Datenschutzbeauftragter INFO

Haben auch Sie schon einmal den Klick auf “Absenden” rückgängig machen wollen?

Es soll da schon einige Versuche gegeben haben: Stecker des PC ziehen, aufgebrachte Anrufe bei der Telekom-Hotline, verzweifeltes Verfluchen moderner Kommunikationsmittel und der Welt überhaupt.

Eine Mail holt vielleicht Sie ein, aber Sie ganz sicher nicht die Mail

Früher hatte man noch reelle Chancen, den berittenen Boten aufzuhalten oder auch heute könnte man erwägen, dem Briefträger aufzulauern. Bei E-Mails ist sowas vorbei! Eine E-Mail landet quasi sofort in der Mailbox des Empfängers und dann ist es wohl in der Regel zu spät – auch wenn es der junge Mann aus diesem Werbevideo partout nicht wahrhaben wollte:

Mehr als “gut gekämpft” kann man ihm wohl nicht zugute halten.

#Kürschnergate sorgt für Spaß im Bundestag

Ein ähnlicher Fall hat sich diese Woche im Deutschen Bundestag zugetragen. Dort hatte die Bundestagsverwaltung per Rundmail an alle Mitarbeiter auf eine Neuausgabe des “Kürschner” aufmerksam gemacht. “Der Kürschner” – auch Bundestagsbibel genannt – enthält in Papierform ein Adressverzeichnis und sonstige allgemeine Informationen. Dann trat die Mitarbeiterin einer Grünen-Abgeordneten auf den Plan. Sie mailte:

Liebe Britta, wenn Ihr Euch eindeckt, bringt Ihr mir eins mit? Babette

Die Mail ging an etwa 4.000 Empfänger.

Wer den Schaden hat, …

Spott gab es natürlich genug. Es wurden Anleitungen zum Umgang mit E-Mails versendet (an alle natürlich!), Mutti gegrüßt (ebenfalls an alle) und von Seiten der Piraten wurde z.B. auf Twitter geäzt

Lernen durch Taten – Unsere Abgeordneten lernen E-Mail!

Die IT-Abteilung des Bundestags fand das Ganze irgendwann nicht mehr so lustig und wies darauf hin, dass der E-Mail-Verteiler nur dienstlich genutzt werden dürfe. Außerdem könnten

Aufgrund des derzeitigen Missbrauchs des E-Mail-Systems können Zustellverzögerungen von bis zu 30 Minuten auftreten.

Die Moral von der Geschicht

Was lernen wir daraus? Wenn das Problem vor dem Bildschirm sitzt, helfen oft auch die besten Sicherheitsmaßnahmen nichts, wie sie in Zukunft z.B. die DE-Mail bieten soll.

Klare Antwort: Nein! Vorerst lebt es noch, das BDSG, auch wenn es gestern mittag, als EU-Komissarin Reding den Entwurf für die EU-Datenschutzverordnung vorgestellt hat, einen erheblichen Schlag erlitten hat. Denn es könnte sein, dass es mit der Annahme der EU-Verordnung nicht mehr weiter leben wird. Bis dahin kann es aber noch dauern…

Frau Reding und die Idee vom neuen Datenschutz

„Vor 17 Jahren nutzten weniger als 1 % der Bevölkerung das Internet. Heute werden große Mengen an personenbezogenen Daten übermittelt und ausgetauscht, über den gesamten Globus – innerhalb von Bruchteilen von Sekunden“.

So begann Viviane Reding, erste EU-Kommissarin für Justiz, Grundrechte und Bürgerschaft, ihre Vorstellung der Datenschutz-Verordnung. 17 Jahre ist die Datenschutz-Richtlinie 95/46/EG nämlich schon alt, die das europäische Datenschutzrecht bis jetzt regelt.

Mit dem technologischen Fortschritt und Datenkraken wie Facebook und Google kann sie also kaum noch mithalten. Ob die jetzige Regelung diese Probleme allerdings wirklich angehen wird, ist fraglich…

Die EU-Verordnung gilt für alle europäischen Länder – und muss nicht mehr von den einzelnen Mitgliedstaaten umgesetzt werden.

Schon im Dezember war der Entwurf von Reding durchgesickert.

Vorhang auf: die Regelungen

Zum Beispiel enthält der Entwurf ein „right to be forgotten“ – der Betroffene kann von der verantwortlichen Stelle Löschung seiner personenbezogenen Daten verlangen, wenn diese für den Zweck nicht mehr benötigt werden. In Zukunft müssen Unternehmen, die ihren Sitz nicht in der EU haben, einen „Representative“, einen Stellvertreter, für die EU benennen, der die Aufgaben in datenschutzrechtlicher Hinsicht wahrnimmt. Außerdem kontrovers diskutiert: die neuen Einwilligungsregelungen; Internetnutzer werden künftig in zahlreichen Einzelfällen eine jeweils gesonderte Zustimmung zur Datenverarbeitung geben müssen.

Was Google und Facebook nicht freuen wird: auch Unternehmen, die sich an Nutzer in der EU richten, ihren Sitz aber nicht zwingend in der EU haben, müssten sich künftig an die EU-Regeln halten.

