Monthly Archive for October, 2009

Facebook stellt neue Datenschutzrichtlinien vor.

Wie TechCrunch berichtet, hat facebook am 29. Oktober offiziell Änderungen seiner Datenschutzregeln vorgestellt.

Die Datenschutzregeln bei facebook hatten in der Vergangenheit mehrfach für Verärgerung gesorgt.

2008 hatten sich Nutzergruppen beschwert, dass facebook mit ihren Namen Werbung bei google schaltete. Anfang 2009 hatte facebook die Geschäftsbedingungen einseitig gekürzt. Damit erhielt facebook nun das Recht, die Daten unbefristet zu nutzen, auch nach Erlöschen des jeweiligen accounts. Es regte sich wieder Protest. CEO Marc Zuckerberg gab daraufhin am 17. Februar bekannt, diese Streichung erst einmal zurück zu nehmen. Im April legte man dann den Nutzern eine Erklärung (”Statement to Rights and Responsibilities”) zur Abstimmung vor. Am 14. Juli hat der Verbraucherzentrale Bundesverband (VZBV) facebook und andere soziale Netzwerke kritisiert und abgemahnt. Und am 27. August reagierte facebook auf die Kritik der kanadischen Datenschutzbeauftragten Jennifer Stoddart.

Die nun vorgestellten Regeln sind einfacher zu lesen, enthalten aber auch inhaltliche Änderungen. Der Entwurf ist hier, die bisherigen Regeln sind hier zu sehen. Sie können noch bis zum 5. November kommentiert werden. Dann wird über ihre Verwendung entschieden.

Summary: As TechCrunch reports, facebook has outlined changes to its privacy policy. Existing rules have been criticized again and again.

In Kürze folgt dazu ein ausführlicher Beitrag.

Datenschutz bei der Bundesagentur für Arbeit?

Wie die Süddeutsche Zeitung berichtet, hatte eine arbeitslose Berliner Sozialpädagogin innerhalb kurzer Zeit 13 Bewerbungen über das Stellenportal der Bundesagentur erhalten, obwohl sie selbst keine Arbeitgeberin ist.

Gegenwärtig müssen Unternehmen bei der Agentur weder eine Betriebsnummer nennen noch einen Gewerbeschein oder eine andere Legitimation vorlegen, wenn sie sich im Stellenportal der Bundesagentur für Arbeit anmelden. Die Bundesagentur verschickt lediglich eine persönliche Identifikationsnummer, prüft aber nicht die Identität. Wer einmal angemeldet ist, kann zudem seine Unternehmensdaten jederzeit ändern. So besteht die Gefahr, dass Daten in großem Stil illegal abgerufen und zu anderen Zwecken missbraucht werden.

Aktuell sind mehr als 3,8 Millionen Profile von Bewerbern im Portal gespeichert. Enthalten sind neben der Adresse auch die Geburtsdaten, die Sozialversicherungsnummmer und eine eventuelle Behinderung. Die Bewerber willigen zuvor in die Datenschutzerklärung der Agentur ein.

Laut Bericht fordert der Bundesbeauftragte für den Datenschutz Schaar, die Agentur dürfe nur Firmen in die Jobbörse aufnehmen, deren Arbeitgebereigenschaft unzweifelhaft geklärt sei. Thilo Weichert, der Landesdatenschutzbeauftragte von Schleswig-Holstein, verlangt dazu einen Abgleich mit dem Handelsregister. Die Agentur lehnt es unter Berufung auf die Engpässe am Arbeitsmarkt ab, das Verfahren zu verschärfen. Man prüfe bei den Stellenangeboten täglich zumindest per Stichprobe und gehe möglichen Missbrauchsfällen nach.

In Fachkreisen wird seit längerem diskutiert, ob angesichts der besonderen Schutzbedürftigkeit von Arbeitnehmern ein eigenes Beschäftigtendatenschutzgesetz erforderlich ist. In der Koalitionsvereinbarung ist nun vorgesehen, den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz auszugestalten. Gedacht ist dabei auch an Regelungen für Bewerberdaten.

