TrueCrypt: Keine Backdoor, nur Bugs

Donnerstag, 17. April 2014, 14:07 Uhr

Wie auf heise.de berichtet, wurde die erste Phase der Überprüfung des Quellcodes von TrueCrypt nunmehr beendet. Die Überprüfung habe ergeben, dass der Code keine vorsätzlich eingebauten Hintertüren enthält, allerdings nicht den gängigen Standards zur Programmierung sicherheitsrelevanter Software genüge.

TrueCrypt, was ist das?

TrueCrypt ist eine Software zur Verschlüsselung von Festplatten und Wechseldatenträgern. Es bietet die Algorithmen AES, Twofish und Serpent, welche nicht nur separat, sondern auch miteinander verbunden verwendet werden können.

Was wurde überprüft?

Die erste Phase der Überprüfung durch das gemeinnützige Open Crypto Audit Project (OCAP) befasste sich mit verschiedenen Themen, es wurde u.a. der Quellcode der letzten freigegebenen TrueCrypt-Version 7.1a analysiert sowie Tests am Windows-Bootloader und des Windows-Kerneltreibers durchgeführt. Ziel war u.a. die Prüfung des Programms auf etwaig eingebaute Hintertüren und sicherheitsrelevante Fehler im Allgemeinen. Im Rahmen des Audits wurden sowohl die erhältlichen Binärdateien als auch selbst kompilierte getestet.

Dem Bericht der beiden Prüfer zufolge zeigten sich elf Sicherheitslücken, von denen vier als mittelschwer, vier als geringfügig und drei als eher theoretisch eingestuft wurden. Der Code enthalte aber keine vorsätzlich eingebaute Hintertür.

Der TrueCrypt-Quellcode wurde insoweit kritisiert, dass er schlecht kommentiert sei, unsichere und überholte Funktionen sowie inkonsistente Datentypen wie Variablen verwende. Weiterhin wurde kritisiert, dass veraltete Werkzeuge zum Kompilieren der Windows-Version eingesetzt würden.

Als gravierendste Sicherheitslücke wurde die Verschlüsselung der Volume Header gesehen, welche die Password-Based Key Derivation Function 2 (PBKDF2-Funktion) verwendet, um aus dem Passwort für das Volume den Schlüssel für die verschlüsselten Daten abzuleiten. TrueCrypt nutze hierzu allerdings, je nach Anwendungsgebiet, nur 1000 oder 2000 Durchgänge, was die Verschlüsselung anfälliger für Brute-Force-Angriffe mache.

Welche Risiken bestehen?

Die gefundenen Programmfehler, sog. Bugs, seien laut den Prüfern zwar nicht kritisch, ermöglichten aber ggf. die Entschlüsselung von Daten. Durch die Schwächen bei der Generierung des Schlüssels für die Daten seien selbst mittelmäßig komplexe Passwörter nicht sicher und erlaubten es einem Angreifer, unter Umständen das verschlüsselte Volume zu knacken.

Was wird in der zweiten Phase geprüft?

Gegenstand der zweiten Phase der Prüfung soll speziell die Kryptografie von TrueCrypt sein.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Facebook kennt bald auch Deine Finanzen

Mittwoch, 16. April 2014, 18:14 Uhr

Kann man demnächst statt per Lastschrift oder Kreditkarte auch per Facebook bezahlen? Gibt es sogar bald eine Facebook-Währung? Das weltweit größte soziale Netzwerk hat bei der irischen Zentralbank eine Zulassung als Finanzdienstleister beantragt. Als “e-money institution” könnte es seinen Nutzern ermöglichen, über den Rechner zu Hause oder mit mobilen Geräten Geld zu überweisen, und zwar nicht in Dollar oder Euro, sondern als E-Geld. Facebook würde auf breiter Front angreifen, denn die Dienstleistung umfasst den Geldtransfer in Konkurrenz etwa zu Western Union und Bezahldienste wie PayPal.

„Versuch in sehr kleinem Maßstab“

Die Prüfung soll zwar schon in den kommenden Wochen abgeschlossen werden, aber zunächst will man den Ball flach halten: “Wir arbeiten an einem Versuch in sehr kleinem Maßstab“, sagte ein Unternehmenssprecher laut Süddeutscher Zeitung. Ansonsten lässt Facebook wenig nach außen dringen.

Für die Zurückhaltung gibt es einen guten Grund: Die virtuelle Währung Facebook Credits war nicht erfolgreich und wurde im vergangenen Jahr eingestellt, und das Mobile-Commerce-Angebot Facebooks Gifts ist bei Verbrauchern bisher nur auf wenig Resonanz gestoßen”, zitiert CNET eine Expertin.

Besonders in Märkten wie Indien, wo Facebook vergangene Woche die Grenze von 100 Millionen Anwendern geknackt hat, soll der Bezahldienst dennoch eine große Rolle spielen. Das gilt auch für andere Schwellenländer, in denen Bankenwesen und Zahlungssysteme noch nicht so etabliert sind wie in Europa und den USA. Dort sind Zahlungen im Rahmen von Apps übrigens bei Facebook schon üblich. Im vergangenen Jahr wurden so über 2 Milliarden Dollar für Spiele umgesetzt.

Der Guardian meldet, dass das soziale Netzwerk an diesem Umsatz mit 30 Prozent beteiligt ist. Auch über die Spiele hinaus könnte es Marktplatz für Online-Shops werden und E-Commerce-Aktivitäten befeuern, an denen es wie Paypal oder eine klassische Kreditkartenfirma beim Zahlungseinsatz verdient.

Knackpunkt Datensicherheit

In Zeiten der Bankenkrise hat zwar das Image altehrwürdiger Geldhäuser gelitten. Aber würde man einem sozialen Netzwerk zutrauen, Überweisungen zuverlässig und seriös auszuführen? CNET verweist auf eine Studie, wonach das nötige Vertrauen unter den Verbrauchern noch nicht besteht.

Zumindest müsste Facebook bei den Sicherheitsmaßnahmen nachlegen. Es arbeitet z.B. mit OpenSSL, sodass es von der Sicherheitslücke „Heartbleed“ betroffen ist  – wie auf der Website mashable.com nachzulesen ist – und Kontodaten nach heutigem Stand ohne weiteres abfließen könnten.

