Oracles Java-Cloud-Plattform mit zahlreichen Sicherheitslücken

Donnerstag, 3. April 2014, 16:37 Uhr

Cloud-Systeme wie -Anwendungen stellen für sensible Daten durch ihren externen Standort ohnehin ein nicht zu verachtendes Sicherheitsrisiko dar, wir berichteten bereits mehrfach.

Wie heise security nun mitteilt, wartet die auf Java basierende Cloud von Oracle mit 30 Sicherheitslücken auf.

Polnischer Sicherheitsforscher findet Lücken

Aufmerksam gemacht auf die 30 Sicherheitslücken hat der polnische Sicherheitsforscher Adam Gowdiak. Diese hat er, so berichtet heise weiter, bereits Mitte Januar an Oracle mitgeteilt. Dort erwiderte man, dass ein genaues Patch-Datum bzw. ein Patch-Zeitraum nicht genannt werden könne, da man bei Oracle noch am Umgang mit Sicherheitslücken in der Cloud arbeite. Adam Gowdiak dauerte dies zu lang, so dass er sich kurzerhand dazu entschloss, die Sicherheitslücken offenzulegen und gleichzeitig einen entsprechenden Beispielcode beizulegen.

 Was genau ist betroffen?

Genau Informationen zu den Lücken können einer Presseinformation von security explorations entnommen werden. Mögliches Angriffszenario ist die Übernahme von Anwendungen durch die Lücken im WebLogic-Server und anderen Komponenten. Hierdurch kann einerseits die Sandbox umgangen werden, aber auch die Ausführung von Schadecode und der Zugriff auf Apps anderer Nutzer ist möglich.

 Was passiert nun?

Nutzer von Oracles Cloud-Plattform sollten schnell handeln! Durch die Veröffentlichung von Bespielcode wird es erwartungsgemäß nicht lange dauern, bis Angreifer versuchen werden die betreffenden Lücken auszunutzen.

Abzuwarten bleibt, wie schnell Oracle reagiert und die Schwachstellen an der Plattform durch Critical Patch Updates (CPU) schließt bzw. die Lücken im Service selbst stopft. Solange Oracle hier keine Abhilfe schafft, sollten Anwender versuchen keine sensiblen Daten in der Cloud abzulegen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

USA verweigern Merkel Auskunft über NSA Spionage

Mittwoch, 2. April 2014, 16:47 Uhr

Die parlamentarische Aufarbeitung des NSA Skandals wird sehr zäh werden. Noch immer gibt es keine Reaktion auf schriftliche Anfragen der Bundesregierung seitens der USA.

Auf Anfrage von Linksfraktionsvize Jan Korte musste die Bunderegierung eingestehen, dass die US-Amerikaner bis heute auf keine ihrer drei schriftlichen Anfragen zur NSA-Spähaffäre aus dem Jahr 2013 reagiert haben: „Auf keines dieser Schreiben liegt bisher eine Antwort vor“, teilte die Regierung nun mit.

Innenpolitische Alibiaktionen der Bundesregierung

Korte warf der Regierung nun Untätigkeit in der Affäre vor und kritisiert: “Bis auf wenige Ausnahmen rhetorischer Natur gab es doch überhaupt keinen Druck auf die US-Regierung, mit der Bundesrepublik oder der EU zu kooperieren.” Man habe jenseits des Atlantiks wahrscheinlich mitbekommen, dass die Fragenkataloge und die Verhandlungen über ein Antispionageabkommen “eher innenpolitische Alibiaktionen der Bundesregierung waren, als ernsthafte Aufklärungsbemühungen”, erklärt Korte. “Ich sehe bei der Bundesregierung noch immer keinen Willen zur Aufklärung.”

Heute muss man sagen: Vor allem weniger!

Doch kann diese merkelsche Untätigkeit nicht wirklich überraschen.

Denn die Kanzlerin sagte zwar in ihrer Rede im Bundestag zur NSA Überwachung, dass es nicht richtig sein könne, dass Deutschland von Partnern wie den USA oder Großbritannien ausgespäht werde. Zu möglichen Gegenmaßnahmen gegen die Überwachung deutscher Bürger und seiner souveränen Regierung erklärte sie aber schon damals:

“Trotzhaltungen haben im Übrigen noch nie zum Erfolg geführt. Ich führe, aber das mit allem Nachdruck, diese Gespräche (mit den USA und GB) mit der Kraft unserer Argumente – nicht mehr und nicht weniger!”

Nun kann man natürlich einwenden, dass ein Geheimdienst nicht geheim wäre, wenn er jedem Linksfraktionsvize auf Zuruf Art und Umfang seiner Tätigkeit erläutern würde.

Allerdings darf man die Untätigkeit gegenüber den USA und GB seitens Merkel doch schon für einen Skandal halten. Jeder betroffene Bürger mag entscheiden, ob Merkel damit ihrem Eid nach Art. 56, Art. 64 Abs. 2 Grundgesetz nachkommt:

“Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde…”

Uns selbst aus der Union wird die Kritik lauter: “Die Amerikaner müssen unsere Fragen endlich beantworten”, sagt etwa Stephan Mayer (CSU), der innenpolitische Sprecher der Unionsfraktion im Bundestag. “Unter Freunden kann es nicht die Haltung sein, dass man die Sorgen des anderen nicht ernst nimmt.”

Lasst Exit Snowden?

Stellt sich die Frage, was der NSA Untersuchungsausschuss nun eigentlich untersuchen soll?

Korte befürchtet wohl nicht zu Unrecht, dass unter den Voraussetzungen der Untersuchungsausschuss “lediglich ein Feigenblatt ohne Wirkung und sein Auftrag, zu mehr Sicherheit für Grund- und Bürgerrechte zu kommen, ad absurdum geführt“ werde.

