Veröffentlicht am

Mit BürgerClients zum digitalen Staat

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 4.3.08 auf der CeBIT die endgültige Version 1.0 der eCard API vorgestellt und eine Serie von PDF-Dateien mit den Spezifikationen zum Download freigegeben. Die umfangreiche Sammlung von API-Informationen soll dafür sorgen, dass so unterschiedliche Karten wie die elektronische Gesundheitskarte oder der elektronische Reisepass mit qualifizierten digitalen Signaturen für das eGovernment genutzt werden können. Auf der CeBIT selbst zeigen BSI und die Kooperationspartner Fujitsu Siemens/Openlimit in Halle 9 Stand C90 einen ersten „BürgerClient“, mit dem digitale Amtsgänge wie das Ummelden eines Kfz erledigt werden können. (Quelle: Heise)

Veröffentlicht am
Veröffentlicht am

Nichts zu verbergen?

Auch der Staat hat mitunter etwas zu verbergen, wie nun ein juristisches Blog berichtet – der dortige Schreiber hat nämlich einen interessanten Hinweis gefunden, den das Zollkriminalamt an das Hauptzollamt weiteregegeben hat:

Beim Aufrufen verdächtiger Internet-Homepages über einen Arbeitsplatzcomputer der Bundesfinanzverwaltung kann der “Besucher” vom Seitenbetreiber mit geeigneter Software als Behörde identifiziert werden.

Für Nachrecherchen zum aktuellen Vorgang schlage ich daher die ermittlungsunterstützende Einbindung der ZIRE oder die Nutzung ggf. vorhandener Stand-Alone-PCs vor.

Gefunden bei McNeubert.

Veröffentlicht am

Das Informationsfreiheitsgesetz (NRW) in der Praxis

Leider viel zu unbekannt ist die Tatsache, dass es Informationsfreiheitsgesetze gibt. Jedenfalls in NRW gibt es eines, sowie in 6 anderen Bundesländern. Leider noch nicht in allen, aber das kann noch werden – sofern die Bürger und Datenschutzbeauftragten danach verlangen. Ich möchte hier kurz was dazu schreiben mit Blick auf NRW.

Das Informationsfreiheitsgesetz (NRW) in der Praxis weiterlesen

Veröffentlicht am

Datenschützer mahnen zur Sichercheit bei Systemen

Sowohl der Bundesbeauftragte für den Datenschutz als auch der EU-Beauftragte mahnen die Sicherheit von Systemen an und nehmen Hersteller wie Regierung in die Pflicht:

Der Bundesdatenschutzbeauftragte Peter Schaar hat im Vorfeld der CeBIT-Eröffnung am heutigen Montagabend die IT-Branche aufgerufen, sicherere Soft- und Hardware zu produzieren. Dies sei vor allem im Licht des Karlsruher Grundsatzurteils zu heimlichen Online-Durchsuchungen nötig. Bemühungen der Wirtschaft allein hält der Datenschützer aber nicht für ausreichend, um der neuen Messlatte des Grundrechts auf digitale Privatsphäre gerecht zu werden. Zusätzlich sieht er den Bundestag in der Pflicht, den für die Systemsicherung erforderlichen Rahmen abzustecken. Dafür käme etwa eine zeitgemäße Gestaltung der Anforderungen an technisch-organisatorische Maßnahmen im Bundesdatenschutzgesetzes (BDSG) oder eine Novelle des Telemediengesetzes (TMG) in Frage. (Quelle: Heise)

Der EU-Datenschutzbeauftragte hatte mehr die geplanten EU-Maßnahmen zur Sicherheitspolitik im Auge:

Der Europäische Datenschutzbeauftragte Peter Hustinx warnte heute vor immer neuen Vorschlägen zur Überwachung von Reisenden und Immigranten in der Gemeinschaft. Nach den Vorschlägen zur Erhebung von Fluggastdaten in der EU, zur Weiterentwicklung des Schengen-Informationssystem (SIS II) und dem neuen Visa-Informationssystem der EU (VIS) hatte die Kommission am 13. Februar gleich drei Mitteilungen zu weiteren Datensammlungen bei der Einreise- und Ausreise vorgelegt. In einer Mitteilung (PDF-Datei) unterstrich Hustinx, auch wenn die Sicherung der Grenzen ein legitimes Ziel sei, müssten die neuen Vorschläge sorgfältig überprüft werden. Denn sie beinhalteten die Sammlung, potentielle Zusammenführung, Weitergabe und Speicherung riesiger Datenmengen. (Quelle: Heise)

Veröffentlicht am
Veröffentlicht am

Datenschutzhinweise dank Google

Ich stelle gerade fest, dass immerhin 2 Monate nach meinem Artikel mit einem Hinweis auf zwingende Datenschutzerklärungen dank Google (Artikel hier) nun auch die Blogosphäre auf das Thema aufmerksam wird. Ich bin beeindruckt, noch langsamer schafft es nur die Print-Presse.

Daher hier nochmal der Hinweis an alle Webmaster. Lest AGB bevor ihr „kostenlose“ Dienste akzeptiert. Zu Analytics hier bei mir, zu AdSense bei Robert. Die Tatsache, dass man darauf hinweisen muss ist alles andere als überraschend für Stammleser von mir: Ich weise seit über einem jahr darauf hin, dass man beim Einsatz von Google-Diensten (und ähnlichen Diensten) personenbezogene Daten an Dritte übermittelt und sich potentiellen Problemen aussetzt. Ein guter Einstieg in das Thema ist dieser Artikel von mir, der bis heute nichts an Aktualität eingebüsst hat.

Veröffentlicht am
Veröffentlicht am

Datenspeicherung bei Kartenzahlung

Wer mit Maestro/EC-Karte im Handel bezahlt, sollte wissen, was da von ihm gespeichert wird. DIe weit verbreitete Ansicht, dass nur Zahlungsdaten für den aktuellen Vorgang übermittelt (und dann verworfen) werden, ist im Regelfall falsch. So speichert z.B. das verbreitete Verfahren „easycash“ einiges mehr als nur die aktuellen Zahlungsdaten zur aktuellen Transaktion. Wer in aktuelle Verträge hineinsieht, findet dort u.a. diesen Passus:

easycash speichert die im OLV® getätigten Transaktionen und Umsätze und gibt dem Unternehmen einen Hinweis, wenn mit einer Karte Lastschriften im Rahmen des OLV®-Verfahrens zum Einzug gegeben worden sind, die die von dem Unternehmen bzw. bei OLV®smart durch easycash festgelegten wöchentlichen oder monatlichen maximalen Beträge oder täglichen Transaktionszahlen überschreiten.

Das heisst: Es gibt scheinbar ein Maximum an Beträgen die wöchentlich/monatlich möglich sind. Ebenso gibt es ein Maximum an Transaktionen pro Tag. Wo die liegen ist mir nicht bekannt, gefunden habe ich es auf Anhieb auch nicht. Spannender ist erstmal die Tatsache, dass man um das nachvollziehen zu können, einen Monat lang speichern muss, welche Karte wie viel wann bezahlt hat. Eine solche Speicherung läuft im Hintergrund auch ab, so dass es sich nicht nur um einen datenschutzrechtlich interessanten, sondern auch bedeutsamen Vorgang handelt. Immerhin kann man, wenigstens für einen Monat, problemlos nachvollziehen, wer wo wann was mit Karte gezahlt hat. Wieder eine theorertische finanzielle Vorratsdatenspeicherung, die in der Bevölkerung nicht bekannt ist (Zu der Vielzahl von Vorratsdatenspeicherungen in Deutschland dieser Artikel).

Dessen ist man sich auch bewusst, wie das Vertragswerk weiter zeigt.

Datenspeicherung bei Kartenzahlung weiterlesen

Veröffentlicht am

Löschungspflicht in Online-Archiven

Das LG Hamburg hat am 18.1.08 entschieden (324 O 507/07), dass auch bei Online-Archiven Löschungspflichten bestehen, dazu die Leitsätze des Urteils:

1. Eine zum Zeitpunkt der Berichterstattung zulässiger Pressebericht (z.B. die volle Namensnennung von Straftätern) kann nach Verstreichen eines gewissen Zeitraumes unzulässig werden.

2. In einem solchen Fall müssen aus einem Online-Archiv nachträglich die unzulässigen Teile des Presseberichts entfernt werden, denn das „Archiv-Privileg“ gilt nicht für Online-Archive.

Das vollständige Urteil ist hier zu finden.

Veröffentlicht am
Veröffentlicht am

BVerfG zur Videoüberwachung öffentlicher Plätze

Ein Urteil des BverfG (1 BvR 2368/06) aus dem Februar 2007 möchte ich hier nochmal ausdrücklich festhalten. Es ging um die Videoüberwachung öffentlicher Plätze durch eine Stadt, dabei wurde sich auf eine Generalklausel (Art. 16 DSG Bay) gestützt. Das BVerfG hat dies als verfassungswidrig verworfen mit der Begründung, dass es sich bei einer solchen Maßnahme um einen intensiven Eingriff handelt:

Maßgebend für die rechtliche Beurteilung der Intensität eines Eingriffs in das Recht auf informationelle Selbstbestimmung ist die Art der Beeinträchtigung. […] Verdachtslose Eingriffe mit großer Streubreite, bei denen zahlreiche Personen in den Wirkungsbereich einer Maßnahme einbezogen werden, die in keiner Beziehung zu einem konkreten Fehlverhalten stehen und den Eingriff durch ihr Verhalten nicht veranlasst haben, weisen grundsätzlich eine hohe Eingriffsintensität auf […]

Hinsichtlich dieser hohen Intensität gilt es, eine klare Gesetzesnorm zu verlangen, auf Generalklauseln darf dabei nicht abgestellt werden. Das BVerfG hält hierzu im Urteil (nicht zum ersten Mal) eindeutig und mit klarem Wortlaut fest:

Die Entscheidung über die Grenzen der Freiheit des Bürgers darf nicht einseitig in das Ermessen der Verwaltung gestellt sein […] dementsprechend soll der Grundsatz der Normenbestimmtheit und Normenklarheit sicherstellen, dass die gesetzesausführende Verwaltung für ihr Verhalten steuernde und begrenzende Handlungsmaßstäbe vorfindet und dass die Gerichte die Rechtskontrolle durchführen können […]

Im Ergebnis kommt das BVerfG zum (überzeugenden) Ergebnis, dass eine Kameraüberwachung nicht per se unzulässig ist, sehr wohl aber hohen Hürden unterliegt und zumindest eine klare und eindeutige Ermächtigungsgrundlage zu fordern ist:

Es ist nicht ausgeschlossen, dass eine Videoüberwachung öffentlicher Einrichtungen mit Aufzeichnung des gewonnenen Bildmaterials auf der Grundlage einer hinreichend bestimmten und normenklaren Ermächtigungsgrundlage materiell verfassungsgemäß sein kann, wenn für sie ein hinreichender Anlass besteht und Überwachung sowie Aufzeichnung insbesondere in räumlicher und zeitlicher Hinsicht und im Hinblick auf die Möglichkeit der Auswertung der Daten das Übermaßverbot wahren. Da es jedoch im vorliegenden Fall bereits an  einer hinreichend bestimmten und normenklaren Ermächtigungsgrundlage für die geplante Videoüberwachung fehlt, müssen die verfassungsrechtlichen Anforderungen an eine derartige Überwachung hier nicht im Einzelnen bestimmt werden.

In NRW etwa existiert im §29b DSG NW eine Spezialnorm zur Videoüberwachung. Ob diese aber hinreichend bestimmt ist, dürfte gerade angesichts des weiten Ermessensspielraums im Rahmen des §29b I DSG NW eine  interessante Frage sein.

Veröffentlicht am