Siehe dazu auch meinen früheren Beitrag zur Koalitionsvereinbarung.

Update 30.10.: Wie die HAZ am 29. Oktober berichtete, setzt setzt die Bundesagentur für Arbeit (BA) ein Computersystem ein, durch das die rund 100.000 Mitarbeiter umfangreiche Daten abrufen konnten, unter anderem Suchtkrankheiten, Verschuldung und Familienprobleme. Der neue Arbeitsminister Franz Josef Jung (CDU) hat die BA inzwischen aufgefordert, das Problem gemeinsam mit dem Bundesdatenschutzbeauftragten zu beheben.

Update 10.11.: Wie die FR heute berichtet, hat eine als Arbeitgeber getarnte Firma mehr als 2500 unterschiedliche Stellenangebote bei der BA geschaltet, um die Daten der Bewerberinnen und Bewerber zu erschleichen.

Die Fraktion Bündnis90/Die Grünen im Deutschen Bundestag hat dazu eine Kleine Anfrage an die Bundesregierung gestellt.

Update 4.12.: Heise berichtet, dass die Agentur mit Verbesserungen begonnen hat.

Summary: As Sueddeutsche Zeitung reports, a jobless academic was given access to the online job exchange of the german administration. She easily received sensitive data of 13 applications although she was not an employer. Critics demanded more social data protection, whereas the agency put the focus on easy access for employers.

BVerfG: Klage vs. private Digitalkopie unzulässig.

Das Bundesverfassungsgericht hat die Verfassungsbeschwerde gegen die Zulässigkeit privater Digitalkopien (AZ: 1 BvR 3479/08) am 7. Oktober nicht zur Entscheidung angenommen, wie heute mitgeteilt wurde.

Unternehmen der Musikindustrie hatten geltend gemacht, dass § 53 Abs. 1 UrhG mit dem Eigentumsgrundrecht unvereinbar sei, soweit er digitale Privatkopien ohne hinreichende Einschränkungen für zulässig erkläre.

§ 53 Abs. 1 UrhG wurde durch das Zweite Gesetz zur Regelung des Urheberrechts in der Informationsgesellschaft geändert. Es trat am am 1. Januar 2008 in Kraft. Allerdings sei die gesetzgeberische Klarstellung, dass auch digitale Vervielfältigungen erlaubt sein sollen, bereits im Jahr 2003 erfolgt. Die Klage sei daher unzulässig, so das Gericht.

Die Entscheidung ist nur scheinbar eine Niederlage der Musikindustrie, denn sie stellt auch keinen Sieg der Privatkopie dar. Das Gericht läßt durchaus Zweifel an der Verbreitung der Privatkopie erkennen und betont den „weiten Gestaltungsraum“ des Gesetzgebers.

Ausdrücklich offen ließ das Gericht, ob die von der Musikindustrie beklagte immer stärkere Verbreitung privater Digitalkopien bei einer etwaigen zukünftigen Urheberrechtsnovelle den Gesetzgeber dazu zwinge, die private Digitalkopie „einzugrenzen“ oder „sonstige Maßnahmen“ zu ergreifen.

In der Koalitionsvereinbarung sind bereits Maßnahmen vorgesehen, den “Respekt vor fremdem geistigem Eigentum” zu fördern und das Urheberrecht durch einen sog. “Dritten Korb” zu novellieren: Der Ball liegt jetzt beim Parlament.

Siehe dazu auch meinen früheren Beitrag zur Koalitionsvereinbarung.

Summary: The entertainment industries claim to rule on the private copy issue in german copyright law has been rejected by the german constitutional court. It dismissed the application on procedural grounds. Parliament may decide.

Koalitionsvereinbarung 2009-2013.