Knackpunkt Datenschutz

Wenn Kontodaten abhandenkommen und sich der Kreis der Betroffenen nicht genau eingrenzen lässt, muss nach § 42a Bundesdatenschutzgesetz auf den Vorgang und seine möglichen Folgen in zwei bundesweit erscheinenden Tageszeitungen hingewiesen werden, in Anzeigen von mindestens einer halbe Seite. Ob sich Facebook an solche Vorgaben halten würde, steht auf einem anderen Blatt.

Eine andere wichtige Forderung des Datenschutzes wäre die strikte Trennung der Zahlungsdaten von den übrigen Daten im Facebook-Profil der Nutzer. Aber ist es nicht zu verlockend, deren Zahlungsverhalten zu analysieren, etwa um den Zusammenhang zwischen Werbung und Kaufabschlüssen zu ermitteln („Conversion Tracking“)?

Im Ergebnis würde eine weitere Schranke fallen: Hatte das soziale Netzwerk schon bislang Zutritt zum „Wohnzimmer“ seiner Nutzer, wo sie sich mit Freunden über ihre Vorlieben austauschten, wird es künftig wohl auch einen Blick ins Portemonnaie seiner Nutzer werfen.

Wen das als Facebook-Nutzer kalt lässt, dem sei mit auf den Weg gegeben, dass die technischen Voraussetzungen für den Bezahldienst in nicht allzu ferner Zukunft dafür eingesetzt werden könnten, die Nutzer für alle möglichen Inhalte oder Angebote zur Kasse zu bitten oder sogar einen Mitgliedsbeitrag zu erheben.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Arbeitsgericht Stuttgart: Aushebelung des Datenschutzes für Schwerbehinderte?

Dienstag, 15. April 2014, 16:07 Uhr

Heute Morgen bin ich über einen aktuellen Bericht auf heise online gestolpert dessen Überschrift mich ins Grübeln brachte. Heise titelte: „Keine Entschädigung bei verschwiegener Schwerbehinderung“ und löste damit eine kontroverse Diskussion innerhalb der Leserschaft im Kommentarbereich aus.

Offene Fragen

Mir als Jurist und passioniertem Datenschützer gingen bei dieser Überschrift gleich mehrere Gedanken durch den Kopf:

  • Haben wir nicht einmal gelernt, dass die generelle Frage nach einer Schwerbehinderung durch den Arbeitgeber regelmäßig eine unzulässige Frage ist?
  • Steht es nicht grundsätzlich jedem frei, seinen Gesundheitszustand offen zu legen?
  • Wie kann ein Gericht eine Informationspflicht scheinbar hintenherum einführen, die es doch gerade nicht gibt, und einem Betroffenen einen Rechtsanspruch unter Hinweis auf ein rechtlich korrektes Verhalten verwehren?
  • Ist letzteres, wie der Titel suggeriert, in diesem Fall überhaupt geschehen?
  • Muss jetzt jeder Schwerbehinderte schon in seinen Bewerbungsunterlagen seine Schwerbehinderung angeben?

Wie diversen Kommentaren auf heise online zu entnehmen ist, stellten sich viele Leser die gleichen Fragen. Dieses Urteil verlangt, insbesondere da die Schwerbehinderung als sog. besonderes personenbezogenes Datum i.S.d. § 3 Abs. 9 BDSG gilt, nach einer Auseinandersetzung und möglicherweise auch Klarstellung.

Der Fall

Um die Diskussion nachvollziehen zu können, lohnt es sich, sich zunächst mit dem Urteil des Arbeitsgerichts Stuttgart eingehender zu befassen:

Das Arbeitsgericht Stuttgart hatte sich in seinem Urteil vom 29.01.2014 (Az.: 11 Ca 6438/13) mit der Frage zu befassen, ob einem abgelehnten Bewerber gemäß §§ 81 Abs. 2 SGB IX (10. Buch des Sozialgesetzbuches), 15 Abs. 2 AGG (Allgemeines Gleichbehandlungsgesetz) ein Entschädigungsanspruch wegen Benachteiligung aufgrund einer Schwerbehinderung gegen den potentiellen Arbeitgeber zusteht.

Der Sachverhalt

Der schwerbehinderte Kläger hatte sich bei der Beklagten auf eine Stellenausschreibung beworben und in seiner Bewerbung nach Auffassung der Beklagten nicht ausdrücklich auf die bestehende Schwerbehinderung hingewiesen. Er hatte lediglich im Lebenslauf als Zusatz zu einem Zeitraum der Arbeitsunfähigkeit den Hinweis aufgenommen „Schwerbehinderung“ und zusätzlich nach seinen Angaben die Anlagen mit „Lebenslauf mit Behinderung“ bezeichnet. Letzteres wurde allerdings von der Beklagten bestritten. Weitere ausdrückliche Erklärungen oder Nachweise zu einer bestehenden Schwerbehinderung, insbesondere im Anschreiben, gab der Kläger nicht ab.

Der Kläger wurde durch die Beklagte nicht zu einem Vorstellungsgespräch eingeladen. Hierauf machte er einen Anspruch auf Schadenersatz in Höhe von 3 Bruttomonatsgehältern geltend und begründete diesen damit, dass er von der Beklagten nur aufgrund seiner bestehenden Schwerbehinderung nicht eingeladen worden sei.

Die Ablehnung

Das Arbeitsgericht erkannte zwar an, dass in der ausgebliebenen Einladung zu einem Vorstellungsgespräch zwar eine Benachteiligung liege, lehnte einen Anspruch auf Schadenersatz unter Verweis auf die fehlende Kausalität zwischen der Benachteiligung und der bestehenden Schwerbehinderung ab.

Rechtlicher Rahmen

Nach der herrschenden Rechtsprechung und juristischen Fachliteratur gilt: Eine bestehende Schwerbehinderung muss nur dann mitgeteilt werden, wenn diese Auswirkungen auf die berufliche Leistungspflicht hat. Ein Bewerber hat grundsätzlich das Recht, diese zu verschweigen.

Nach §§ 81 Abs. 2 SGB IX, 15 Abs. 2 AGG steht einem Beschäftigten (hierzu gehören ausdrücklich auch Bewerber) gegen den Arbeitgeber ein Anspruch auf Schadenersatz zu, wenn er wegen eines in § 1 AGG enthaltenen Merkmales, hier die Schwerbehinderung, benachteiligt wird.