Und schon werden Stimmen lauter, die einen Aufenthaltstitel für Edward Snowden in Deutschland fordern. Denn unabhängig von dem, was dieser vor einem Ausschuss aussagen könnte, wäre das jedenfalls ein Zeichen der Souveränität gegen die Verweigerungshaltung der überwachenden Staaten.

Dass die Voraussetzungen des § 22 Aufenthaltsgesetz vorliegen, war noch nie so deutlich wie jetzt:

“Einem Ausländer kann für die Aufnahme aus dem Ausland aus völkerrechtlichen oder dringenden humanitären Gründen eine Aufenthaltserlaubnis erteilt werden. Eine Aufenthaltserlaubnis ist zu erteilen, wenn das Bundesministerium des Innern oder die von ihm bestimmte Stelle zur Wahrung politischer Interessen der Bundesrepublik Deutschland die Aufnahme erklärt hat.”

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

E-Mail made in Germany: Jetzt mit Transportverschlüsselung

Dienstag, 1. April 2014, 14:19 Uhr

Wenn die NSA-Spitzelaffäre ein Gutes gebracht hat, so die Diskussion über die Sicherung von E-Mail-Daten beim Service-Provider und beim Transport und die immer lauter werde Forderung der deutschen Verbraucher nach einer relativ leicht umzusetzenden Transportverschlüsselung durch die Provider.

E-Mail made in Germany

Bereits im August 2013 hatten wir in unserem Artikel E-Mail made in Germany: Datenschutz oder nur Marketing berichtet, dass die Initiative „E-Mail made in Germany“ und ihre Mitglieder, die Deutsche Telekom, Freenet, GMX und Web.de, die Einführung einer Transportverschlüsselung für Ihre Kunden planen, um die Inhaltsdaten so grundsätzlich vor dem Zugriff Dritter zu schützen.

Die Umstellung erfolgt jetzt!

Wie Heise-Online am Sonntag berichtet, werden über die an der Initiative beteiligten Provider ab Montag 31.03.2014 ausschließlich SSL-verschlüsselte E-Mails verschickt. Die Umstellung soll nach Auskunft der Provider sukzessive bis zum 29.04.2014 abgeschlossen sein.

Was muss der Kunde tun?

Hier stellt sich die Frage, was der Kunde tun muss, um den künftigen E-Mail-Empfang/Versand sicher zu stellen. Die Vorarbeiten, die der Kunde zur ungestörten Nutzung seines Mailproviders noch leisten muss, sind abhängig von seiner Nutzungsart.

Nutzer der Weboberfläche

Nutzer, die ihre Mails über das Webinterface ihres E-Mail-Providers versenden, müssen auch für die Zeit nach der Umstellung auf verschlüsselten Versand nichts unternehmen und können einfach wie gewohnt ihre E-Mails versenden und empfangen.

  • Hier läuft der verschlüsselte Versandt über https bereits seit einiger Zeit automatisch.

Nutzer mit E-Mail-Client

Nutzer, die ihre Mails über ihren E-Mail-Client (Outlook, Thunderbird etc.)

  • via PoP3 oder IMAP abrufen oder
  • per SMTP versenden,

sollten sicher stellen, dass sie diese nunmehr auf SSL oder STARTTLS umstellen. Bereits seit geraumer Zeit werden diese Nutzer per E-Mail durch ihre Provider hierüber informiert.

Auch Router und Sammeldienste berücksichtigen

Wie Heise Online auch berichtete, kann es sein, dass eine Nutzer trotz der bereits im Client vollzogenen Umstellung weiterhin Info-Mails ihres Providers erhalten. Insoweit weist Heise darauf hin:

“Möglicherweise ist daran ein zusätzlich verwendeter Mail-Client schuld, beispielsweise auf mobilen Geräten. Auch einige Netzwerkgeräte wie Router greifen auf E-Mail-Dienste zu, etwa zum Versand von Statusmeldungen. Unverschlüsselt arbeiten oft auch E-Mail-Sammeldienste von Drittanbietern, die man in vielen Fällen manuell auf die Nutzung von SSL oder STARTTLS umstellen muss.”

Kein Schutz vor Abhörschnittstellen beim Provider

Aber Achtung! Wie bereits in unserem schon zitierten Artikel dargestellt, handelt es sich bei der durch die Provider gewählten Verschlüsselung lediglich um eine Transportverschlüsselung. Vorsicht ist weiterhin geboten, denn die Inhalte liegen auch weiterhin unverschlüsselt auf den Servern der Provider und können hier direkt abgegriffen werden.

Fazit

Die nunmehr eingeführte Transportverschlüsselung ist sicherlich ein erster Schritt hin zu mehr Sicherheit bei der E-Mail-Korrespondenz. Hier besteht allerdings auch weiterhin Entwicklungsbedarf.

Wirkliche Sicherheit wird wohl erst erreicht werden können, wenn weitere Sicherungssysteme, insbesondere eine verschlüsselte Ablage der Inhaltsdaten auf den Servern der Provider und somit das Schließen von Abhörschnittstellen, hinzukommen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

NSA sammelte über 300 Dokumente über Bundeskanzlerin Merkel

Montag, 31. März 2014, 19:11 Uhr

Es vergeht nahezu kein Tag, an denen keine neuen Enthüllungen über geheime Datensammlungen und Auswertungen des US-Geheimdienstes NSA ans Tageslicht kommen. Da verwundert wahrscheinlich auch niemanden mehr, dass aus Dokumenten von Edward Snowden hervorgeht, dass der Überwachungsapparat NSA mehr als 300 Dokumente über die Bundeskanzlerin Angela Merkel angefertigt hat.