Die Parteien der Regierungskoalitionen haben heute der Koalitionsvereinbarung zugestimmt. Er ist überschrieben mit “Wachstum. Bildung. Zusammenhalt” und enthält ein eigenes Kapitel zum Thema Freiheit und Sicherheit. Die FDP zeigt mit einer Synopse die Einhaltung ihrer Wahlversprechen auf. Es sei  gelungen, bei den Bürgerrechten, ein „gutes Verhältnis zwischen Freiheit und Sicherheit wiederherzustellen“. Bundeswehreinsätze im Inneren seien verhindert, die Internetzensur abgewendet worden.

Während der Bundeswehreinsatz im Innern in der Vereinbarung gar nicht erwähnt wird, lohnt es sich bei den Themen Datenschutz und Urheberschutz genauer hinzusehen. Mit der Koalitionsvereinbarung wurden die Gewichte keineswegs von der Sicherheit zur Freiheit zurück verschoben. Stattdessen wurden viele Entscheidungen vertagt und Prüfvorbehalte vereinbart.

Freiheit und Sicherheit

Im FDP-Wahlprogramm wird der Umbau des Bundeskriminalamtes (BKA) zu einem deutschen FBI ausdrücklich abgelehnt. Nun gibt es hier den Prüfauftrag, „ob und inwieweit der Schutz des Kernbereichs privater Lebensgestaltung zu verbessern ist“ (Zeile 4521f.). Die Anordnung der verdeckten Ermittlungsmaßnahmen bei der Online-Durchsuchung soll „künftig ein Richter am Bundesgerichtshof“ anstatt eines Amtsrichters durchführen (Zeile 4528ff.). Bei der Reform der Telekommunikationsüberwachung gibt es ebenfalls einen Prüfvorbehalt (Zeile 4603).

Datenschutz

Bei der Vorratsdatenspeicherung sollen einerseits Zugriffe der Bundesbehörden bis zur Entscheidung des Bundesverfassungsgerichts „ausgesetzt“ werden, aber andererseits will man diese wieder nur „beschränken“ auf Zugriffe zur Abwehr einer konkreten Gefahr für Leib, Leben und Freiheit (Zeile 4986ff.). Es ist also „keine Aussetzung“. Der Bundesdatenschutzbeauftragte hat kritisiert, dass die Vorgaben der EU zur Vorratsdatenspeicherung unangetastet bleiben.

Die Verankerung des Datenschutzes im Grundgesetz, die institutionelle Stärkung der Stellung der betrieblichen Datenschutzbeauftragten, die auch im FDP-Wahlprogramm stehen, vermisst man dagegen. Stattdessen soll es künftig eine „Stiftung Datenschutz“ geben (Zeile 4878), anstatt den Aufgabenbereich schon bestehender Stiftungen zu erweitern. Beim Beauftragten des Bundes für den Datenschutz soll die „personelle und sächliche Ausstattung“ verbessert werden (Zeile 4887). Der Arbeitnehmerdatenschutz soll in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestaltet werden (Zeile 4913f.). Ingesamt wird Datenschutz überwiegend als Selbstdatenschutz verstanden, während gesetzliche Regelungen für mehr Verbraucherschutz etwas kurz kommen.

Urheberschutz

Das Urheberrecht habe eine in der modernden Medien- und Informationsgesellschaft „Schlüsselfunktion“ (Zeile 4762) und müsse weiterentwickelt werden, „mit dem Ziel ein hohes Schutzniveau und eine wirksame Durchsetzbarkeit des Urheberrechts zu gewährleisten“ (Zeile 4763f.). Daher wird es ein Drittes Gesetz zur Regelung des Urheberrechts in der Informationsgesellschaft („Dritter Korb“) geben.

Urheberrechtsverletzungen im Netz sollen stärker bekämpft werden: „Das Internet darf kein urheberrechtsfreier Raum sein“ (Zeile 4768). Initiativen für gesetzliche Internetsperren bei Urheberrechtsverletzungen werde man nicht ergreifen (Zeile 4774).