Sanktionen erheblich erhöht

Die Sanktionen bei Datenschutzverstößen könnten sich besonders auswirken: Bis zu 1 % des Jahresumsatzes eines Unternehmens können an Strafen verhängt werden. Für Großunternehmen – auch in Deutschland – könnte dies neben dem Image-Schaden erhebliche Verluste bringen.

Lob und Kritik für die Verordnung

Der Entwurf wird hierzulande, aber auch im Ausland in einigen Punkten sehr gelobt. Ilse Aigner, Verbraucherschutzministerin, lobt die Pläne. Sie sagt laut Focus, dass die Europäische Union aufgrund ihrer Marktmacht Kriterien für den Datenschutz setzen könne, die sich bei nationalen Alleingängen womöglich nicht durchsetzen könnten.

Trotzdem: die Kritik bleibt. Hamburgs Landesdatenschutzbeauftragter Johannes Caspar sagt zum Beispiel laut Spiegel online:

“Recht braucht immer Anwender. Recht braucht immer Auslegung. Es ist klar, dass Sie auch mit einer Verordnung keine absolute Einheitlichkeit schaffen werden.”

Er befürchtet, dass sich Unternehmen auch weiterhin dort in Europa niederlassen werden, wo sie vermuten, dass ihnen die lokalen Datenschützer besonders gewogen sind. Denn die Aufsichtsbehörden werden für alle Datenschutzfragen zuständig sein – und dass dies zu ganz unterschiedlichen Auslegungen und Ansichten führt, ist hinlänglich bekannt…

Und das BDSG?

Ja, zunächst dürfen wir es behalten, das BDSG. Natürlich darf es nicht aufgeweicht werden durch eine EU-Verordnung, denn wir haben ja das Glück, dass unser Datenschutzrecht nicht nur den sogenannten „unsicheren Drittstaaten“ wie den USA weit voraus ist – nein, auch in Europa sind wir “datenschutzrechtliche Spitzenreiter”.

Und auch, wenn sich Reding’s Entwurf am deutschen BDSG orientiert, bleibt abzuwarten, ob wir uns über die Verordnung wirklich freuen dürfen. Endgültig in Kraft treten wird sie aber frühestens 2014 – und bis dahin wird sich sicher noch einiges ändern…

Die Bundesregierung hat letzte Woche die Einführung einer Neonazi-Verbunddatei beschlossen, um den Kampf gegen gewaltbereite Rechtsextremisten voranzutreiben.

Damit werden künftig die Polizei, der Verfassungsschutz und der militärische Abschirmdienst (MAD) verpflichtet sein, ihre Informationen in eine Datenbank einzuspeisen.

Datei soll knapp 10.000 Namen erfassen

Nach Einschätzung des Verfassungsschutz-Chefs Fromm dürfte die Datei knapp 10.000 Namen umfassen. Hinzu kommen Daten über Bankverbindungen, Anschriften, Telekommunikationsanschlüsse und E-Mail Adressen, Informationen über den Besitz von Autos und Waffen sowie Aktivitäten wie Besuche rechtsradikaler Konzerte und Mitgliedschaften in einschlägigen Vereinen und Organisationen.

„Gewaltbezogenheit“ der Rechtsextremisten ausschlaggebend

Betroffen sollen Daten „gewaltbezogener“ Rechtsextremisten sein, wozu auch Hintermänner und Drahtzieher rechtsextremer Gewalt gerechnet werden. Das Merkmal der Gewaltbezogenheit ist ein Kompromiss, den die Bundesjustizministerin und der Bundesinnenminister gefunden haben, nachdem dieser sich ursprünglich für die Erfassung von Daten „gewalttätiger“ und „gewaltbereiter“ Rechtsextremisten ausgesprochen hatte.

Gute Absicht, falsches Ergebnis

Die Justizministerin hatte gerade vermeiden wollen, dass nicht durch Gewalt aufgefallene Rechtextremisten von der Datenbank erfasst werden. Durch ihren Kompromiß, dass Merkmal der Gewaltbezogenheit anzuwenden, dürfte sie vielmehr das Gegenteil erreicht haben. Der Unterschied zwischen den Merkmalen „gewaltbereit“ und „gewaltbezogen“ erschließt sich kaum. Der Begriff der Gewaltbezogenheit eröffnet einen so großen Interpretationsspielraum, dass deutlich mehr Personen in das Raster fallen dürften, als unter dem Merkmal der Gewaltbereitschaft.

Datensammlung hätte Pannen nicht verhindert

Doch schon die Tatsache, dass eine solche Datenbank beschlossen wurde, muss Unbehagen hervorrufen. Sie offenbart, dass aus der Pannenserie, die es dem Zwickauer Trio ermöglichte, über ein Jahrzehnt ungehindert in Deutschland zu morden, nicht die richtigen Schlussfolgerungen gezogen worden sind.