Was war passiert?

Wie Spiegel Online berichtet, hat die NSA weit mehr als 300 Berichte über die Bundeskanzlerin in einer speziellen Datenbank für Staats- und Regierungschefs erfasst und gespeichert. Diese Informationen gehen aus einem geheimen NSA-Dokument hervor. In dieser Liste sollen 122 überwachte Staats- und Regierungsschefs enthalten sein, alphabetisch sortiert. Woher die Daten stammen lässt sich nur schwer aus dem Dokument konstruieren. Als Quelle wird unter anderem die SigInt-Datenbank “Marina” genannt, die abgeschöpfte Kommunikationsmetadaten aus aller Welt enthält.

Kanzlerin als eindeutiges Spionageziel?

Das Dokument und die offenbar genutzte Datenbank belegen weiter, dass Informationen über Zielpersonen gesammelt werden sollen, die mit übrigen Mitteln nur schwer auffindbar sind. Bekräftigt wird dieser Umstand damit, dass ein Bericht der Abteilung “Special Sources Operations” vom März 2013 Deutschland als Spionageziel ausmacht. All dies zusammen zeigt auf, dass nicht nur Millionen von Bürgern durch ausländische Geheimdienste überwacht werden, sondern auch die Regierungen der jeweiligen Staaten.

Verfahren der Bundesanwaltschaft

Das nun bekannt gewordene Dokument liefert neuerlichen Nährboden und Beweisstück zugleich, um ein Verfahren der Bundesanwaltschaft wegen Spionageverdachts in Gang zu setzen. Es bleibt abzuwarten, wie die Ermittlungsbehörden in einer so schwierigen Angelegenheit vorgehen und was mögliche Ergebnisse der Ermittlungen für Konsequenzen nach sich ziehen werden.

Fazit

Das nun offenbarte Vorgehen der Geheimdienste belegt einmal mehr, dass nahezu jeder fast grenzenlos und insbesondere anlasslos überwacht wird. Auch undatierten GCHQ-Papiere belegen, dass Satelliten-IP-Diensteanbieter aus Deutschland zur Überwachung des Internetverkehrs überwacht werden. Festzuhalten bleibt, dass nahezu jede digitale Schnittstelle irgendwie durch Geheimdienste erfasst wird.

Verhältnismäßig ruhig bleibt es hingegen bei den Reaktionen der Politik auf die immer wieder neuen Enthüllungen. Dies macht den Anschein, dass man die Debatte mit den Wählern eher vermeiden und aussitzen will, als angemessen zu reagieren. Wünschenswert wäre es, wenn die Politik mehr Energie in die Aufklärung stecke. Höhere Anforderungen an den Datenschutz beim Transfer personenbezogener Daten wären zum Beispiel ein Ansatz.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Pentagon verlagert seine Daten in die Amazon Cloud

Freitag, 28. März 2014, 15:13 Uhr

Gute Nachrichten für das Cloud Business kamen gestern aus dem Pentagon:

Wie die Financial Times berichtet, hat das us-amerikanische Verteidigungsministerium eine Verlängerung der Nutzung des Cloud Dienst der Amazon Web Services (AWS) für alle vier US Regionen der Amazon Cloud, inklusive der Region AWS GovCloud durch das Pentagon genehmigt.

Amazon und die US Regierung

Laut Amazon nutzen bereits 600 Abteilungen der amerikanischen Regierung das Cloud-Angebot, darunter die Luftwaffe und die Navy. Das Pentagon hat nun festgestellt, dass die Amazon Cloud den strengen Sicherheits- und Compliance-Richtlinien genügt (“stringent security and compliance requirements”).

Kennt Amazon alle Geheimnisse aus dem Pentagon?

Das heißt aber nicht, wie die Frankfurter Allgemeine Zeitung etwas reißerisch meint, dass „Amazon bald alle Geheimnisse des Pentagons kennt“.

Denn die Freigabe ist nicht „für besonders sensible Sicherheitsbereiche“, wie die FAZ meint, sondern gilt nur für die Impact Levels 1 und 2 der 5-stufigen Sicherheitsskala des Verteidigungsministeriums. Die Level 1 und 2 umfassen aber nur als nicht-geheim eingestufte private und öffentliche Informationen mit geringem Sicherheitsrisiko („low-risk unclassified public and private information“).

Für sensible und als geheim eingestufte Daten hat die Defense Information Systems Agency des Verteidigungsministeriums einen eigenen internen, nicht-kommerziellen Cloud-Service, die MilCloud geschaffen. Offensichtlich hat diese aber noch nicht die gewünschte Kapazität oder es macht es wegen des geringen Sicherheitsrisikos keinen Sinn, diese „unclassified“ Daten intern zu verwalten.

Super Marketing

Anyway, jedenfalls ein toller Marketingcoup für die Amazon Cloud und die Branche insgesamt. Vielleicht kann dies ja helfen den Anwendern die Befürchtungen gegen die Cloud-Services zu nehmen. Und vielleicht heißt es ja bald:

„Kunden, die Amazon Cloud nutzen, haben auch schon folgende Länder besucht: …“

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Informationspflichten für Diensteanbieter und Dienstleister

Donnerstag, 27. März 2014, 17:57 Uhr

Anbieter von Webdiensten unterliegen umfangreichen Informationspflichten gegenüber den Dienstnutzern. Hierzu zählt insbesondere das Vorhalten eines sog. Impressums und der Datenschutzhinweise zur Erfüllung der Informationspflicht.