Ein Leistungsschutzrecht für Presseverlage zur Verbesserung des Schutzes von Presseerzeugnissen im Internet – wie von den Verlagen gefordert – wird nun auch von der Bundesregierung angestrebt (Zeile 4776). Einsetzen will man sich auch für ein europäischen Wahrnehmungsrecht durch Verwertungsgesellschaften bei Online-Nutzungen (Zeile 4780).

Beim Urheberschutz ist zu befürchten, dass in erster Linie die Interessen der Medien- und Geräteindustrie bedient werden, aber nicht die Interessen von BürgerInnen, KünstlerInnen, ForscherInnen, Schulen und Universitäten.

Sonstige Netzpolitik

Bei der Breitbandversorgung will man die „Anstrengungen fortsetzen“ (Zeile 4625). Es wird verbesserte Strafverfolgung in Kommunikationsnetzen angestrebt, z. B. durch Internetstreifen der Polizei, Schwerpunktstaatsanwaltschaften für Kriminalität im Internet oder erleichterte elektronische Kontaktaufnahme mit der Polizei. Auf internationaler Ebene werde man sich „für Lösungen stark machen, um Kinderpornographie sowie Kriminalität allgemein im Internet besser bekämpfen zu können“ (Zeile 4669).

Wie das aussehen kann, ist schon jetzt an Beschlüssen der europäischen Justizminister zu Online-Bezahldiensten zu beobachten. Man ist sich in der Bundesregierung „einig, dass es notwendig ist, derartige kriminelle Angebote schnellstmöglich zu löschen statt diese zu sperren (Zeile 4830ff.). Tatsächlich soll „zunächst für ein Jahr“ nicht zu sperren, und anschließend zu „evaluieren“ sein (Zeile 4846). Die Entscheidung über die umstrittenen Internetsperren wurde also nur verschoben.

Die konkrete Umsetzung der Koalitionsvereinbarung wird in diesem Blog weiter kommentiert werden.

Update 23.11.: Die neue und alte Bundesfamilienministerin hat sich zum Zugangserschwerungsgesetz geäußert. Sollte das Zugangserschwerungsgesetz doch noch in Kraft treten, haben einige Provider offenbar Vorkehrungen getroffen, wie am Rande einer Verhandlung vom dem Verwaltungsgericht Wiesbaden bekannt wurde.

Summary: The political parties that form the new german administration have said yes to the coalition agreeement (german text). It titles “growth, education, solidarity” and includes a special chapter on “freedom and security”. The liberal party claims to thereby “re-establish a good relationship between freedom and security”: No use of military forces in the interior and no internet blocking. Indeed, this use of military forces is not mentioned and internet blocking is explicitly stopped in favor of deleting illegal content. However, there remain a lot of evaluation clauses instead of cutting down existing security laws. And the final decision on internet blocking ist only postponed.

Datenskandal bei der Postbank? (Update)

Wie die Stiftung Warentest berichtete lässt die Postbank Tausende von freien Mitarbeitern auf die Girokontodaten ihrer Kunden zugreifen:

Dazu brauchen die Vertreter lediglich den Namen und das Geburtsdatum von Kunden in eine Unternehmensdatenbank einzugeben. Dann können sie nicht nur sehen, wie viel Geld ein Kunde auf dem Konto hat – sie haben ebenso Einsicht in alle Kontobewegungen. Auch wenn der Kontoinhaber der Weitergabe seiner Daten an die freien Mitarbeiter nicht zugestimmt hat, kann der Berater die Kontodaten lesen.

Ich habe der Weitergabe solcher Daten niemals zugestimmt. Nun verlange ich von der Postbank Auskunft nach §34 V S.1 des Bundesdatenschutzgesetzes, ob und wie weit es trotzdem zu einer Weitergabe von Daten gekommen ist. Ich erwarte eine Antwort der Deutschen Postbank AG, die sich dazu bislang nicht geäußert hat

Update 27.10.: Ein Sprecher weist bislang öffentlich alle Vorwürfe zurück, eine Stellungnahme auf den Seiten der Postbank suche ich immer noch vergeblich. Daher werde ich den Text des heutigen Antwortschreibens hier auszugsweise veröffentlichen. Mir wird darin erklärt, dass Finanzberater generell Zugriff erhalten – ob dies auch in meinem Fall geschehen ist, wird dabei offen gelassen.

Die Finanzberater dürfen deshalb die ihnen im Rahmen der Aufgabenerledigung bekannten Daten ausschließlich anlassbezogen verarbeiten und nutzen. Eine anderweitige Verarbeitung und Nutzung – auch für eigene Zwecke – ist vertraglich ausdrücklich ausgeschlossen. Der Zugriff auf die Kontodaten durch die Finanzberater ist auch technisch durch ein Zugriffs- und Berechtigungskonzept geregelt. Die Berater erhalten nur die Zugriffe, die sie für die Erledigung ihrer Aufgaben auch benötigen, ein genereller Datendownload von Kundendaten ist technisch ausgeschlossen.

Den schwarzen Peter sollen offenbar die Finanzberater erhalten, die dem Anschein nach auf die Daten der Postbank zugegriffen haben:

Sofern es zu den von “Finanztest” berichteten Verstößen gekommen ist, wird die Postbank entschieden dagegen vorgehen und unmittelbar strafrechtliche Schritte ergreifen. Damit hätten Finanzberater gegen geltendes Recht und auch gegen ihren entsprechenden Vertrag mit der Postbank Finanzberatung verstoßen. Wir werden alle in diesem Zusammenhang nötigen Maßnahmen konsequent einleiten und umsetzen.

Ich sehe mein Auskunftsersuchen damit keinesfalls beantwortet. Ich verlange weiterhin von der Postbank eine Auskunft, welche Daten wann und von wem weitergegeben wurden.

Update 27.10.: Die deutsche Postbank hat ihren freien Handelsvertretern bis zur endgültigen Klärung der Rechtslage mit der zuständigen Datenschutzstelle den Zugriff auf Daten der Girokonten ihrer Kunden gesperrt:

Im Interesse unserer Kunden werden wir bis zur Klärung des Gesamtzusammenhanges im Dialog mit dem Datenschutz den Zugriff auf die Kontodaten durch die Finanzberater vorsorglich sperren. Parallel werden wir unsere Regeln und deren Anwendung nochmals überprüfen und gegebenenfalls ändern.

Update 29.10.: Wie die Stiftung Warentest meldet, hat die Postbank die Daten bis heute nicht gesperrt.

Tatsächlich konnte aber am Donnerstag ein süddeutscher Handelsvertreter sämtliche Überweisungen und Abhebungen und das Gehalt auch von Berliner Postbank-Kunden einsehen. Das ist nach Ansicht von Datenschutzbeauftragten auch dann rechtswidrig, wenn Kunden eine Einwilligungsklausel zur Weitergabe ihrer Daten unterschrieben haben. Das hat etwa die Hälfte der Postbank-Kunden mit Girokonto getan. Bei Kunden, die keine Einwilligungserklärung unterschrieben haben, konnten am Donnerstag nur noch Adresse und Wohnort abgefragt werden.

Was soll ich sagen? Ich bin sprachlos.

Immerhin wurde mein Schreiben gestern endlich intern an den betrieblichen Datenschutzbeauftragten weitergeleitet und der Eingang bestätigt.

Update 18.12.: Der VZBV hat die Postbank abgemahnt, weil die verwendete Einwilligungserklärung intransparent sei.

Summary: The german Consumer Goods Testing Foundation (”Stiftung Warentest”) reports that the german Postbank has given access to private bank accounts for thousands of external agents. First the Postbank denied any illegal activities, and then it promised to stop and review this practice. It has been questioned whether the latter really happened.