Nach den bisherigen Erkenntnissen blieben die Taten nicht wegen eines Mangels an Informationen unaufgedeckt. Die Taten wurden vielmehr nicht als rechtsextremistisch motiviert erkannt. Zu dieser falschen analytischen Einschätzung hinzu kam eine dubiose Praxis im Einsatz von V-Leuten und eine mangelnde Kommunikation und Kooperation zwischen den Ermittlungsbehörden. Diese Mißstände werden durch den Einsatz einer solchen Datei nicht behoben. Dass lässt den Mehrwert der Datensammlung mehr als zweifelhaft erscheinen.

Voreiliges Hervorpreschen

Bevor solche Maßnahmen beschlossen werden, hätten jedenfalls zumindest die Ergebnisse des Untersuchungsausschusses abgewartet werden können, der sich erst noch mit den konkreten Ursachen der Ermittlungspannen auseinandersetzen wird.

Die meisten, die sich für Datenschutz interessieren, wissen vielleicht, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit einen eigenen Blog und ein Datenschutzforum betreibt.

In letzterem ist jüngst ein Beitrag erstellt worden, in dem in einem anonymen und nicht-repräsentativen Test die deutschen Aufsichtsbehörden “geprüft” wurden. Das Ergebnis darf als interessant eingestuft werden.

Frage nach der Meldepflicht von Videoüberwachung

Was war geschehen? Der Forumsnutzer hdv55 hatte nach eigenen Angaben einige wohl rechtlich fragwürdige Angaben einer Landesaufsichtsbehörde erhalten und fühlte sich dadurch zu einem bundesweiten Vergleichstest für Auskünfte von Aufsichtsbehörden veranlasst.

Er formulierte eine datenschutzrechtlich nicht zu schwere Frage mit einem zwar konstruiertem aber häufig vorkommenden Fall von Videoüberwachung in einem kleineren Betrieb und stellte den Behörden jeweils die Frage, ob die Videoüberwachung der Meldepflicht unterliegen würde.

Antworten waren von … bis …

Sowohl in der Antwortzeit wie auch in der Qualität gab es signifikante Unterschiede. Einige antworteten zügig und richtig, einige rechtlich eher fragwürdig, eine gar nicht. Der Autor:

“Die Stellungnahmen der Aufsichtsbehörden sind sehr unterschiedlich und meiner Meinung nach leider allzu oft falsch. Da das Thema Videoüberwachung in Unternehmen heutzutage für die Behörden ja alles andere als einen exotischen Einzelfall darstellt verwundert ein solches Spektrum doch sehr. So sind einige Aufsichtsbehörden der Auffassung, Videoaufzeichnungen sind grundsätzlich nicht meldepflichtig. Andere schrieben genau das Gegenteil und sahen sogar die notwendigen Voraussetzungen zur Bestellung eines DSB und einer Vorabkontrolle als erfüllt an.”

Interessanter Ansatz

Eigentlich muss man von einer Aufsichtsbehörde erwarten, dass sie umfassend und rechtlich richtig berät. Dies haben einige, der Autor erwähnte lobend Hamburg und Sachsen-Anhalt, auch getan. Leider aber nicht alle. Eine Stellungsnahme der einzelnen Behörden steht aus, bzw. ist auch nicht zu erwarten.

Im Prinzip war der Ansatz eines bundesweiten Vergleichs mit einem recht entlarvenden Ergebnis ein interessantes Experiment. Auch wenn man zugunsten der Aufsichtsbehörden bedenken muss, dass wahrscheinlich viele solcher Anfragen gestellt werden und diese mit der aktuellen Personalausstattung nicht immer so sorgfältig behandelt werden können, wie sie es verdient hätten. Auch gilt bei Rechtsthemen generell, dass es oftmals mehrere juristisch vertretbare Auffassungen gibt (andernfalls gäbe es keine Gerichte…).

Fazit

Wir wollen an diesem Punkt nicht nachtreten. Es bleiben zwei Punkte, die aus unserer Sicht festzuhalten sind:

• über den Aufsichtsbehörden wölbt sich allzu oft der blaue Himmel. Das tut niemandem, auch keiner Behörde gut. Wünschenswert wäre, wenn auch deren Arbeit gelegentlich einmal gerichtlich überprüft wird.
• die Uneinheitlichkeiten der Antworten zeigt, dass hier vielleicht nicht das föderale Prinzip herrschen sollte. Unter Umständen wäre eine zentrale, finanziell und politisch unabhängige Datenschutzaufsichtsbehörde, die mit einer Stimme spricht, hier die bessere Wahl.

Übrigens: Hätte das fiktive Unternehmen aus dem Test einen Datenschutzbeauftragten bestellt, würde das Verfahren nicht der Meldepflicht unterliegen…

Was die ineffiziente Finanzverwaltung nicht schafft, soll der öffentliche Druck des Onlineprangers erzwingen: Geld in den maroden griechischen Staatshaushalt bringen. Das Finanzmisterium in Athen hat daher am Sonntag eine “Liste der Schande” mit Steuersündern im Internet veröffentlicht.

Aufgeführt werden über 4.000 Griechen, die beim Staat mit Steuerschulden in Höhe von 15 Milliarden Euro in der Kreide stehen.

Liste der Schande auch in Deutschland?