Gleiches gilt aber auch für Dienstleistungen, die nicht in Form eines Informations- und Kommunikationsdienstes, also nicht als Webdienst erbracht werden. Dieser Beitrag beschäftigt sich aufgrund wiederkehrender Anfragen zum Thema mit den Informationspflichten bei Telemediendiensten und Dienstleistungen im Übrigen.

Allgemeine Informationspflichten nach dem TMG

Das Telemediengesetz, welches für alle elektronischen Informations- und Kommunikationsdienste wie z.B. Webshops gilt, regelt in § 5, welche Angaben der Diensteanbieter den Nutzern zur Verfügung stellen muss. Dazu gehören:

  • Name und Anschrift, an welcher der Diensteanbieter niedergelassen ist,
  • bei juristischen Personen die Rechtsform, die Vertretungsberechtigten sowie ggf. das Stamm- bzw. Grundkapital,
  • Kontaktinformationen, die eine schnelle elektronische und Kontaktaufnahme und unmittelbare Kommunikation mit den Dienstnutzern ermöglichen, einschließlich einer E-Mail-Adresse,
  • Angaben zur zuständigen Aufsichtsbehörde, soweit die Tätigkeit im Rahmen des Dienstes einer behördlichen Zulassung bedarf,
  • das Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister, in das der Diensteanbieter eingetragen ist sowie die entsprechende Registernummer,
  • soweit der Dienst in Ausübung eines reglementierten Berufs im Sinne der EU-Diplomanerkennungsrichtlinien (vor allem freie Berufe, aber auch Architekten, Physiotherapeuten, und weitere) angeboten oder erbracht wird, Angaben über
    • die Kammer, welcher der Diensteanbieter angehört,
    • die Bezeichnung der berufsrechtlichen Regelungen und dazu, wie diese zugänglich sind,
    • die gesetzliche Berufsbezeichnung und den Staat, in dem die Berufsbezeichnung verliehen worden ist,
  • die Umsatzsteuer- oder Wirtschafts-Identifikationsnummer, soweit vorhanden
  • Angaben über eine Abwicklung oder Liquidation bei AG, KG a.A. und GmbH.

Weitere Informationspflichten aus dem TMG

Weitere Informationspflichten ergeben sich aus § 6 TMG bezüglich kommerzieller Kommunikation im Sinne der Nr. 5 des § 2 TMG.

Darüber hinaus statuiert § 13 TMG die Pflicht zur Information über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten und die Verarbeitung außerhalb des EWR und somit außerhalb des Geltungsbereichs der Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie die Widerrufsmöglichkeit bezüglich einer elektronisch erklärten Einwilligung und die Nutzung des Telemediendienstes sowie die Bezahlung in anonymer oder pseudonymer Form.

Der Diensteanbieter muss außerdem über die Möglichkeit zum Widerspruch gegen die Erstellung von Nutzerprofilen bei Verwendung von Pseudonymen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien informieren (§ 15 Abs. 3 S. 1 TMG).

Informationspflichten nach dem RStV

Nach § 55 des Rundfunkstaatsvertrages hat der Anbieter von Telemedien mit journalistisch-redaktionell gestalteten Angeboten, in denen insbesondere vollständig oder teilweise Inhalte periodischer Druckerzeugnisse in Text oder Bild wiedergegeben werden, einen Verantwortlichen zu benennen.

Informationspflichten nach der DL-InfoV

Die Dienstleistungs-Informationspflichten-Verordnung (DL-InfoV) gilt nach dessen § 1 für Personen, die bestimmte Dienstleistungen erbringen, welche der Richtlinie 2005/36/EG unterfallen. In Abgrenzung zu den Telemediendiensten sind hiervon Dienstleistungen erfasst, die nicht in Form eines Informations- und Kommunikationsdienstes angeboten werden.

Folgende Angaben hat der Dienstleister nach § 2 DL-InfoV stets zur Verfügung zu stellen:

  • Vor- und Nachnamen, Firma, Rechtsform
  • Anschrift seiner Niederlassung oder eine ladungsfähige Anschrift sowie Kontaktangaben zur schnellen und unmittelbaren Kommunikation, insbesondere Telefonnummer und E-Mail-Adresse oder Faxnummer,
  • Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister unter Angabe des Registergerichts und der Registernummer,
  • bei erlaubnispflichtigen Tätigkeiten Name und Anschrift der zuständigen Behörde oder der einheitlichen Stelle,
  • die Umsatzsteuer-Identifikationsnummer, soweit vorhanden,
  • falls die Dienstleistung in Ausübung eines reglementierten Berufs erbracht wird,
    • die gesetzliche Berufsbezeichnung,
    • den Staat, in dem sie verliehen wurde und,
    • falls er einer Kammer, einem Berufsverband oder einer ähnlichen Einrichtung angehört, deren oder dessen Namen,
  • Angaben über verwendete allgemeinen Geschäftsbedingungen,
  • etwaige Rechtswahlklauseln und Gerichtsstandsvereinbarungen,
  • über die gesetzlichen Gewährleistungsrechte hinausgehende gewährte Garantien,
  • die wesentlichen Merkmale der Dienstleistung, soweit sich diese nicht bereits aus dem Zusammenhang ergeben,
  • Angaben zur vorhandenen Berufshaftpflichtversicherung, insbesondere Name und Anschrift des Versicherers und den räumlichen Geltungsbereich.

Wie sind die Informationen zur Verfügung zu stellen?