Nach ständiger Rechtsprechung des Bundesarbeitsgerichts liegt ein Nachteil im Rahmen einer Auswahlentscheidung, insbesondere bei Einstellung oder Beförderung, bereits dann vor, wenn der Beschäftigte nicht in die Auswahl einbezogen, sondern vorab ausgeschieden wird. Die Benachteiligung liegt in der Versagung einer Chance.

§ 15 Abs. 2 AGG erfordert weiterhin, dass die Benachteiligung gerade auf der Berücksichtigung des unzulässigen Merkmales beruht, d.h. gerade die hier im Raum stehende Schwerbehinderung des Klägers muss auch der Grund für die Nichtberücksichtigung gewesen sein (vgl.: § 2 Abs. 1 Ziff. 1 AGG „wegen“). Dies ist die sog. Kausalität.

Normalerweise hat im deutschen Zivilrecht jede Partei die Umstände darzulegen und zu beweisen, die für sie von Vorteil, also anspruchsbegründend sind. Gem. § 22 AGG kann eine Benachteiligung in diesem Sinne allerdings schon angenommen werden, bzw. die Kausalität wird vermutet, wenn der Bewerber Indizien vorträgt, die seine Benachteiligung vermuten lassen. In diesem Falle greift eine sog. Beweislastumkehr und der Arbeitgeber hat seinerseits die Pflicht, die vermutete Benachteiligung zu widerlegen.

Die Entscheidung des Gerichtes

Nach der Auffassung des Arbeitsgerichtes Stuttgart bedarf es für die Annahme der Beweislastumkehr allerdings einer ausreichenden Darstellung darüber, dass der Arbeitgeber den Grund, auf den der Bewerber seine Benachteiligung stützen will, auch tatsächlich kennt, oder hätte kennen können. Dies wurde im vorliegenden Fall vom Gericht abgelehnt.

Hierzu führt das Gericht aus:

“Es obliegt deshalb dem abgelehnten Bewerber, die Kenntnis bzw. Möglichkeit hierzu darzulegen. […]Aus dem Bewerbungsschreiben selbst ergibt sich kein Hinweis auf das Vorliegen einer Schwerbehinderung.[…] Es genügt nicht, dass ein Hinweis so beschaffen ist, dass der Leser der Bewerbung objektiv die Möglichkeit hat, die Schwerbehinderung zur Kenntnis zu nehmen.[…] Mit der Zielsetzung der §§ 81 ff. SGB IX einerseits und der §§ 15, 7, 3, 1 AGG andererseits ist es nicht zu vereinbaren, dass ein Bewerber lediglich versteckte Hinweise auf eine Schwerbehinderung gibt. […]“

Und die Folgen?

Über das Ergebnis und die Begründung des Gerichtes, eine ausreichende Kenntnisnahmemöglichkeit des Arbeitgebers habe nicht vorgelegen, kann sicherlich diskutiert werden. Dies ist wie immer Auslegungsfrage. Wichtiger für die datenschutzrechtliche Praxis ist jedoch, hat dieses Urteil nun Folgen für den Schwerbehindertendatenschutz?

Schweigerecht ausgehebelt?

Hat das Gericht mit dieser Entscheidung das Schweigerecht generell ausgehebelt?

Nein!

Auch weiterhin gilt, dass eine Schwerbehinderung nicht generell offengelegt werden muss und der Arbeitgeber danach nicht grundlos fragen darf.

Generelle Offenbarungspflicht?

Hat das Gericht damit eine generelle Offenbarungspflicht begründet?

Nein!

Das Arbeitsgericht Stuttgart hat vielmehr einen seit langem bekannten und akzeptierten Grundsatz gestärkt, dass derjenige, der aus einem Umstand Vorteile ziehen will, muss diesen auch offenlegen. Das ist nicht neu und findet sich zum Beispiel auch im Bereich der Urlaubsgewährung. So haben Schwerbehinderte i.S.d. § 81 SGB IX gem. § 125 SGB IX 5 Tage zusätzlichen Urlaub. Hierzu bedarf es allerdings der Offenbarung gegenüber dem Arbeitgeber.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

OpenSSL Heartbleed-Bug: Sicherheitslücke mit weitreichenden Folgen

Montag, 14. April 2014, 18:21 Uhr

Eine Panne mit weitreichenden Folgen und vielen Fragen. Als vor wenigen Tagen erstmals über den schweren Programmierfehler bei OpenSSL berichtet wurde, war die Verunsicherung über die Wirksamkeit der Datenverschlüsselung groß.

Das Ausmaß dieses Bugs wird deutlich, wenn man sich die große Menge an Meldungen vor Augen führt, die zu diesem Thema veröffentlicht worden sind.

Was war passiert?

Die Entwickler der weitverbreiteten Verschlüsselungsbibliothek OpenSSL haben ein Update (Version 1.0.1g) veröffentlicht und damit eine Lücke geschlossen. Diese ermöglicht es Angreifern, Schlüssel, Passwörter und weitere geheime Daten abzugreifen.

Angesiedelt ist dieser Bug in der sog. Heartbeat-Funktion (Herzschlag), welche anhand von Statusinformationen überprüft, ob der jeweilige Kommunikationspartner noch aktiv ist. Mangels Überprüfung eines Speicherzugriffs ist es Angreifern hierdurch möglich, unbemerkt Daten bei der Gegenstelle auszulesen und hierdurch z.B. Zertifikatsschlüssel, Authentifizierungsdaten oder auch verschlüsselte Inhalte abzuschöpfen.

Wer ist betroffen?

Grundsätzlich sind sämtliche Betreiber betroffen, die verschlüsselte Dienste anbieten. Insbesondere betrifft dies VPN-, Mail-, Server-Anbieter und viele weitere Dienste, die die OpenSSL-Bibliothek verwenden. Die Problematik betrifft jedoch nicht nur größere, sondern auch private Dienste (z.B. Router, selbst aufgesetzte Server, etc.), sofern für die Verschlüsselung die OpenSSL-Bibliothek zum Einsatz kommt.