Schon wird eifrig spekuliert: Taugt diese Modell als Vorbild auch für Deutschland? Geht´s nach den Lesern von Spiegel Online ist der Antwort klar. Über 84 % (Stand: 16.37 Uhr) der Teilnehmer an einer Umfrage sprechen sich für einen Onlinepranger auch für deutsche Steuersünder aus.

Vox Populi – Vox Rindvieh? Wie wäre eigentlich die Rechtslage in Deutschland?

Steuerliste durch Finanzverwaltung

Die namentliche Veröffentlichung als Steuersünder ist ohne Frage ein erheblicher Eingriff in das grundgesetzlich geschützte Persönlichkeitsrecht der Betroffenen.

Eine solche offizielle Liste des Finanzministeriums als hoheitlicher Akt wäre nur zulässig aufgrund einer speziellen gesetzlichen Ermächtigungsgrundlage. Die müsste erst einmal geschaffen werden. Zudem müsste gefragt werden, zu welchem Zweck die Veröffentlichung erfolgt und ob die Veröffentlichung zur Erreichung des Zwecks angemessen ist und das mildeste Mittel darstellt.

Im Fall Griechenland müsste man fragen, warum der Staat nicht einfach die Steuern eintreibt und entsprechend hoheitlich mit Zwangsmaßnahmen gegen die Steuersünder vorgeht. Dass der Staat sich gezwungen sieht eine Liste zu veröffentlichen, sagt ja, dass er bereits kapituliert hat. Vielleicht wäre es sinnvoller, eine Liste der Mitarbeiter der Finanzverwaltung zu veröffentlichen.

Steuerliste durch Presseveröffentlichung

Anders sieht´s für eine etwaige Veröffentlichung durch die Presse aus. Zwar gelten die Grundrechte auch hier. Allerdings sind nicht nur die Grundrechte der Betroffenen (Art. 1 Abs. 1, Art. 2 Abs. 1 GG, Art. 8 Abs. 1 EMRK ), sondern auch die grundrechtlich geschützten Interessen der Presse und der Öffentlichkeit (Art. 5 Abs. 1 GG, Art. 10 EMRK) zu berücksichtigen. Diese müsste man miteinander abwägen und in Einklang bringen. Denn, wie das Bundesverfassungsgericht (BVerfGE 114, 339, 348) sagt, liegt

… wegen der Eigenart des Persönlichkeitsrechts als eines Rahmenrechts … seine Reichweite nicht absolut fest, sondern muss erst durch eine Abwägung der widerstreitenden grundrechtlich geschützten Belange bestimmt werden, bei der die besonderen Umstände des Einzelfalles sowie die betroffenen Grundrechte und Gewährleistungen der Europäischen Menschenrechtskonvention interpretationsleitend zu berücksichtigen sind.

Abwägung: Persönlichkeitsrecht vs. Informationsinteresse

Der Eingriff in das Persönlichkeitsrecht ist jedenfalls nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt (BGH 01.02.2011 – VI ZR 345/09). Zu welchem Ergebnis letztlich ein Gericht käme ist unklar, da es immer einer Einzelfallentscheidung bedarf.

Gegen eine Veröffentlichung spricht: Ein öffentlicher Pranger bewirkt natürlich eine öffentliche Stigmatisierung (und soll sie auch gerade bewirken). Dies wird von den Gerichten immer kritisch beurteilt, da ein solcher Pranger “Anknüpfungspunkt für eine soziale Ausgrenzung und Isolierung” werden kann (so etwa: BVerfGE 97, 391, 404 f.; BVerfG AfP 2009, 365 Rn. 17).

Für eine Veröffentlichung spricht dagegen: Ohne Steuern kann ein Staat als solcher nicht funktionieren. Wer sein Geld lieber ins Ausland bringt bzw. Steuern einfach nicht zahlt (wie im Falle Griechenlands) sorgt letztlich dafür, dass der Staat zentrale Aufgaben nicht mehr wahrnehmen kann oder allgemeine Steuern (wie etwa Umsatzsteuer) steigern muss. Je mehr die Betroffenen Personen des öffentlichen Lebens sind und ohnehin in der Öffentlichkeit stehen, desto stärker ist das Interesse der Allgemeinheit. Die Personen dienen als Vorbild für die Gesellschaft – auch wenn sie es nicht wollen – und profitieren von ihrer Bekanntheit.

Besonderheit bei Straftaten

Zudem geht es bei Veröffentlichung von solchen Listen letztlich immer um einen Bericht über eine Straftat. Hierzu sagt der BGH, dass bei einer Berichterstattung über eine Straftat zu berücksichtigen ist,

dass eine solche Tat zum Zeitgeschehen gehört, dessen Vermittlung Aufgabe der Medien ist. Die Verletzung der Rechtsordnung und die Beeinträchtigung individueller Rechtsgüter, die Sympathie mit den Opfern, die Furcht vor Wiederholungen solcher Straftaten und das Bestreben, dem vorzubeugen, begründen grundsätzlich ein anzuerkennendes Interesse der Öffentlichkeit an näherer Information über Tat und Täter.

Demnach spricht daher viel dafür, die Berichterstattung über Steuersünder auch nach deutschem Recht für zulässig zu halten. Denn, so der BGH,

Bei der Abwägung des Informationsinteresses der Öffentlichkeit an einer Berichterstattung mit der damit zwangsläufig verbundenen Beeinträchtigung des Persönlichkeitsrechts des Täters verdient für die aktuelle Berichterstattung über Straftaten das Informationsinteresse im Allgemeinen den Vorrang.

Ergebnis

Zwar erging die Rechtsprechung zu erheblichen Straftaten und Kapitalverbrechen. Schulden die genannten Steuersünder dem Staat aber wie im Falle Griechenlands 15 Mrd., mithin fast 10% des Staatshaushalts, besteht ein berechtigtes Interesse der Bürger, wer auf solch einer Liste steht.

Vor wenigen Tagen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Register aktueller Cyber-Gefährdungen und -Angriffsformen auf seiner Webseite zum Download veröffentlicht. In dieses Register sind die Ergebnisse von Umfragen des BSI bei Verbänden, Unternehmen und Forschungseinrichtungen eingeflossen.

Wissen fördert Schutz

Wissen darüber, welche Gefährdungen und Gefährdungslagen im Rahmen von Cyber-Angriffen bestehen, ist Voraussetzung für einen wirksamen Schutz, indem rechtzeitig geeignete präventive Maßnahmen ergriffen werden können.

Top 6 der aktuellen Cyber-Angriffsformen

Derzeit werden laut dem Register folgende Gefährdungen als besonders bedrohlich und relevant erachtet:

1. gezieltes Hacking von Webservern, um Schadsoftware zu platzieren oder Spionage in angeschlossenen Netzen oder Datenbanken vorzubereiten
2. Drive-by-Exploits zur breitflächigen Infiltration von Schadsoftware beim Surfen, um die Kontrolle des betroffenen Rechners zu übernehmen
3. gezielte Schadsoftware-Infiltration über E-Mail oder Social Engineering, mit dem Ziel, die Kontrolle über den Rechner zur anschließenden Spionage zu erlangen
4. Distributed Denial of Service-Angriff mittels Botnetz, um die Erreichbarkeit von Webservern oder die Funktionsfähigkeit der Netzanbindungen zu stören
5. ungezielte Verbreitung von Schadsoftware mittels Spam oder Drive-by-Explots mit dem Ziel des Identitätsdiebstahls
6. mehrstufige Angriffe, bei denen zunächst zentral Sicherheitsinfrastrukturen manipuliert werden, um anschließend das eigentliche Ziel anzugreifen

3 Phasen bis zum Schaden

In dem vom BSI zur Verfügung gestellten Register sind die drei Phasen beschrieben, in denen Cyber-Angreifer vorgehen. Voraussetzung für einen Cyber-Angriff ist zunächst ein vorsätzliches unerlaubtes Handeln eines Angreifers. Der eigentliche Angriff gliedert sich in die Phasen Initiierung, Vorbereitung und Durchführung.

Angreifertypen

Das Register gibt zunächst einen Überblick über die Gruppen vorsätzlich handelnder Angreifer und unterscheidet hierbei je nach unterschiedlicher Motivationen in

• Cyber-Aktivisten – zur Einflussnahme z.B. in politischen, gesellschaftlichen, sozialen und wirtschaftlichen Bereichen
• Cyber-Kriminelle – mittels Informationstechnik illegal Geld verdienen
• Cyberterroristen – zur Verbreitung einer bestimmten Ideologie und Steigerung der Einflussnahme
• Wirtschaftsspione – Informationsgewinn über Mitbewerber und deren Produkte aus finanziellen Interessen
• Nachrichtendienste – Informationsbeschaffung und Einflussnahme
• Skript-Kiddies – Austesten von Kenntnissen und Fähigkeiten

Konkrete Gefährdungen und Angriffsformen

Gegliedert nach den jeweiligen Angriffsphasen listet das Register die typischen Angriffspunkte und konkrete Beispiele hierzu auf:

Angriffsinitiierung

• Angriffszweck (z.B. Angriffe auf Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Imageschaden)
• Angriffsziel (z.B. Informationen, IT-Systeme, Software und Anwendungen, Speichermedien, Kommunikationskanäle)
• Angriffsart (z.B. gezielte und breitflächige Angriffe auf ein Ziel oder mehrere Ziele)

Angriffsvorbereitung

• Informationssammlung über Angriffsziele
• Angriffswerkzeuge (z.B. Schadsoftware, Datenträger, Geräte)
• Angriffstarnung (z.B. Anonymisierungsdienste, Fälschung von IP-Adressen, Identitätsmissbrauch)

Angriffsdurchführung

• Angriffsmethode (z.B. Denial of Service-Angriff, Schadsoftware-Infiltration, Hacking)
• Angriffspunkte (z.B. Browser, E-Mailprogramme, Webserver, Schnittstellen,)
• Spurenbeseitigung (z.B. Löschen bzw. Verbergen genutzter Software, Spuren in Logdateien)

Ständige Aktualisierung erforderlich

Das Register aktueller Cyber-Gefährdungen und -Angriffsformen bildet natürlich nur den derzeitigen Stand ab und wird aufgrund der dynamischen Entwicklungen der Cyber-Sicherheitslage ständig aktualisiert werden.