Die vorgenannten Angaben hat der Dienstleistungserbringer dem Dienstleistungsempfänger wahlweise entweder

  • von sich aus mitzuteilen,
  • am Ort der Leistungserbringung oder des Vertragsschlusses so vorzuhalten, dass sie dem Dienstleistungsempfänger leicht zugänglich sind,
  • dem Dienstleistungsempfänger über eine von ihm angegebene Adresse elektronisch leicht zugänglich zu machen oder
  • in alle von ihm dem Dienstleistungsempfänger zur Verfügung gestellten ausführlichen Informationsunterlagen über die angebotene Dienstleistung aufzunehmen.

Auf Anfrage zur Verfügung zu stellende Informationen sind gem. § 3 DL-InfoV daneben im Fall von reglementierten Berufen Angaben zu

  • den berufsrechtlichen Regelungen und dazu wie diese zugänglich sind,
  • ausgeübten multidisziplinären Tätigkeiten,
  • geltenden Verhaltenskodizes und
  • außergerichtlichen Schlichtungsverfahren.

Diese Angaben sind vor Abschluss eines schriftlichen Vertrages oder ohne schriftlichen Vertrag vor Erbringung der Dienstleistung klar und verständlich zur Verfügung zu stellen und in ausführlichen Informationsunterlagen vorzuhalten.

Rechtsfolgen bei Verstoß gegen Informationspflichten

Verstöße gegen die genannten Informationspflichten stellen Ordnungswidrigkeiten dar, die zu beträchtlichen Bußgeldern führen können. Sie sind darüber hinaus sind kostenträchtig abmahnfähig.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Webhoster und Webanalysedienste – Wer ist verantwortlich?

Mittwoch, 26. März 2014, 14:24 Uhr

Viele Unternehmen fragen sich oft zurecht, ob die für die Unternehmenswebsite verwendeten Webanalyse-Lösungen, sei es in Form der Beauftragung eines Webhosters, der die Webanalysesoftware gleich mit zur Verfügung stellt und administriert, oder durch Verwendung eines vom Drittanbieter erworbenen Softwarepakets mit integriertem Analysetool datenschutzkonform sind. Zu recht sorgen sie sich um eine Haftung, sollten Webhoster und Analysetool nicht die geltenden Datenschutzvorgaben erfüllen.

Wieso ist eine Haftung aus Datenschutzrecht möglich?

Es stellt sich die Frage nach der Haftung für etwaige Verstöße gegen das Datenschutzrecht im Rahmen der Verwendung von Webanalysediensten. In diesem Zusammenhang ist immer wieder darauf hinzuweisen, dass die IP-Adressen, welche in die Analyse einbezogen werden, als personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG gelten, weswegen die datenschutzrechtlichen Vorschriften zu beachten sind.

Im Bereich der Telemedien (z.B. Webshops) gelten zudem die besonderen Datenschutzvorschriften des Telemediengesetzes.

Wer haftet für mögliche Datenschutzverstöße?

In erster Linie haftet der Diensteanbieter im Sinne des § 2 Nr. 1 TMG (z.B. Websitebetreiber), der personenbezogene Daten im Rahmen einer Webanalyse mittels eines Analysetools erhebt und verarbeitet, um für sich entsprechende Informationen zu generieren. Dabei hat er selbstverständlich sämtliche geltenden datenschutzrechtlichen Vorschriften zu beachten. Hierzu gehört u.a., die Analysesoftware datenschutzkonform einzusetzen und Dienstenutzer über den Einsatz sämtlicher verwendeter Analysetools zu informieren. Hinsichtlich der Informationspflichten beim Einsatz von Analysetools verweisen wir auf diesen Beitrag.

Haftet der Diensteanbieter bei Beauftragung eines Webhosters?

Die Pflicht zur Beachtung der Datenschutzvorschriften und eine mögliche Haftung bei Verstößen trifft den Diensteanbieter nicht nur bei der eigenen unmittelbaren Datenerhebung und -verarbeitung, sondern auch, wenn die Datenerhebung und -verarbeitung durch andere Stellen (z.B. Webhoster als externer Dienstleister) weisungsgebunden im Auftrag des Diensteanbieters vorgenommen wird, z.B. indem der Webhoster Analysesoftware zur Verfügung stellt, diese zugleich im Auftrag des Diensteanbieters administriert und die Webanalyse für den Diensteanbieter durchführt. Ist der Webhoster weisungsgebunden für den Diensteanbieter tätig, fungiert er als sog. Auftragnehmer im Rahmen der Auftragsdatenverarbeitung im Sinne des § 11 BDSG.

Die datenschutzrechtliche Verantwortlichkeit und damit Haftung für etwaige Verstöße obliegt dementsprechend dem Diensteanbieter. Dieser muss sämtliche Voraussetzungen für eine datenschutzkonforme Erhebung und Verarbeitung von personenbezogenen Daten erfüllen (§§ 12, 13 und 15 TMG als datenschutzrechtliche Spezialvorschriften im Bereich der Telemedien oder im Übrigen § 4 Abs. 1 BDSG sowie die technischen und organisatorischen Maßnahmen treffen, die zum Schutz personenbezogener Daten erforderlich sind, insbesondere die in der Anlage zu § 9 S. 1 BDSG genannten Anforderungen gewährleisten.

Beim Einsatz von Dienstleistern hat der Diensteanbieter gegenüber Auftragnehmern Weisungen zur Einhaltung der Datenschutzvorgaben zu erteilen und deren Einhaltung regelmäßig zu kontrollieren.

Muss Software eine datenschutzkonforme Verwendung ermöglichen?