Das Ausmaß der betroffenen Anbieter ist nicht zu unterschätzen! Um sich einen Überblick einiger Betroffener zu verschaffen, lohnt ein Blick auf die Mashable-Website, wobei der Fokus dort auf us-amerikanischen Anbietern liegt.

Aufgrund der Tragweite dieses kritischen Problems stellt sich die Frage, wie es um die Sicherheit von Diensten steht, die hochsensible Daten über das Internet austauschen. Die Gematik z. B. bietet hier mit der Telematik-Lösung für die Gesundheitskarte ein mögliches Einfallstor für Angreifer, um an Gesundheitsdaten zahlreicher Patienten zu gelangen. Die Unternehmenssprecherin der Gematik, Heike Fischer, erklärte  gegenüber heise online, dass die Gesundheits-Telematik nicht vom Heartbleed-Bug betroffen sei, da keiner der geplanten Dienste bereits am Netz sei. Darüber hinaus seien Anbieter entsprechender Lösungen von der Gematik um Stellungnahmen in Bezug auf den Einsatz der betroffenen SSL-Bibliotheken gebeten worden. Auch wenn bei der Gesundheits-Telematik mangels praktischen Einsatzes hierüber keine akute Gefahr für Gesundheitsdaten besteht, so zeigt dies doch, wie schwerwiegend solche Szenarien für die Sicherheit derart sensibler Daten ist.

Was ist zu tun?

Viele Dienste sind betroffen und die Anbieter arbeiten mit Hochdruck dabei das Leck durch eine aktualisierte Bibliothek zu schließen oder haben diese bereits geschlossen.

Aber auch für den Nutzer besteht Handlungsbedarf, denn keiner weiß wirklich genau, wie lang und durch wen, die Lücke in der Vergangenheit bereits ausgenutzt worden ist, um vermeintlich sichere Kommunikationsdaten in Erfahrung zu bringen. Nutzer betreffender Dienste, wie Mail-, Server- oder auch Bankdienste usw. sollten sämtliche Passwörter ändern, nachdem die betreffenden Anbieter die Lücke geschlossen haben. Sind Sie sich nicht sicher, ob auch Ihr Anbieter betroffen ist, sollten Sie ihn kontaktieren und um Auskunft bitten.

Wie geht es weiter?

Das enorme Ausmaß dieser Lücke in der OpenSSL-Bibliothek zeigt, wie gravierend und umfassend die Folgen sein können. Um solche sicherheitsrelevanten Projekte wie OpenSSL stemmen zu können, bedarf es ausreichender fachlicher Kompetenz und daher auch finanzielle Unterstützung, damit entsprechende Leistung eingekauft werden kann. Wie heise berichtet, bittet das Projekt nun um finanzielle Unterstützung. Wie üblich bei OpenSource-Projekten, läuft die Entwicklung (Diskussion, Verbesserung) über öffentliche Mailing-Listen ab. Gemein ist diesen, dass sie über zu wenig Festpersonal verfügen, was überwiegend auf geringe und schwankende Finanzmittel zurückzuführen ist. Das große Medienecho hat sicherlich dazu beigetragen, dass innerhalb kurzer Zeit bereits 9.000 Dollar an Spenden eingesammelt werden konnten.

Gerade bei solchen Projekten, die für einen nahezu flächendeckenden Einsatz sicherheitsrelevanter Infrastruktur gedacht sind, wäre es wünschenswert, wenn dort mehr festes Personal beschäftigt wäre. Nur ausreichende Kapazitäten können einen guten Entwicklungsprozess mit ordentlichen Vorabtest gewährleisten, wodurch solche Fehler, wie hier geschehen, ggf. hätten vermieden werden können. Damit einher geht aber auch, dass die Unterstützung durch die Nutznießer letztlich auch angemessen ist, um Personalbedarf und Entwicklung abzusichern.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Veröffentlichung einer nichtanonymisierten Gerichtsentscheidung

Freitag, 11. April 2014, 13:25 Uhr

Mit Beschluss vom 03.03.2014 hat das Bundesverfassungsgericht (BVerfG) im Verfahren 1 BvR 1128/13 entschieden, die Verfassungsbeschwerde eines Arztes gegen berufsgerichtliche Entscheidungen, insbesondere gegen die Erkennung auf eine nichtanonymisierte Veröffentlichung eines rechtskräftigen Urteils nicht anzunehmen.

Was war der Hintergrund?

Ein niedergelassener Facharzt für innere Medizin in einer Gemeinschaftspraxis sah sich in einem berufsrechtlichen Verfahren dem Vorwurf der zuständigen Ärztekammer ausgesetzt, gegenüber Privatpatienten Rechnungen erstellt zu haben, welche mit den Vorschriften der Gebührenordnung für Ärzte (GOÄ) nicht im Einklang standen, daher unangemessen waren und somit gegen das geltende Berufsrecht verstießen. Auf Antrag der Ärztekammer wurde schließlich ein berufsgerichtliches Verfahren eröffnet.

Wie haben die Berufsgerichte entschieden?

Erstinstanzlich sowie in der Berufung entschieden die Berufsgerichte unter anderem, dass auf die nichtanonymisierte Veröffentlichung der Entscheidung, wie sie § 60 Abs. 3 HeilBerG NRW gestattet, im Ärzteblatt zu erkennen gewesen sei, weil es sich um ein besonders schwer wiegendes Berufsvergehen gehandelt habe, mit dem in systematischer Weise ein den Vorschriften der Gebührenordnung widersprechendes Abrechnungssystem verfolgt worden sei. Diesem Verhalten sei eine hohe Schadensneigung zu Lasten  der Vermögensinteressen betroffener Patienten bzw. der Allgemeinheit in Form der Krankenkassenträger, Beihilfeträger etc. zugekommen. Die Maßnahme diente nach Auffassung der Berufsgerichte zur individuellen Disziplinierung.

Das Berufungsgericht sah die Veröffentlichung im Rahmen der Interessenabwägung mit Blick auf eine mögliche Prangerwirkung im Ergebnis dennoch als verhältnismäßig an, da es keinen schutzwürdigen Grund sah, eine wahre Tatsache aus der Sozialsphäre im konkreten Fall zu untersagen.