Die Vollidioten, die willkürlich Autos in Berlin und Hamburg anzünden, haben eigentlich keinen Schutz verdient. Wie bescheuert muss man sein, wie viel überflüssige Zeit muss man haben, damit man seine pseudopolitischen Überzeugungen an völlig unbeteiligten Bürgern auslässt. Und darin sind sich deshalb auch alle einig, die weiter denken können als bis zum nächsten schwarzen Block: Autos anzünden ist einfach unfassbar beknackt.

Aber eine Blankorechtfertigung für jede Form der Datenbeschaffung zur Verfolgung der Täter gibt es trotzdem nicht. Dies scheinen Strafverfolgungsbehörden leider teilweise anders zu sehen, wie eine neues Beispiel aus Berlin zum Thema Funkzellenauswertung zeigt.

Herausgabe sämtlicher Verkehrs- und Verbindungsdaten

Berichten zur Folge haben Polizei und Staatsanwalt 2009 in Berlin die Herausgabe sämtlicher Verkehrs- und Verbindungsdaten eines ziemlich großen räumlichen Bereichs beantragt und per richterlichem Beschluss ihr Ziel auch erreicht. Entscheidend ist dabei, dass die Anfrage nicht aufgrund der Straftatbeteiligung eines bestimmten Nutzers erfolgte, der eine konkrete Mobilfunknummer nutzte, sondern einfach eine pauschale Abfrage aller Funknetzteilnehmer vorgenommen wurde – auf Vorrat eben.

Zur richtigen Zeit am richtigen Ort und trotzdem erfasst

Wer also zum fraglichen Zeitpunkt am fraglichen Ort war (immerhin fast ein ganzer Stadtteil), dessen Daten lagen der Polizei vor. Dabei wird es sich wohl um tausende von SMS und Anrufen handeln. Ein schönes Gefühl für alle Betroffenen. Und irgendwie seltsam, dass diese Daten eigentlich doch gar nicht gespeichert werden, solange kein konkreter Verdacht besteht, oder? Die Schlagworte sind wieder die gleichen… Vorratsdatenspeicherung, Unzulässigkeit, Bundesverfassungsgerichtsurteil, Telekommunikationsgeheimnis. Die Berliner Richter hatten damit jedenfalls damals noch kein Problem und ließen die Übermittlung an die Staatsanwaltschaft zu.

Hamburger Gerichte lehnen Funkzellenabfragen ab

Zur Beruhigung aller aufgebrachten Leser ist hinzuzufügen, dass einige Hamburger Gerichte eine andere Meinung zu diesen pauschalen Abfragen vertraten. Diesen ging der verdachtslose Eingriff in das Fernmeldegeheimnis tausender Unbeteiligter dann doch zu weit. Entsprechende Anfragen der Staatsanwaltschaft wurden zum Ärger des Bundes Deutscher Kriminalbeamter abgelehnt. Dabei brennen auch in Hamburg nachts die Autos und die Ermittlungen gehen nur sehr zäh voran.

Die Meinungen dazu sind also vielfältig und nicht jedes Gericht stellt der Polizei einen Persilschein zur Überwachung aus.

Fazit

Es zeigt sich einmal mehr, dass die Diskussionen um Vorratsdatenspeicherung und Strafverfolgung keine Papiertiger realitätsfremder Wissenschaftler sind, sondern eine Diskussion, die jeden von uns betrifft, der ein Mobilfunktelefon benutzt – jederzeit und überall.

Der Internet-Suchmaschinendienst Identified, der in den USA vor fünf Monaten mit mehr als 40 Millionen Personen, 60.000 Unternehmen und 8.000 Hochschulen an den Start ging, erfreut sich einer zunehmenden Nachfrage seiner Dienste.

Berufstauglichkeit auf einer Skala von 1 bis 100

Zentrale Funktion von Identified ist es, anhand zuvor festgelegter Parameter ein Scoring über Bewerber zu erstellen, die Unternehmen die Auswahl geeigneter Bewerber ermöglichen soll. Dazu erstellt Identified Profile der Arbeitssuchenden, wozu sie Aktivitäten in den Bereichen „Berufsleben“, „Ausbildung“ und „Soziale Netzwerke“ auswertet. Für jedes dieser Bereiche wird dem Bewerber ein Scorewert zwischen 0 und 100 zugeteilt sowie ein zusätzlicher Gesamtscorewert. Unternehmer und Arbeitsvermittler bekommen so im Vergleich zu Diensten wie LinkedIn eine bereits nach Rängen sortierte Auswahl potentiell geeigneter Bewerber zur Verfügung gestellt.

Anzapfen von Facebook-Profilen – auch denen von Nichtnutzern

Datenschutzrechtlich brisant ist die Herkunft der für die Profilerstellung notwendigen Informationen: Diese werden aus den Facebook-Profilen der Nutzer gezapft. Neben den Informationen der Identified-Nutzer wird auch auf die Informationen der Facebook-Freunde zugegriffen. So werden auch Scorings für nichtregistrierte Nutzer erstellt. Ein Großteil der 40 Millionen Nutzer, über die in der Anfangszeit Scorings erstellt worden sind, bestanden aus nicht registrierten Nutzern.

Perfider Bewertungsmechanismus

Haarsträubend ist auch der Umstand, dass der Bewertungsmechanismus von Identified schwerpunktmäßig auf dem quantitativen Vorhandensein von Nutzer-Informationen beruht. Das Scoring-Ergebnis fällt höher aus, je mehr Informationen Identified zur Verfügung stehen. Die Nutzer werden dazu animiert, möglichst viele Informationen über sich auf Facebook preiszugeben um in die höheren Scoring-Ränge aufzusteigen.

Kein weiter Weg vom Scoring zum Rating

Die Gründer von Identified, Brendan Wallace und Adeyemi Ajao – letzterer der Gründer von Tuenti.com, dem spanischen Facebook – planen bereits die Einführung zusätzlicher Parameter, um durch ein feinmaschigeres Raster detailliertere Profile für Ihre Scorings erstellen zu können. Sie haben schon ihre Einschätzung verlautbart, wonach ihre Dienste nicht nur für die Jobsuche, sondern auch für andere wirtschaftliche Zwecke nutzbar seien.

In bitterer Wahrheit bezeichnen sie ihre Suchmaschine selbst als „Google-Ranking für Menschen“.

Der Einsatz von RFID-Technologie (Radio Frequency Identification – Identifizierung per Funk) wurde in der vergangenen Zeit von Datenschützern immer wieder kritisiert. Wir selbst berichteten letztes Jahr über die Forderung der Bundesländer Rheinland-Pfalz und Berlin an die Bundesregierung, sich für mehr Datenschutz beim Einsatz von RFID-Technologie einzusetzen.

Bereits im Jahr 2003 verlieh der Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e.V. (FoeBuD) den so genannten Big Brother Award an die Metro AG für ihr Projekt “Future Store”, mit dem diese die RFID-Technologie propagieren wollte. Die Idee war, Barcodes auf Waren durch RFID-Chips zu ersetzen.

Nutzung von RFID-Chips durch Modelabels

Nunmehr geraten auch Modelabels in die Kritik, die die für den Verbraucher kaum wahrzunehmenden oder zu ertastenden Funkchips in ihren Kleidungsstücken integrieren. Bereits letztes Jahr war die italienische Modemarke Peuterey, deren Hauptvertriebssitz sich in Düsseldorf befindet, in den Fokus der Datenschützer gerückt, weil die unter ihr angebotenen Kollektionen mit RFID-Chips bestückt worden waren und dies sogar mit einem Aufnäher „Don`t remove this label“ vertuscht wurde. Hierfür erhielt das Unternehmen den Big Brother Award 2011.

Das bekannte Modelabel Gerry Weber hat sich Berichten von zeit-online zufolge zwischenzeitlich auch für den Einsatz von RFID-Chips entschieden. Das Unternehmen soll die Chips, ohne seine Kunden hierüber zu informieren, unter dem Pflege-Hinweis angebracht haben. Bemüht hatte sich das Unternehmen zwar um einen datenschutzrechtskompatiblen Einsatz – der Austausch mit dem FoeBuD führte jedoch zu keiner Einigung.

Warum werden RFID-Chips in der Industrie eingesetzt?

Die RFID-Technologie wird bislang hauptsächlich im Bereich der Logistik genutzt, um Warenströme verfolgen zu können, aber auch zur Kontrolle des Warenbestandes, also zur Diebstahlssicherung. Allerdings weist die RFID-Industrie selbst auch auf andere Einsatzmöglichkeiten hin, etwa die Nutzung zur Identifikation von Kunden, um diese persönlich ansprechen und Werbung individuell platzieren zu können.

und was kritisieren Datenschützer?

Dass die Chips nicht spätestens an der Kasse entfernt werden. In dem Moment, in dem die Ware mitsamt integriertem Chip dem Kunden übergeben wird, kann dieser mit entsprechenden Lesegeräten jedenfalls auf eine Entfernung von mehreren Metern – für ihn unmerklich – zurückverfolgt werden. Ausgelesen werden kann zunächst einmal eine Identifikationsnummer, die dem jeweiligen Warenexemplar eindeutig zugeordnet ist.

Doch im Zeitalter des bargeldlosen Zahlungsverkehrs und von Kundenkarten wird dem verkaufenden Unternehmen nicht selten auch der volle Vor- und Zuname des kaufenden Kunden gleich mitgeliefert. Dies ermöglicht dann sogar einen direkten Rückschluss auf die Identität des Besitzers der anhand des RFID-Chips zurückverfolgbaren Ware. Dies hat datenschutzrechtlich bereits deshalb katastrophale Auswirkungen, da die Erhebung und Verwendung der durch die Chips erlangten personenbezogenen Daten ganz ohne Wissen des Betroffenen vorgenommen werden.