Eine Webanalysesoftware, ob nun separat oder in einem Programmpaket, sollte zumindest eine datenschutzkonforme Verwendung für den Anwender (z.B. Websitebetreiber) ermöglichen. Wünschenswert wäre, dass bereits die Default-Einstellungen den Datenschutzanforderungen genügen. Überwiegend ist dies jedoch nicht der Fall, so dass der Anwender gehalten ist, möglichst vorhandene Einstellungen zur Gewährleistung des Datenschutzes zu wählen, z.B. durch Einsatz eines AnonymizeIP-Plugin. Damit wird nach jüngster Rechtssprechung des LG Frankfurt (Urteil vom 18.02.2014, Az.: 3-10 O 86/12) eine Pseudonymisierung von IP-Adressen erreicht.

Was tun, wenn Datenschutzeinstellungen fehlen?

Sofern Tools nicht datenschutzkonform eingesetzt werden können, weil entsprechende Einstellungsmöglichkeiten nicht vorhanden sin, wird vom Einsatz solch einer Software und ggf. Beauftragung von datenschutzrechtlich nicht sensiblen Dienstleistern abgeraten. Wie oben erwähnt, haftet in erster Linie die verantwortliche Stelle. Ob dann im Fall einer Haftung ein Rückgriff auf z.B. Anbieter von Blog- und Seitenangeboten inkl. Analysetools möglich ist, hängt unter anderem auch von der Solvenz solcher Anbieter ab. Unabhängig davon bleibt ein möglicher Imageschaden aber bei der verantwortlichen Stelle hängen.

Haften auch (IT-)Mitarbeiter eines Diensteanbieters?

Maßgeblich ist das Verhältnis zwischen Diensteanbieter und (IT-)Mitarbeitern. Ähnlich des Admin C besteht nach Rechtssprechung des Bundesgerichtshofs eine Haftung gegenüber Dritten nicht ohne weiteres. Als Beschäftigte können sie sich aber bußgeldpflichtig machen. In einem Fall, in welchem eine Mitarbeiterin in einem Unternehmen Datenschutzverstöße verübt hatte, hat die bayerische Datenschutzaufsichtsbehörde ein Bußgeld gegen die Mitarbeiterin persönlich verhängt.

Wie werden Google Analytics und Piwik datenschutzkonform eingesetzt?

Wie Analysetools datenschutzkonform eingesetzt werden können, haben wir hier für Google Analytics mit Ergänzung und hier für Piwik zusammengefasst.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

USA: Erst überwachen, dann Gesetze nachliefern

Dienstag, 25. März 2014, 15:44 Uhr

Spätestens seit Edward Snowdens Enthüllungen haben wir Gewissheit, dass wir von der NSA überwacht werden. Andere Länder zu überwachen, ist für die Mehrheit der US-Bürger nicht verwerflich. Anders sahen die Reaktionen aus als bekannt wurde, dass auch die NSA die Telefondaten von Millionen US-Bürgern sammelt. Der ehemalige Vizepräsident Al Gore ist sich sicher, dass dies nicht dem „amerikanischen Weg“ entspricht und diese Praktiken unrechtmäßig sein.

Gesetzentwurf

Die New York Times berichtet heute, dass der US-Präsident Barack Obama die massenhafte Speicherung von Metadaten über Telefongespräche durch den Geheimdienst NSA beenden will. Sein Vorschlag für eine Gesetzesänderung sieht vor, dass zukünftig nur noch die Telefongesellschaften – wie bisher – 18 Monate die Vorratsdatenspeicherung durchführen.

Weitergaben an Geheimdienste und Ermittlungsbehörden dürfen nur nach vorherigem richterlichen Beschluss stattfinden. Die bisherige Praxis einer Speicherung von fünf Jahren durch die NSA soll abgeschafft werden.

Ausländer als Freiwild

Dies betrifft aber nur die Verbindungsdaten von Telefongesprächen in den USA. Ausländer werden also weiterhin ohne Richtervorbehalt ausgespäht.

Insbesondere ist auch nicht das letzte Woche bekannt gewordene NSA-System MYSTIC vom Gesetzesentwurf erfasst. Dies zeichnet die Telefongespräche eines ganzen Landes für 30 Tage auf. Bisher gibt es noch keine Informationen, welches Land hiervon betroffen ist und wie dies funktioniert. Wie immer ist alles TOP SECRET!

“Was du nicht willst, dass man dir tu’, das füg’ auch keinem anderen zu.”

Diese goldene Regel entspricht augenscheinlich auch nicht dem amerikanischen Weg. Einsicht in eigenes Fehlverhalten ist immer noch nicht ersichtlich. Es handelt sich viel mehr um einen gekonnter Schachzug, um die US-Bürger zu beschwichtigen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Dashcam: Videokamera im Auto zur Unfalldokumentation ist unzulässig

Montag, 24. März 2014, 17:54 Uhr

Der Einsatz sogenannter Dashcams, also Videokameras, die in der Regel im Auto an der Windschutzscheibe installiert sind, nimmt immer mehr zu. Die Verwendung solcher Kameras wird regelmäßig damit begründet, im Falle eines Unfalls den Hergang nachvollziehen zu können und Beweismaterial an der Hand zu haben.

Dass dies datenschutzrechtlich nicht ganz unkritisch ist, liegt auf der Hand. Vor diesem Hintergrund hat sich auch der Düsseldorfer Kreis Ende Februar zu dieser Thematik geäußert. Nach dem Beschluss der Aufsichtsbehörden für den Datenschutz ist eine Videoüberwachung aus Fahrzeugen heraus zum Zweck der Dokumentation eines eventuellen Unfalls unzulässig.

Ist das Bundesdatenschutzgesetz hier anwendbar?

