Am 26. Mai findet in Berlin der Verbandstag des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. statt. Gregor Klar, Geschäftsführer von brainosphere 1 und seit kurzem Mitglied des BvD, wird daran teilnehmen. Zu erwarten sind spannende Vorträge und Diskussionen rund um das Thema Datenschutz.

Seit seiner Gründung im Jahr 1989 arbeitet der BvD als Schnittstelle zwischen Wirtschaft, Politik, Wissenschaft und Datenschutzbeauftragten. Zu den weiteren Aufgaben des Verbands gehört die Unterstüzung der Mitglieder in ihrer täglichen Arbeit als Datenschutzbeauftragte. Außerdem bietet der BvD eine Vielzahl an Weiterbildungsangeboten und fördert die Vernetzung seiner Mitglieder. Diese haben auch die Möglichkeit, sich bei der Ausarbeitung von Fachthemen den BvD-Arbeitskreisen anzuschließen.

Gern übernimmt Gregor Klar die Funktion des Datenschutzbeauftragten auch in Ihrem Unternehmen. Mehr dazu gibt es hier. Wussten Sie, dass das Bundesdatenschutzgesetz (BDSG) jeden Arbeitgeber verpflichtet, die mit der Verarbeitung personenbezogener Daten beschäftigten Personen mit den Vorschriften des BDSG vertraut zu machen (§ 4g Abs. 1 BDSG)? Gern schulen wir Sie und Ihre Mitarbeiter online zum Bundesdatenschutzgesetz (BDSG) und zum Allgemeinen Gleichbehandlungsgesetz (AGG).

Ob Impressum, AGB oder Datenschutzerklärung – wer in Deutschland eine Webseite betreiben möchte, muss sich mit allerlei rechtlichen Beschränkungen und Vorgaben herumschlagen. Weitere Regelungen hat nun die hessische Landesregierung erarbeitet. Einen entsprechenden Gesetzentwurf möchte sie über den Bundesrat einbringen. Im Fokus stehen diesmal soziale Netzwerke, Online-Shops, Foren oder Blogs – sprich alle Webangebote, die eine Registrierung erforderlich machen. Vorgesehen sind verschiedene Änderungen am Telemediengesetz.

So sollen User in der Lage sein, mit einem Klick ihr Nutzerkonto aufzulösen. Inaktive Konten müssen automatisch gelöscht werden. Bei der Löschung sind auch alle zum Account gehörenden Inhalte, z.B. Kommentare zu löschen. Zudem muss bei Erstellung eines neuen Nutzerkontos die höchste Sicherheitsstufe per Default eingestellt sein – was das genau heißt, wird nicht gesagt. Auch muss der User einstellen können, ob seine dort angegebenen Daten von Suchmaschinen erfasst werden sollen.

Der Webseitenbetreiber soll zukünftig den User zudem über mögliche Risiken für personenbezogene Daten und damit verbundene Beeinträchtigungen seiner Persönlichkeitsrechte informieren. Zudem sollen Webseitenbetreiber verpflichtet werden, auf ihren Webseiten die zuständige Datenschutzbehörde zu benennen.

Was aus dem Gesetzentwurf letztendlich wird, bleibt abzuwarten. Kommentare gibt es auf Internet-Law und auf dem Blog von Jens Ferner.

IT und Internet bestimmen mittlerweile einen Großteil unseres täglichen Arbeitens und Handelns. Unternehmen aller Branchen profitieren von den vielfachen Vorteilen des Webs und den umfangreichen Möglichkeiten, die die Informationstechnologie bieten. Gleichzeitig steigt jedoch auch die Bedrohung durch Kriminelle, die Sicherheitslücken in IT-Architekturen von Unternehmen für ihre Zwecke missbrauchen und zum Teil erheblichen Schaden anrichten. Unternehmen sind daher drauf angewiesen, sich vor solchen Angriffen zu schützen. Gerade in kleinen und mittleren Unternehmen ist die Unsicherheit darüber, welche Maßnahmen getroffen werden müssen, häufig groß.

Unterstützung bieten hier das Projekt „Ratgeber IT-Sicherheit“, das vom Netzwerk Elektronischer Geschäftsverkehr (NEG) im Rahmen eines vom Bundeswirtschaftsministerium geförderten Verbundprojektes entwickelt wurde, sowie der DsiN-Sicherheitscheck der Initiative „Deutschland sicher im Netz„. Beide Checks ermitteln mithilfe eines Online-Tests die Beschaffenheit der IT-Sicherheit in einem Unternehmen und geben auf Basis der gegebenen Antworten individuelle Hinweise zur Verbesserung der IT-Sicherheit.