Die technischen und rechtlichen Diskussionen um die Überwachungsmöglichkeiten bei Voice-over-IP-Gesprächen könnten eine ganz andere Wendung erhalten.

Nach Angaben von ijure.org soll die Voice-over-IP-Software Skype selbst eine Abhörschnittstelle und damit die Möglichkeit bieten, auch netzinterne Voice-over-IP-Gespräche abzuhören. Damit wäre ein “Testlauf” der Spionage-Software FinSpy, über den wir erst gestern berichteten, jedenfalls im Hinblick auf Abhörmaßnahmen bei Skype hinfällig.

Abhörmöglichkeiten bei den Funktionen “Skype-In” und “Skype-Out”

Bei der Funktion “Skype-In”, bei der dem Skype-Nutzer eine ganz normale Telefonnummer zugewiesen wird, auf der er vom Festnetztelefon oder Handy aus angerufen werden kann und der Funktion “Skype-Out”, bei der der Nutzer aus dem Skype-Netz heraus eine Verbindung zu einem Anschluss unter Angabe einer klassischen Telefonnummer herstellt, ist technisch gesehen, ein Abhören wie bei einer normalen Telefonüberwachung möglich.

Bei beiden Verbindungsarten werden zwei separate Verbindungen hergestellt, eine echte Skype-Voice-over-IP-Verbindung und eine normale Telefonverbindung, die am Gateway verknüpft werden. Dort, also am Gateway zum klassischen Telefonnetz, endet dann ohnehin die Verschlüsselung mit der Folge, dass sich sowohl “Skype-In” als auch “Skype-Out” Gespräche hier als unverschlüsseltes Audio-Signal mit einer „normalen“ Telefonüberwachung abgreifen lassen.

Und bei Gesprächen, die ausschließlich innerhalb des Skype-Netzes geführt werden?

Normalerweise wird bei Gesprächen von Skype-Nutzer zu Skype-Nutzer, also ohne Inanspruchnahme einer herkömmlichen Telefonnummer, ausschließlich eine verschlüsselte Skype-Verbindung genutzt, was die technische Realisierung eines verfassungskonformen staatlichen Abhörens derartiger Gespräche nach wie vor große Probleme stellt.

Durch eine heimliche Kombination der Funktionen „Skype-In“ und „Skype-Out“ durch den Netzbetreiber Skype selbst – oder besser gesagt den Software-Konzern Microsoft, der Skype im Sommer 2011 übernommen hat – könnte auch bei solchen Gesprächen eine Verschlüsselung der Verbindung umgangen werden.

Dies könnte dadurch erreicht werden, dass tatsächlich gar keine verschlüsselte Direktverbindung aufgebaut wird, sondern jeweils eine vorgeblich aus dem Skype-Netz heraus gerichtete Verbindung ins normale Telefonnetz, indem dem anrufenden Client das “Skype-Out” Gateway als Endpunkt angegeben wird und nicht der Client des Adressaten. Dem angerufenen Client wird hingegen eine “Skype-In” Verbindung – vom Gateway zu ihm – vorgespiegelt. Anschließend werden beide Verbindungen am Skype-Gateway zusammengeschaltet.

An den jeweiligen Schnittstellen ist dann, wie bei gewöhnlichen “Skype-In” und “Skype-Out” Gesprächen, ein Abhören auf technisch herkömmlichem Wege möglich, während zugleich den Gesprächsteilnehmern suggeriert wird, über eine verschlüsselte und damit sichere Direktverbindung zu kommunizieren.

Und worauf lässt sich die Annahme stützen, dass seitens Microsoft die technischen Einrichtungen für eine derartige Funktion bereits vorliegen oder jedenfalls nur mit geringfügigen Änderungen implementiert werden könnten?

Vor allem auf ein Patent der Firma Microsoft, in dem sie sich bereits im Sommer ein Konzept für das Abhören von Voice-Over-IP-Gesprächen mittels gezielter Umleitung des Datenstroms über einen „recording agent“ hat schützen lassen.

… und nicht zuletzt aufgrund Ziffer 3 Abs. 7 der Skype Datenschutzrichtlinien, der wie folgt lautet:

Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen, und Sie stimmen hiermit einer derartigen Offenlegung zu.

Was wäre die Konsequenz?

Man hätte sich – zumindest im Hinblick auf den Voice-over-IP-Dienst Skype – den Einsatz von Trojanern mit verfassungswidrigen Zusatzfunktionen und eine Diskussion hierüber sparen können. Selbiges gilt für die “Testphase” einer Spionage-Software von einem kommerziellen Anbieter, der bereits den Ägyptischen Geheimdienst im Vorgehen gegen oppositionelle Bewegungen mit dieser Software unterstützt hat.

Außerdem wäre der sämtliches staatliche Handeln begrenzende Grundsatz der Verhältnismäßigkeit hier wohl tangiert – denn der Erwerb oder auch die Entwicklung einer behördeneigenen Spionage-Software dürften vor diesem Hintergrund nicht mehr ohne Weiteres als erforderlich angesehen werden.