Aus der Überlegung heraus, dass hier ein rein privates Handeln vorliegen könnte, wird diskutiert, ob ein Einsatz mangels Anwendbarkeit des BDSG zulässig sein kann. Gestützt wird diese Annahme darauf, dass die Erhebung, Verwendung oder Nutzung personenbezogener Daten nach § 1 Abs. 2 Nr. 3 BDSG nicht dem Anwendungsbereich des BDSG unterfällt, wenn dies ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt.

Hiergegen wird allerdings zutreffender Weise eingewandt, dass eine systematische Videoüberwachung zu dem Zweck, die Aufnahmen ggf. weiterzugeben, um sich eine vorteilhaftere Rechtsposition zu verschaffen, eben nicht mehr als rein privates Handeln angesehen werden kann. Daher sind Fälle, in denen die Aufnahme zu dem Zweck erfolgt, die Videodaten im Streitfall zur Dokumentation des Unfallhergangs zu verwenden, nach dem BDSG zu beurteilen. Dies hebt der Düsseldorfer Kreis in seinem Beschluss auch explizit hervor, wenn er ausführt:

“Soweit mit den Dashcams in öffentlich zugänglichen Bereichen gefilmt wird und als Hauptzweck der Aufnahmen die Weitergabe von Filmaufnahmen zur Dokumentation eines Unfallherganges angegeben wird, ist der Einsatz, auch wenn die Kameras von Privatpersonen eingesetzt werden, an den Regelungen des Bundesdatenschutzgesetzes zu messen.”

Datenschutzrechtliche Unzulässigkeit nach § 6b BDSG

Nach § 6b Abs. 1 Nr. 3 und Abs. 3 BDSG ist eine Beobachtung und Aufzeichnung mittels Videokameras nur zulässig, soweit dies zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Diese Voraussetzungen sind nach Auffassung der Datenschutzbehörden nicht gegeben:

“Diese Voraussetzungen sind in aller Regel nicht erfüllt, da die schutzwürdigen Interessen der Verkehrsteilnehmer überwiegen. Das informationelle Selbstbestimmungsrecht umfasst auch das Recht des Einzelnen, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung gemacht zu werden. (…) Das Interesse des Autofahrers, für den eher theoretischen Fall eines Verkehrsunfalls Videoaufnahmen als Beweismittel zur Hand zu haben, kann diesen gravierenden Eingriff in das Persönlichkeitsrecht der Verkehrsteilnehmer nicht rechtfertigen.”

Aufnahmen zu rein privaten Zwecken

Bleibt die Frage, wie die Rechtmäßigkeit solcher Aufnahmen zu beurteilen ist, die tatsächlich aus rein persönlichen Motiven heraus erfolgen. Das BDSG ist aus den zuvor beschriebenen Erwägungen heraus hier nicht anwendbar.

Allerdings dürfen auch diese Videodaten nicht das Allgemeine Persönlichkeitsrecht (Art. 1 Abs. 1 GG iVm Art 2 Abs. 1 GG) der Aufgenommenen verletzen. In diesem Fall drohen Unterlassungsansprüche der Betroffenen (§ 1004 Abs. 1 S. 2 BGB analog). Gerichtliche Entscheidungen zu dieser Thematik liegen bislang nicht vor. Die weitere Entwicklung der Beurteilung der Zulässigkeit solcher Aufnahmen in Literatur und Rechtsprechung bleibt also mit Spannung abzuwarten.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Facebook “Custom Audiences”: Vereinbar mit dem Datenschutz?

Freitag, 21. März 2014, 9:40 Uhr

Wer für Dienstleistungen im Netz nichts bezahlt, bezahlt am Ende doch und zwar mit seinen persönlichen Daten. So alt diese Erkenntnis mittlerweile auch ist, Facebook findet immer neue Möglichkeiten diesen Spruch in die Tat umzusetzen.

Eine noch relativ neue Möglichkeit Facebook Nutzer mit Werbung zu überschwemmen heißt “Custom Audiences“. Wie nicht anders zu erwarten preist Facebook seine neue Funktion auf der “Facebook and Privacy“-Page als besonders datenschutzfreundlich an und suggeriert hierdurch Rechtskonformität. Grund genug also diese Funktion einer rechtlichen Prüfung zu unterziehen.

Wie funktioniert Custom Audiences?

Wichtig hierfür ist die Funktionsweise von Custom Audiences, welche nachfolgend in verschiedenen Schritten dargestellt wird. Zum Vergrößern bitte auf das Bild klicken.

Custom Audience

Schritt 1:

Der Werbende lädt eine Liste mit E-Mail-Adressen oder Telefonnummern in seinen Browser, deren Inhaber später beworben werden sollen.

Schritt 2:

Um die o.g. Daten nicht im Klartext an Facebook zu versenden, werden die E-Mail-Adressen und Telefonnummern vor der Versendung lokal vom Werbenden gehashed. Eine Rückrechnung der gehashten Werte auf die Klartexte ist somit für Facebook nicht möglich, soweit Facebook diese Daten nicht bereits vorrätig hat, da es sich bei einer kryptografischen Hashfunktion um eine Einwegfunktion bzw. sog. Falltürfunktion handelt.

Schritt 3:

Nach verschlüsselter Übermittlung der Daten an Facebook über den eigenen Facebook-Account und die entsprechenden Schnittstellen nimmt Facebook einen Abgleich der vom Werbenden berechneten Hashwerte mit den selbst berechneten Hashwerten vor, denn Facebook hat von jedem eigenen Nutzer auch eigene Hashwerte aus den beiden o.g. Informationen angelegt, welche nun einen Abgleich mit den übermittelten Hashes ermöglichen. Durch diesen Abgleich erfährt Facebook, welcher der Betroffenen zugleich auch Facebook-Nutzer ist und von Facebook zielgerichtet beworben werden kann. Durch das Hashingverfahren wird zugleich vermieden, dass Facebook darüber hinaus sinnvolle bzw. nutzbare Klardaten von anderen Betroffenen erhält.