Der Arzt legte gegen die berufsgerichtlichen Entscheidungen Verfassungsbeschwerde ein und beantragte mit Blick auf die nichtanonymisierte Urteilsveröffentlichung den Erlass einer einstweiligen Anordnung. Er sah sich u.a. in seinem allgemeinen Persönlichkeitsrecht, abgeleitet aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, verletzt. Die Verfassungsbeschwerde wurde nicht zur Entscheidung angenommen.

Wie lautet die Begründung des Bundesverfassungsgerichts?

Nach Ansicht des BVerfG setzte die Veröffentlichung der berufsgerichtlichen Verurteilung unter voller Namensnennung den Arzt in der Öffentlichkeit herab und betreffe seine soziale Stellung in negativer Weise, so dass die Veröffentlichung eine rechtfertigungsbedürftige Beeinträchtigung des allgemeinen Persönlichkeitsrechts darstelle.

Das allgemeine Persönlichkeitsrecht unterliege jedoch der Schrankenregelung des Art. 2 Abs. 1 GG und könne durch Gesetz unter Beachtung des Grundsatzes der Verhältnismäßigkeit beschränkt werden. Diese einschränkende Regelung müsse jedoch zum Schutz eines gewichtigen Gemeinschaftsguts geeignet und erforderlich sein und der Schutzzweck hinreichend schwer wiegen, um die Grundrechtseinschränkung zu rechtfertigen. § 60 Abs. 3 HeilBerG NRW erfülle nach Auffassung des Gerichts diese Anforderungen.

Die nichtanonymisierte Veröffentlichung finde nach Ansicht des BVerfG ihre Rechtfertigung im berechtigten Interesse an einer Information der Allgemeinheit, insbesondere der Gemeinschaft der Versicherten. Neben dieser informationellen und generalpräventiven Wirkung diene die Veröffentlichung auch der weiteren Sanktionierung eines individuellen Fehlverhaltens, das auch die Gefahr einer höheren Kostenlast für die Gemeinschaft der Versicherten in sich trage.

Die Verhältnismäßigkeit sah das BVerfG dadurch gewahrt, dass die Veröffentlichung nur in einem berufsrechtlichen Medium und einmalig erfolgte. Keine Bedenken hatte das BVerfG zudem dagegen, dass die Veröffentlichung auch im Internet zu finden sein wird, da dies nicht den begrenzten und eindeutigen Bezug zur berufsrechtlichen Verfehlung verändere.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Schule 2.0: Elektronisches Klassenbuch und SMS gegen Schulschwänzen

Donnerstag, 10. April 2014, 15:02 Uhr

Die Zeiten, in denen in Schulen ein traditionelles papiernes Klassenbuch geführt wurde, scheinen sich allmählich dem Ende zu neigen. Immer mehr Schulen bekunden Interesse an einer zeitgemäßen, elektronischen Variante des Klassenbuchs.

Allein in Berlin laufen derzeit zehn Pilotprojekte, bei denen der Nutzen elektronischer Klassenbücher für die Durchsetzung der Schulpflicht erprobt werden soll.

Vereinfachte Dokumentation und Auswertung möglich

Es gibt bereits eine Reihe von Anbietern webbasierter Lösungen, die eine detaillierte Dokumentation und Verwaltung von Fehlzeiten und unterrichtsbezogener Informationen anbieten. Nachdem in einem ersten Schritt Informationen wie Namen, Geburtsdaten und Geschlechter der Schüler gespeichert werden, ist es möglich, Anwesenheitslisten zu generieren, Fehlzeiten, Verspätungen und Beurlaubungen von Schülern auszuwerten sowie Entschuldigungen zu dokumentieren.

Schulschwänzer-SMS an Schüler und Eltern

In Berlin ist insbesondere geplant, Schüler per SMS in den Unterricht zu locken. Wird festgestellt, dass der Schüler unentschuldigt fehlt, kann aus dem elektronischen Klassenbuch direkt eine SMS an den Schüler verschickt werden – in der Hoffnung dass dieser doch noch aufläuft. Bei minderjährigen Schülern werden die Erziehungsberechtigten zusätzlich kontaktiert. Für die SMS wird ein Standardtext verwendet, der an einer Berliner Schule wie folgt lautet:

“Lieber Schüler, liebe Schülerin, erstens wir haben gemerkt, dass du nicht da bist, zweitens wir fänden es schön, wenn du da wärst und drittens, mach dich auf die Socken.”

Rechtliche Vorgaben in Landesverordnungen

In entsprechenden Verordnungen existieren auf Länderebene konkrete Vorgaben zu Daten, die in Klassenbüchern dokumentiert werden dürfen (in Berlin z.B. § 5 Abs. 1 SchulDatenVO). Sofern der Umfang der Datenverarbeitung im elektronischen Klassenbuch über die in den Verordnungen für traditionelle Klassenbücher abschließend definierten Datenkataloge hinausgeht, bedarf es einer schriftlichen Einwilligung der Betroffenen (Schüler, Erzeihungsberechtigte, Lehrer, Ausbilder).

Berücksichtigung von Datensicherheitsaspekten

Bevor sich eine Schule entscheidet, das traditionelle Klassenbuch gegen ein elektronisches zu ersetzen, ist neben dem u.U. bestehenden Erfordernis entsprechender Einwilligungserklärungen zu beachten, dass mit Dienstleistern – unter Berücksichtigung der erforderlichen Datensicherheitsaspekte – Vereinbarungen zur Auftragsdatenverarbeitung zu schließen sind.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Datenschutz bei Social Plugins / Buttons von Facebook, Twitter, Xing, LinkedIn, Google+

Mittwoch, 9. April 2014, 17:43 Uhr

Facebook, Twitter, Google+, LinkedIn und auch Xing bieten Webseitenbetreibern an, Social Plugins auf ihren Webseiten einzubinden. Durch diese Social Plugins wird das Teilen von Inhalten auf den sozialen Plattformen erleichtert.

Werden Inhalte durch Nutzer auf Facebook, Twitter oder Co. gepostet, werden hierdurch mehr potentielle Kunden erreicht. Dies klingt verführerisch, aber es gibt ein datenschutzrechtliches Problem.

Wo ist das Problem?

Social Plugins werden als iFrames in einer Webseite eingebunden. iFrames ermöglichen es, Webinhalte von einer anderen (externen) Webseite in die aufgerufene Webseite einzubinden. Diese Technik wird vielfach auch für das Einbinden von Werbeanzeigen auf Webseiten genutzt.

Der Nutzer ruft z.B. die Seite www.intersoft-consulting.de auf. In einem iFrame könnte dann gleichzeitig der Inhalt der Webseite www.beispiel.xy geladen werden, ohne dass dies von dem Nutzer initiert bzw. bemerkt wird. Um die Inhalte des iFrames Beispiel.xy zu laden, wird eine Verbindung zu dem Server der fremden Webseite Beispiel.xy hergestellt. Hierbei werden die Daten des Nutzers von dem fremden Server erfasst. Um eine Webseite aufzurufen ist u.a. die Übertragung eines personenbezogenen Datums, der IP-Adresse notwendig. Dies bedeutet, dass der Betreiber der Seite Beispiel.xy bei jedem Aufruf der Seite www.intersoft-consulting.de ebenfalls Informationen über den Besucher erhält.

Aufsichtsbehörden vertreten die Ansicht, dass die Einbindung von Social Plugins eine Datenweitergabe von Verkehrs- und Inhaltsdaten darstellt und durch den Betreiber der Social Media Plattform eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse erfolgt.

Die übermittelten personenbezogenen Daten sind zwar grundsätzlich zum Aufruf der Inhalte erforderlich. Ein Problem entsteht allerdings, sobald die Daten zu einem Nutzerprofil bei den Drittanbietern zusammengeführt werden. Dieser Zweck ist unmittelbar von keiner datenschutzrechtlichen Erlaubnisnorm gedeckt, wird aber von der Mehrzahl der Sozialen Netzwerke durchgeführt. Die Übermittlung der Besucher-Daten zu diesem Zweck ist daher unzulässig. Unzulässige Übermittlung von personenbezogenen Daten stellen Ordnungswidrigkeiten gemäß § 43 BDSG dar. Der Webseitenbetreiber als verantwortliche Stelle riskiert damit ein Bußgeld von bis zu 300.000 €.

Welche Lösungen gibt es?

Eine simple Lösung ist der Verzicht auf Social Plugins. Wer sich den sozialen Medien verwehrt, zieht im Wettbewerb jedoch schnell den Kürzeren.

Abhilfe hat heise mit der „Zwei-Klick-Lösung“ geschaffen. Die Social Plugins beginnen erst nach der Aktivierung der Schaltflächen durch den Nutzer mit der Datenübertragung. Der Nutzer wird sobald er über die Schaltfläche mit dem Mauszeiger fährt über die Datenweitergabe informiert.

Wie funktioniert es?

Anleitungen zur Einbindung der 2-Klick-Lösung für Facebook, Google+ und Twitter finden Sie bei heise. Mit der Erweiterung der Illusions-Schmiede GmbH können Sie die 2-Klick-Lösung auch für LinkedIn und Xing einsetzen. Für WordPress gibt es ein Plugin, das die Einbindung der 2-Klick-Lösung für Facebook, Twitter, Flattr, Xing, Pinterest, t3n, LinkedIn und Google+ auf einem Blog ermöglicht.

Zusätzlich ist die Anpassung der Datenschutzerklärung notwendig, in der auf den Einsatz von Facebook & Co hinzuweisen ist.

Restrisiko bleibt

Die 2-Klick-Lösung ist unter Datenschützern nicht unumstritten. Für eine wirksame Einwilligung des Nutzers ist die Information über Art, Umfang und Zweck der Datenverarbeitung notwendig. Hierfür ist der eingeblendete Hinweis – ohne weitere Kenntnisse über technische Abläufe beim Aufruf einer Webseite – nicht ausreichend. Streng genommen liegt somit keine wirksame Einwilligung des Nutzers vor. Die Datenübermittlung ist immer noch unzulässig. Das Risiko eines aufsichtsbehördlichen Vorgehens wird allerdings minimiert, da Webseiten ohne die 2-Klick-Lösung eine größere Gefahr für personenbezogenen Daten darstellen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

EuGH: Richtlinie zur Vorratsdatenspeicherung ungültig

Dienstag, 8. April 2014, 17:56 Uhr
Kategorie: News, Urteil

Der Europäische Gerichtshof (EuGH) hat die Vorratsdatenspeicherungs-Richtlinie (RL 2006/24/EG des Europäischen Parlamentes und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglich elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG) mit heutigem Urteil für ungültig erklärt und damit zu einer deutlichen Stärkung des Datenschutzes beigetragen.

Mit der Rechtsprechung des EuGH ändern sich auch die Rahmenbedingungen für eine entsprechende nationale Gesetzgebung.

Vorratsdatenspeicherung

Im Visier der Datenschützer steht die so genannte Vorratsdatenspeicherung vor allem deshalb, weil verdachts- und anlasslos Telekommunikationsdaten gespeichert werden und damit jeder Bürger zu einem potentiell Verdächtigen wird – entgegen der geltenden Unschuldsvermutung. Die Thematik Vorratsdatenspeicherung beschäftigt daher seit Jahren Rechtsprechung und Politik.

Die nationalen Regelungen in §§ 113a, 113b TKG a.F. wurden im Jahr 2010 durch das Bundesverfassungsgericht (BVerfG) gekippt. Seither fehlt es hier in Deutschland an gesetzlichen Vorgaben zur Vorratsdatenspeicherung, auch an einem entsprechenden Gesetzesentwurf. Die mangelnde Umsetzung der Vorratsdatenspeicherungs-Richtlinie hatte zu einem Vertragsverletzungsverfahren gegen Deutschland geführt.

Das Urteil des EuGH

Die streitige Richtlinie sieht eine Speicherung von Verkehrsdaten von jedenfalls 6 bis zu 24 Monaten vor. Auf Ersuchen des irischen High Court und des österreichischen Verfassungsgerichtshofes hatte der EuGH die Gültigkeit der Richtlinie überprüft, insbesondere im Licht von zwei durch die Charta der Grundrechte der Europäischen Union gewährleisteten Grundrechte: des Grundrechtes auf Achtung des Privatlebens sowie des Grundrechts auf Schutz personenbezogener Daten.

Mit dem heutigen Urteil hat der EuGH die Richtlinie für ungültig erklärt. Die Richtlinie beinhaltet der Pressemitteilung des EuGH zu Folge

einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das Notwendige beschränkt.

Nationale Auswirkungen

Das Urteil macht die Pläne der Regierung in Sachen Vorratsdatenspeicherung hinfällig. Durch das Urteil sei eine neue Situation entstanden, da es keine Richtlinie mehr gebe, die gemäß Koalitionsvertrag umgesetzt werden müsse, so Justizminister Heiko Maas. Damit sehe sich Deutschland auch keinen Vertragsstrafen mehr ausgesetzt:

Deshalb gibt es auch keinen Grund, jetzt schnell ein neues Gesetz vorzulegen.

äußerte sich der SPD-Politiker. Das weitere Verfahren sei also offen und müsse in der Koalition beraten werden.

Auch Innenminister Thomas de Maizière sieht die veränderte Situation. Anders als Maas drängte er jedoch auf eine

rasche, kluge, verfassungsgemäße und mehrheitsfähige Einigung

unter Berücksichtigung der Maßstäbe des EuGH und des BVerfG.

Urprünglich hatten Maas und de Maizière angekündigt, direkt nach dem Urteil einen Gesetzentwurf vorzulegen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

18 Millionen Passwörter gestohlen: Sind Sie auch betroffen?

Montag, 7. April 2014, 14:44 Uhr

Es ist nicht das erste Mal, dass tausende von Passwörtern und Benutzernamen gestohlen worden sind. Nachdem bereits im Dezember 2.000.000 Zugangsdaten und Passwörter im Internet veröffentlich wurden, folgte ein weiterer millionenfacher Identitätsdiebstahl, den das BSI im Januar publik machte – obwohl es zu diesem Vorfall ebenfalls bereits im Dezember gekommen war. Und nun sind erneut E-Mail-Zugangsdaten gestohlen worden…

18 Millionen Zugangsdaten gestohlen

Bereits letzte Woche berichtete zdnet.de, dass ein Datensatz mit 18 Millionen gestohlenen E-Mail-Adressen samt Zugangsdaten sichergestellt worden sei. Dabei handele es sich sowohl um Adressen aller großen deutschen Provider als auch um internationale Anbieter. Allerdings stellt das BSI auch klar, dass es sich nicht nur um Zugangsdaten zu E-Mail-Accounts handelt, sondern auch um solche zu Online-Shops, Internet-Foren und sozialen Netzwerken.

Da diese bereits teilweise missbraucht werden würden, versucht das BSI zusammen mit den entsprechenden E-Mail-Providern, eine datenschutzkonforme Lösung zu finden, die Betroffenen zu informieren. Schwierig wird dies insbesondere bei den E-Mail-Adressen, die bei anderen Providern oder vom Anwender selbst gehostet werden.

Eigener E-Mail-Account betroffen?

Für alle Bürger besteht ab heute die Möglichkeit zu überprüfen, ob auch ihre E-Mail-Adresse unter den gestohlenen ist. Hierfür hat das BSI eine extra Webseite eingerichtet: Unter https://www.sicherheitstest.bsi.de/ kann die jeweilige E-Mailadresse eingegeben werden, die überprüft werden soll.

Falls die Adresse betroffen ist, erhält man per E-Mail eine entsprechende Information sowie die Empfehlungen zu den erforderlichen Schutzmaßnahmen. Zur Prüfung, ob es sich tatsächlich um eine E-Mail des BSI handelt, wird ein vierstelliger Code generiert, der eine Authentisierung der E-Mail ermöglichen soll. Eine Überprüfung sollte in jedem Fall vorgenommen werden!

Risiko Identitätsdiebstahl

Werden Zugangsdaten für den E-Mail-Account gestohlen, können so nicht nur fremde E-Mails – insbesondere Spam—Mails – verschickt werden, es kann auch zu einer Nutzung der eignen Identität durch einen Dritten kommen. Durch diesen sogenannten Identitätsdiebstahl wird eine fremde Identität vorgetäuscht. Dadurch entstehen ungeahnte Möglichkeiten, nämlich etwa

  • unter fremden Namen Accounts zu eröffnen und Kunden zu prellen,
  • mit fremden Kreditkartendaten auf Einkaufstour zu gehen oder
  • Online-Banking-Accounts auszuspähen und Konten leer räumen.

Mehr über den Identitätsdiebstahl und -missbrauch im Internet finden Sie auf der Seite klicksafe.de, einer EU-Initiative für mehr Sicherheit im Netz.

Sicherheitsmaßnahmen

Die Häufigkeit der Daten-Diebstähle zeigt, wie wichtig ein gutes und sicheres Passwort ist. Eine Möglichkeit zur sicheren Passwortverwaltung ist die Software Keepass. Sie ist sehr benutzerfreundlich und auf nahezu allen stationären und mobilen Systemen einsetzbar.

Darüber gibt das BSI Tipps für den Gebrauch von Passwörtern:

  1. Komplexe Passwörter wählen
  2. Keine Namen verwenden
  3. Merksatz als Eselsbrücke
  4. Passwörter regelmäßig ändern
  5. Passwörter nicht aufschreiben
  6. Unterschiedliche Passwörter für unterschiedliche Anwendungen
  7. Voreingestellte Passwörter ändern

Und auch für die Gestaltung sicherer Passwörter hat das BSI einige Tipps auf Lager.

Empfehlung

Es empfiehlt sich in jedem Fall seine E-Mail-Adresse überprüfen zu lassen. Unabhängig von dem Ergebnis der Überprüfung sollten Sie Ihr Passwort einmal kritisch betrachten – entspricht es den Vorschlägen des BSI oder ist es vielleicht doch eher verbesserungsfähig?

Die letzten Vorfälle sollten klargemacht haben, dass es sich in jedem Fall lohnt, etwas Zeit in ein gutes und sicheres Passwort zu investieren. Denn sollte Ihre Identität erst einmal missbraucht worden sein, haben Sie ganz andere Probleme…

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Speicherung von Mitarbeiterdaten zur Beweismittelsicherung

Freitag, 4. April 2014, 13:24 Uhr

Das VG Berlin hatte in dem Verfahren 1 K 220.12 in einem Streit zwischen einem Unternehmen und dem Berliner Datenschutzbeauftragten darüber zu entscheiden, ob die Speicherung von Mitarbeiterdaten eines Auftragnehmers zur Sicherung urheberrechtlicher Ansprüche des Unternehmens datenschutzkonform ist.

Mit Urteil vom 13.01.2014 (noch nicht online verfügbar) hat das VG Berlin die Rechtmäßigkeit erkannt.

Was war der Hintergrund?

Geklagt hatte ein Unternehmen, das Stadtpläne erstellt bzw. erwirbt, um diese im Internet zu veröffentlichen. Die Klägerin war Rechteinhaberin an diesen Stadtplänen. Mit der Überarbeitung dieser Karten hatte sie eine Agentur als Dienstleisterin beauftragt, deren Beschäftigte zustimmten, dass ihre personenbezogennen Daten wie z.B. Name, Werk, Datum und Uhrzeit im Rahmen der jeweiligen Überarbeitung gespeichert und an die Klägerin übermittelt wurden. Diese benötigte die betroffenen Daten, um im Fall gerichtlich verfolgter Urheberrechtsverletzungen Beweis über ihre Rechteinhaberschaft führen zu können.

Der Berliner Datenschutzbeauftragte sah hierin einen Eingriff in das Persönlichkeitsrecht der Beschäftigten und erließ eine entsprechende Löschungsanordnung gegen die Klägerin. Er argumentierte, dass die Speicherung der Namen der Mitabeiter nicht erforderlich sei, vielmehr genüge eine anonyme Speicherung, schließlich hätten die Beschäftigten bereits der Agentur die Nutzungsrechte übertragen, von welcher die Klägerin sie wiederum erwerbe. Zudem sei die Speicherung der betroffenen Daten im Hause der Klägerin nicht erforderlich. Die Daten wären stattdessen bei der Agentur aufzubewahren und könnten bei Bedarf der Klägerin zur Verfügung gestellt werden. Die Klägerin ist gegen die Löschungsanordnung gerichtlich vorgegangen.

Wie hat das Gericht entschieden?

Das VG Berlin hat dem Antrag des Unternehmens stattgegeben und die Löschungsanordnung des Berliner Datenschutzbeauftragten aufgehoben.

Das Gericht sah zwar die Speicherung der Daten bei der Klägerin ebenfalls als einen Eingriff in das Recht auf informationelle Selbstbestimmung, war jedoch zugleich der Auffassung, dass der Eingriff mit gem. § 28 Abs. 1 S. 1 nr. 2 BDSG gerechtfertigt sei, da das Interesse der Klägerin an der Beweismittelsicherung für den Fall eines etwaigen Prozesses überwiege.

Die Speicherung anonymisierter Daten stellte nach Auffassung des Gerichts auch kein milderes Mittel zu Wahrung der berechtigten Interessen der Klägerin dar. Denn die Speicherung personenbezogener Daten bei der Klägerin sei im vorliegenden Fall erforderlich im Sinne der Verhältnismäßigkeit, um die urheberrechtlichen Ansprüche zivilrechtlich geltend machen zu können, anonymisierte Zuordnungsnachweise wären bei der Beweisführung unzureichend.

Die Speicherung der Daten ausschließlich bei der Agentur stellte nach Ansicht des VG Berlin kein gleich geeignetes Mittel zur Wahrung der berechtigten Interessen, nämlich des lückenloses Nachweises der Rechteinhaberschaft dar. Die Daten könnten der Klägerin durch eine etwaige Insolvenz des Dienstleisters nicht mehr zur Verfügung stehen. Daher sei die Speicherung der Daten im Hause der Klägerin rechtmäßig.

Zur Interessenabwägung führte das Gericht aus:

Zwar wird durch die Speicherung der genannten Daten und ihrer Kundgabe im Rahmen gerichtlicher Verfahren in das Recht der informationellen Selbstbestimmung der Beschäftigten eingegriffen. Jedoch steht dem gegenüber, dass die Klägerin ihre durch Art. 14 GG geschützten Urheberrechte ohne diesen Eingriff nicht wahrnehmen und verteidigen könnte. Im Vergleich zu dieser erheblichen Rechtsbeeinträchtigung sind die von den Beschäftigten der M. erlittenen Rechtsverletzungen nur geringfügig und zumutbar. Die Preisgabe von Namen und der von ihnen durchgeführten Arbeitsschritte betrifft lediglich die Sozialsphäre der Betroffenen. Zudem ist nur ein überschaubarer Kreis von Personen betroffen und der Eingriff wird durch die o. g. konkrete Zweckbindung abgeschwächt. Die Daten werden auch nicht der allgemeinen Öffentlichkeit bekannt gemacht, sondern nur im Rahmen einzelner Gerichtsverhandlungen zum Beweis eines am Kartenmaterial konkret durchgeführten Bearbeitungsschrittes benutzt. Somit wird auch nur ein sehr umgrenzter Ausschnitt aus dem Leben der Betroffenen gespeichert und ggf. vor Gericht preisgegeben und keinesfalls ein Gesamtprofil der Arbeit erfasst.

Wie ist die Rechtslage aus Sicht des Dienstleisters?

Das VG Berlin ist auf die Einwilligungserklärungen der Mitarbeiter der Agentur hinsichtlich der Datenspeicherung bei der Klägerin nicht eingegangen, da es § 28 Abs. 1 S. 1 Nr. 2 BDSG hierfür als Rechtsgrundlage im Sinne des § 4 Abs. 1 BDSG gewerten hat.

Für die Erhebung der personenbezogenen Mitarbeiterdaten durch die Agentur stellt sich die Frage, ob diese nicht bereits auf  § 32 Abs. 1 BDSG und die Übermittlung der Daten ebenfalls auf § 28 Abs. 1 S. 1 Nr. 2 BDSG gestützt werden können. Denn die Einwilligung im Arbeitsverhältnis unterfällt hinsichtlich ihrere Wirksamkeit bekanntlich strengen Anforderungen, zu denen bereits die Art. 29-Datenschutzgruppe Stellung genommen hat. Zu bedenken ist auch, dass die Einwilligung jederzeit zumindest mit Wirkung für die Zukunft widerrufen werden kann.

 

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren