr hrs.de
  Das IT Helpdesk antwortet. Ähnlich schwammig: Kein Shopsystem, sondern selbst entwickelte Software, basierend auf “gängigen Internettechniken”. Die “passende Serversoftware” sei auf dem “neuesten Stand”. Etwas konkreter, aber nicht überraschend: Daneben werden IDS, IPS & Firewalls in entsprechender Stückzahl eingesetzt. Die SSL-Verschlüsselung für den Übertragungsweg wird nur auf der Webseite erwähnt.

Xamit hat sich vor der Wahl einen guten Namen durch die Studie “Parteien und Datenschutz – Datenschutzpraxis deutscher Parteien und parteinaher Organisationen” (pdf) gemacht. Aufschlussreich ist auch das “Datenschutzbaromter 2008 – Datenschutz im Internet” (pdf), bereits Ende 2008 veröffentlicht und inzwischen aktualisiert. An den Zahlen wird sich wenig geändert haben.

Mehr als 26.000 deutsche Webpräsenzen wurden untersucht, darunter knapp 10.000 mit installiertem PHP. Davon hatten nur 29% die damals aktuelle Version installiert.

162 Webshops mit Standardshopsoftware konnten erkannt werden. Was schätzen Sie, wie viele dieser Shops a) eine aktuelle PHP-Version und b) die aktuelle Version ihrer Standard-Shopsoftware im Einsatz hatten?

Es waren ganze 19 (neunzehn) Prozent.

Klartext: 81% der entdeckten Online-Shops mit Standard-Shopsoftware auf PHP-Basis waren zum Zeitpunkt der Untersuchung anfällig für bereits bekannte Angriffe von außen. Die Kundendaten waren potentiell in Gefahr.

Wer sich nicht nur aufregen, sondern handeln will: Bei selbst regelmäßig genutzten Webshops nachschauen oder nachfragen, ob und wie die eigenen Daten geschützt sind. Höflich, formlos, bestimmt.[Update 05.11.2009 Habe ich heute bei 10 "meiner" Shops gemacht. Siehe nächster Artikel] Für ein umfassenderes Bild könnte sich auch das Verfahrensverzeichnis nach § 4e Bundesdatenschutzgesetz (BDSG) nützlich machen, aber die Wahrscheinlichkeit ist gering, in der Praxis auf ein gut erhaltenes und aussagefähiges Exemplar dieser seltenen Spezies zu stossen.

Kann man natürlich alles auch ohne Fragen herausbekommen, aber das sprengt den Rahmen des Artikels

Ist es auch nicht. Netzpolitik schreibt selbst etwas zum Thema “Wie geht man mit Sicherheitslücken um?”. Als Datenschützer ergänze ich flink die zuständigen Datenschutzaufsichtsbehörden und gebe noch ein paar Hinweise.

Wer diesen Artikel liest, kennt Blogs. Wichtige Datenschutzblogs finden sich in meiner Blogroll. Für die einfache Publizierung einer Datenpanne empfehle ich zusätzlich den Eintrag beim “Projekt Datenschutz“.

Wird bei Datenpannen oder Beschwerden gern übersehen: Für Klärungen und Fragen kann man sich direkt an den entsprechenden betrieblichen Datenschutzbeauftragten der betroffenen Unternehmen wenden: Sie müssen von außen problemlos erreichbar sein (telefonisch verbinden lassen) und sind nach dem Bundesdatenschutzgesetz zur Verschwiegenheit über die Identität des Betroffenen verpflichtet. Aus dem BDSG §4f:

4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
[...]
(5) [...] Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.

Aber jetzt zu den Aufsichtsbehörden – Kontaktinformationen jeweils verlinkt:

Zuerst sollte man wissen, daß in einigen Bundesländern die Datenschutzaufsicht für den “öffentlichen Bereich” (vereinfacht: Behörden) und für den “nicht-öffentlichen Bereich”(Unternehmen, Vereine, Verbände, Parteien) getrennt sind.

Wer von dort eine schnelle Antwort will, sollte telefonisch Kontakt aufnehmen. Hängt einfach mit der chronischen Unterbesetzung der meisten Aufsichtsbehörden zusammen

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist zuständig für “öffentliche Stellen des Bundes” sowie für die “nicht-öffentlichen” Unternehmen im Bereich Telekommunikation und Postdienst.  Dazu kommen die Unternehmen, die unter das Sicherheitsüberprüfungsgesetz fallen.

Die Landesdatenschutzbeauftragten der Bundesländer sind zuständige Ansprechpartner, wenn es um den Datenschutz im Bereich der Verwaltungen der Länder und der Gemeinden geht.

Die Aufsichtsbehörden für den so genannten “nicht-öffentlichen Bereich” in den einzelnen Bundesländern sind zuständig, wenn es um Datenschutzbelange im privaten Wirtschaftsbereich geht. Ausnahme: Telekommunikations- und Postdienstunternehmen -die beim BfDI – siehe oben.

Es gibt noch ein paar weitere Sonderfälle: Im Bereich des öffentlich-rechtlichen Rundfunks können Anfragen und Beschwerden an den Rundfunkdatenschutzbeauftragten der jeweiligen Senderanstalt gerichtet werden. Ausnahmen: In den Ländern Berlin, Brandenburg, Bremen und Hessen sind für den Datenschutz im Verwaltungsbereich die jeweiligen Landesdatenschutzbeauftragten zuständig.

Zu guter Letzt haben die Kirchen eigene Datenschutzgesetze und enstsprechende Aufsichtsgremien.

Bei Problemen mit ausländischen Unternehmen sind die deutschen Aufsichtsbehörden je nach Einzelfall vielleicht nicht zuständig, helfen aber weiter.

Wem das alles zu kompliziert wird, der schreibt mir einfach eine Mail oder einen Kommentar zu diesem Artikel

Seltsam: Im Durchschnitt angeblich nur 10% richtige Antworten. Bei aller deprimierenden Praxiserfahrung aus dem Datenschutzalltag: Das scheint mir zu wenig.

Die Anschriften fehlen (noch) im Blog:

Deutsche Postbank AG
Friedrich-Ebert-Allee 114 – 126
53113 Bonn

Deutsche Postbank AG
Zentraler Datenschutzbeauftragter
Postfach 40 00
53105 Bonn

1. Irrtum: Gegen ausländische Anbieter kann man in Deutschland ohnehin nicht vorgehen.[...]

2. Irrtum: Wer weiß, ob die jeweilige Datennutzung nicht nach dem Recht des jeweiligen Anbieter zulässig ist.[...]

3. Irrtum: Wer seine Bilder selbst im Internet veröffentlicht, kann danach nicht mehr gegen weitergehende Veröffentlichungen vorgehen.[...]

4. Irrtum: Die Personensuchmaschine kann für die blosse Weiterverbreitung der Ergebnisse anderer Suchmaschinen nicht verantwortlich gemacht werden.[...]

5.Irrtum: Für „Embedded Links“ ist der Plattformbetreiber nicht verantwortlich.
(Anmerkung: Hier teile ich die Ansicht des Verfassers, dass es sich das LG Köln hier zu einfach gemacht hat) [...]

Aus dem Fazit: Auch wenn man über manches in dem Urteil diskutieren kann, so halte ich es für sinnvoll, dem Wildwuchs der sich gerade bei derartigen Plattformen im Umgang mit personenbezogenen Daten entwickelt hat, Einhalt zu gebieten. Jede natürliche Person muss das Recht haben, der Veröffentlichung der eigenen Daten auf diesen Plattformen zu widersprechen bzw. dagegen vorzugehen.

Meine letzten Selbstversuche mit Personensuchmaschinen waren schon etwas länger her, dehalb bin ich beim Blick auf die aktuellen Ergebnisse bei  7 Personensuchmaschinen im Web erschrocken. Handlungsbedarf!

[Update 31.10.2009: Zwei weitere Artikel dazu im Datenschutz-Blog und im Law-Blog]

Während der Arbeit mit Photoshop /Aperture /Camera RAW /Lightroom werden in jedem Bild mehr oder weniger interessante Informationen gespeichert. Neben reinen Bildinformationen noch die üblichen EXIF, IPTC oder andere vom User gewünschte Metadaten. Es lassen sich unter Umständen aber noch weitere Daten finden: Erstellungs- oder Änderungsdatum und entsprechende Uhrzeiten, Dateipfade, aufgerufene Funktionen, aktivierte und deaktivierte Layer, benutzte Filter, verwendete Kamera, Objektive und dergleichen mehr – je nach Einstellung. Was für die eigene Arbeit noch hilfreich ist, gestattet aber auch anderen Personen Einblick in die eigene Arbeitsweise oder ermöglicht Rückschlüsse zur aufgewendeten Arbeitszeit oder verwendeten Technik.

Datendiebstahl bei SchülerVZ: Vorbeugung statt nur Empörung

Schülerdaten gelangen erneut ins Visier von Datendieben. Aus diesem Anlass weist der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. auf Defizite bei der Medienerziehung hin.

„So sinnvoll und hilfreich das Web 2.0 auch ist, es birgt etliche Gefahren, deren sich unsere Kinder nicht mal ansatzweise bewusst sind. Leider sind auch Eltern und Lehrer damit sehr häufig überfordert.“, meint Thomas Floß, Leiter des Arbeitskreises „Datenschutz geht zur Schule“ beim BvD.

Seit Ende 2008 gibt es diese Initiative des BvD, in der mittlerweile knapp 20 Datenschutzberater aus dem ganzen Bundesgebiet mitarbeiten. Erstes Arbeitsergebnis ist ein Unterrichtskonzept für die Sekundarstufe I. Themen wie SchülerVZ und StudiVZ, Video- und Musikdownloads, Gefahren in Chatrooms etc. stehen hier im Mittelpunkt.

Das neue Konzept soll nach den Herbstferien in NRW, Bayern und Baden-Württemberg in eine erste vierteljährliche Probephase gehen. Danach werden die BvD-Datenschutzexperten ehrenamtlich an den Schulen unterrichten und dabei klare und einfache Verhaltensregeln aufzeigen, um die Schüler, sowie auf Wunsch auch die Eltern und die Lehrer, bezüglich dieser Gefahren deutlich sensibilisieren.

„Die Daten unserer Kinder sind inzwischen ein unschätzbares Wirtschaftsgut. Das zeigt erneut der aktuelle Datendiebstahl bei SchülerVZ.“, so Thomas Floß weiter. „Natürlich müssen auch die Plattformanbieter ihren Beitrag zu mehr Sicherheit leisten. Aber das Hauptproblem liegt unserer Meinung nach im leichtfertigen Umgang mit den eigenen Daten. Hier setzen unsere Sensibilisierungsveranstaltungen an.“

Für Rückfragen von interessierten Schulen und Elternvertretern steht Thomas Floß unter der E-Mailadresse thomas.floss@bvdnet.de zur Verfügung.