Wer eine Webseite betreibt, interessiert sich für gewöhnlich auch für das Surfverhalten seiner User. Dies lässt sich mithilfe verschiedener Tools – darunter auch Google Analytics – untersuchen. Problem dieser Tools ist jedoch, dass sie sich häufig mit den in Deutschland geltenden Datenschutzregelungen nicht vereinbaren lassen oder sich zumindest in einer rechtlichen Grauzone befinden. Ein besonderes Problem von Google-Analytics ist zum Beispiel, dass die Daten nicht auf dem Server des Webseitenbetreibers verarbeitet werden, sondern bei Google in den USA. Google behält sich zudem vor, die erhobenen Daten über die einfache Webanalyse hinaus zu nutzen und mit anderen Daten zusammen zu führen.

Eine interessante Alternative zu Google Analytics ist das frei verfügbare Web-Tracking-Tool Piwik, das seit kurzem auch auf brainosphere.de zum Einsatz kommt. Empfohlen wird es unter anderem vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), das nach verschiedenen Tests zu dem Ergebnis gekommen ist, dass sich Piwik den geltenden Datenschutzregelungen entsprechend einrichten lässt. Eine umfangreiche Anleitung, was dabei zu beachten ist, gibt es auch.

Kommentare zu den teilweise recht weitgehenden Vorgaben des ULD gibt es auf den juristischen Blogs ferner-alsdorf.de und telemedicus.info.

Der größte Vorteil an Piwik ist, dass es – anders als Google Analytics – lokal auf dem eigenen Webserver läuft und keine Daten an Dritte verschickt. Auch gibt es ein PlugIn zum Anonymisieren von IP-Adressen. Bei der aktuellen Version wird es bereits automatisch mitgeliefert. Besonders praktisch ist zudem das OptOut-Feature. Es gibt dem User die Möglichkeit, auf einfache Weise, das Tracking seines Surf-Verhaltens zu verbieten. Ist das Feature auf einer Webseite eingebunden, so wird eine kleine CheckBox anzeigt, mit welcher der User seine Besuche vom Tracking ausschließen kann.

Unterschiedliche Tarife für Männer und Frauen sind in der Versicherungsbranche gängige Praxis. Aufgrund ihrer höheren Lebenserwartung müssen Frauen höhere Beiträge zur privaten Krankenversicherung sowie zur Rentenversicherung bezahlen. Männer werden hingegen bei der Kfz- und Risikolebensversicherung stärker zur Kasse gebeten. Dies soll sich nun ändern. Der Europäische Gerichtshof (EuGH) hat entschieden, dass die unterschiedlichen Tarife eine Diskriminierung darstellen. Ab dem 21.12.2012 darf es daher nur noch die sogenannten Unisex-Tarife geben. Dies gilt jedoch nur für neue Verträge und nicht rückwirkend. Mehr dazu auf Probefahrten.eu.



Eine interessante Sammlung von Artikeln und Beiträgen rund um das Thema „Datenschutz in Unternehmen“ gibt es bei heise.de. Hier werden Fragen zu Themen wie Datenschutzbeauftragter, Privatsphäre am Arbeitsplatz oder Bundesdatenschutzgesetz behandelt. Leider sind nicht alle Artikel frei im Internet erhältlich. Wer sie dennoch lesen möchte, muss sich registrieren.

Ebenfalls bei heise.de gibt es einen interessanten Artikel, der sich mit den zehn am häufigsten gestellten Fragen zum Thema Cloud Computing beschäftigt.

Dass Firmen und Behörden häufig recht sorglos mit personenbezogenen Daten umgehen, ist bekannt. Bei den folgenden Fällen – auf die wir übrigens über die Seite projekt-datenschutz.de gestoßen sind – kann man nur noch den Kopf schütteln.

So wurden 15 Festplatten und mehrere Server der Stadt Glücksburg, auf denen vertrauliche Daten wie Steuerbescheide gespeichert waren, auf dem Flohmarkt verkauft. Mehr dazu auf zeit.de. Ähnlich schlampig ging auch die Verkehrsüberwachung im Großraum Nürnberg mit ihren Daten um: hier wurden sehr sensible Daten über Verkehrssünder sowie Behördenbriefen in einem Müllsack gefunden. Mehr dazu auf nordbayern.de.

Gleich zweimal haben zudem norddeutsche Datenschützer auf sich aufmerksam gemacht. So verdonnerte der Hamburgische Datenschutzbeauftragte Johannes Caspar die Hamburger Sparkasse (Haspa) zur Zahlung eines Bußgeldes in Höhe von 200.000 Euro. Grund dafür sei – so Caspar – , dass die Bank  selbständig arbeitenden Kundenberatern über mehrere Jahre Zugriff auf Kundendaten gewährte. Dies geschah ohne Einwilligung der Kunden. Genaueres gibt es auf hamburg.de.

Einen offenen Brief, der an den Präsidenten des Bundeskriminalamtes, den Vorsitzenden der Gewerkschaft der Polizei sowie den Vorsitzenden des Bundes Deutscher Kriminalbeamter gerichtet ist, veröffentlichte der Datenschutzbeauftragter des Landes Schleswig-Holstein, Thilo Weichert. Darin kritisiert er die wiederholte Forderung der Polizei nach einer Wiedereinführung der Vorratsdatenspeicherung. Weitere Informationen gibt es hier .

Arbeitgeber sind verpflichtet, ihre Mitarbeiter über bestimmte Arbeitsgesetze und -bestimmungen per Aushang zu informieren. Eine Zusammenstellung der betroffenen Gesetze gibt es auf der Seite fischer-kollegen.de.

In den letzten Tagen hat der Bundesgerichtshof (BGH) in zwei interessanten Fällen entschieden:

Im ersten Fall wurde entschieden,dass das Verlinken auf geschützte Webseiten bereits eine Urheberrechtsverletzung darstellen kann. Geklagt hatte der Betreiber einer Website mit Stadtplänen. Mehr über den Fall gibt es auf netzpolitik.org. Im zweiten  Fall ging es darum, unter welchen Umständen ein DSL-Vertrag vorzeitig gekündigt werden kann. Ergebnis ist: Wer ins Grüne zieht und dann feststellt, dass DSL in seiner neuen Gemeinde nicht zu haben ist, kann seinen vorherigen DSL-Vertrag nicht vorzeitig kündigen. Mehr dazu auf Udo Vetters Lawblog.

Einen interessanten Artikel zum Schweigerecht des Beklagten in einem Ermittlungsverfahren gibt es zudem auf Hyperland – ebenfalls von Udo Vetter. Entgegen anderer Behauptungen ist das Schweigerecht umfassend und gilt auch für Passwörter. Beklagte müssen also ihr Passwörter nicht preisgeben – allerdings dürfen die Behörden das Passwort, wenn möglich, knacken.

Der neue Personalausweis steht erneut wegen Sicherheitslücken in der Kritik. Einen Tag stand die Software für den elektronischen Personalausweis zum Download bereit – da war sie auch schon gehackt. Der Download wurde deaktiviert – das berichtet Spiegel Online. Damit geht die Diskussion um die Sicherheit des neuen Persos in die nächste Runde. Bereits im September hatte der Chaos Computer Club Sicherheitslücken am Lesegerät angemahnt. Dabei bringt der neue Ausweis viele Vorteile mit sich. So sollen beispielsweise in Zukunft viele Amtsgänge nicht mehr nötig sein – sie lassen sich dann bequem vom heimischen Computer aus erledigen. Auch beim Online-Shopping könnte der Ausweis eine sicherere Authentifizierung als bisher ermöglichen. Wir sind also gespannt wie es weitergeht.

Der neue Perso wird seit dem 1.November 2010 ausgestellt.  Er hat die Größe einer Scheck- oder EC-Karte und enthält einen kontaktlosen Chip, auf dem alle Daten enthalten sind. Wer will, kann neben den auf einem Personalausweis bisher üblichen Daten auch seinen Fingerabdruck abspeichern. Mehr Informationen gibt es hier.

Auch Apple hatte zu tun mit Sicherheitslücken. 134 davon wurden mit dem Update auf Mac OS X 10.6.5 geschlossen. Mehr dazu bei heise.de. Achtung: mit der steigender Beliebtheit der Apple-Produkte steigt auch deren Attraktivität bei Hackern. Sophos hat daher einen kostenlosen Virenscan für Macs herausgebracht. Schaden kann das nicht.