Schritt 4:

Die sich aus dem Abgleich ergebenden Übereinstimmungen, also die zu bewerbenden Facebook-Nutzer werden sodann im Kundenaccount des Werbenden als “Custom Audience” gespeichert. Nicht übereinstimmende Hashes werden naturgemäß ignoriert.

Schritt 5:

Die Hashwerte werden, gleichgültig ob übereinstimmend oder nicht, gelöscht sobald der Abgleichprozess beendet ist.

Schritt 6:

Das Endergebnis ist, dass der Kunde ein zugeschnittenes Zielpublikum (Custom Audience) für seine Facebook-Werbung erhält, welches im Werbeaccount des Werbenden gespeichert wird und nur von autorisierten Konto-Admins benutzt werden kann. Nach Eigenaussage von Facebook kann der Werbende die dahinter stehenden Einzelpersonen jedoch nicht identifizieren, sondern erhält lediglich Einblick in die ungefähre Anzahl der Menschen, die sein Zielpublikum enthält.

Ist der rechtskonforme Einsatz möglich?

Fraglich ist jedoch, ob das seitens Facebook angebotene Verfahren tatsächlich in Europa rechtskonform einsetzbar ist. Die Übermittlung personenbezogener Daten an Dritte ist jedenfalls nur dann zulässig, wenn der Betroffene eingewilligt hat oder eine Rechtsgrundlage (z.B. ein Gesetz) besteht (§ 4 Abs. 1 BDSG).

Bei Facebook Custom Audiences ist mangels entsprechender Rechtsgrundlage eine Einwilligung des Betroffenen zwingende Voraussetzung für den rechtskonformen Einsatz.

Handelt es sich überhaupt um personenbezogene Daten?

Fraglich ist, ob es sich im vorliegenden Fall trotz Hashing aus Sicht des Empfängers (hier Facebook) um personenbezogene Daten handelt. Folgt man mit der wohl herrschenden Meinung der objektiven Theorie, wonach ein Personenbezug bereits dann zu bejahen ist, wenn die objektive Möglichkeit zur Herstellung eines Personenbezugs ausreicht, so handelt es sich vorliegend um personenbezogene Daten.

Selbst wenn man aber der subjektiven Theorie folgen würde, wonach die subjektive Fähigkeit des Empfängers für die Frage des Personenbezugs entscheidend wäre, so erfährt Facebook zumindest wer Kunde des Werbenden ist oder in elektronische Werbung des Werbenden eingewilligt hat (denn nur in solchen Fällen wäre elektronische Werbung gem. § 7 Abs. 2 Nr. 3 und Abs. 3 UWG  überhaupt zulässig), was letztlich personenbezogene Daten darstellt.

Mangels einer vorliegenden Rechtsgrundlage, ist eine Datenübermittlung an Facebook aus Sicht des werbenden Unternehmens daher nur für den Fall zulässig, dass der Nutzer gegenüber dem Werbenden in die Übermittlung seiner Daten an Facebook wirksam eingewilligt hat.

Wie ist eine Einwilligung in die Datenübermittlung zu gestalten?

Hieran wird es jedoch regelmäßig fehlen, zumal an den Inhalt einer solchen Einwilligung im Hinblick auf dessen Transparenz extrem hohe Anforderungen zu stellen sind (§ 4a Abs. 1 S2 BDSG, § 307 Abs. 1 S2 BGB).

Eine solche Einwilligung müsste konkret darauf hinweisen, welche Daten zu welchem Zweck an welche Legaleinheit (z.B. Facebook Irland oder Facebook USA) in welchem Land übermittelt werden. Diese Einwilligung beträfe allerdings nur die Datenweitergabe.

Die unbefugte Verarbeitung bzw. Übermittlung eines personenbezogenen Datums kann ein Bußgeld von bis zu 300.000,- EUR nach sich ziehen (§ 43 Abs. 2 Nr. 1 BDSG). Wer also gleich seine ganze Kundendatenbank unbefugt an Facebook übermittelt, setzt sich des Risikos eines millionenschweren Bußgelds aus.

Wie ist die Einwilligung in die elektronische Werbung zu gestalten?

Soweit es sich zudem nicht um Bestandskundenwerbung gem. § 7 Abs. 3 UWG handelt, wäre eine elektronische Werbung nur mit Einwilligung des Betroffenen zulässig. Nach der Payback-Entscheidung des BGH, müsste die Einwilligung in den Erhalt elektronischer Werbung nach richtlinienkonformer Auslegung des § 7 Abs. 2 Nr. 3 UWG zusätzlich, d.h. getrennt von sonstigen Erklärungen erfolgen. Auch diese Einwilligung müsste konkret erläutern welche Legaleinheit, mittels welchem Werbemedium (z.B. E-Mail oder Telefon) welche Produktkategorien (z.B. Elektronikartikel) bewerben darf.

Erfahrungsgemäß scheitern elektronische Werbemaßnahmen häufig an einer nicht vorhandenen oder unwirksamen Einwilligung.

Besser jemanden fragen, der sich damit auskennt

Jemanden bei dem sich beim Thema Facebook vermutlich regelmäßig die Nackenhaare aufstellen, der Ihnen aber bei dem Thema Datenschutz weiterhelfen kann, ist Ihr betrieblicher Datenschutzbeauftragter.

Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren