Wir beraten Ihr Unternehmen zu Datenschutz und IT-Sicherheit.

Wir beraten Sie umfassend zu allen Themen des Datenschutzes und Informationssicherheit. Was genau Sie für Ihr Unternehmen brauchen, entwickeln wir am besten zusammen. In der Regel geben Sie uns zu Beginn ein Stichwort, welches Ihre drängendste Herausforderung ist: Brauchen Sie ein Datenschutzkonzept, ein weitreichendes Informationssicherheitsmanagementsystem (ISMS), die Vorbereitung einer ISO-Zertifizierung oder Rat in einzelnen (Rechts-) Fragen? Möchten Sie Datenschutz- und/oder Sicherheitsleitlinien für Ihr Unternehmen formuliert oder Dokumentation zu Datenschutz und ISMS erstellt haben? Auch die neue EU-Datenschutz-Grundverordnung sowie das IT-Sicherheitsgesetz bringen die Notwendigkeit mit sich, unternehmensinterne Prozesse anzupassen und zu überprüfen.

Sie erhalten von uns dabei auch immer Organisationsberatung. Die besten Konzepte zum Datenschutz und zur Informationssicherheit nützen nichts, wenn sie nur auf dem Papier existieren und nicht klar ist, wie sie im Unternehmen etabliert werden können. Auch dabei unterstützen wir Sie.

Bei komplexen Projekten hat es sich bewährt, am Anfang einer Zusammenarbeit einen Workshop stattfinden zu lassen, in dem wir mit Ihnen zusammen herausfinden, was genau Sie für Ihr Unternehmen brauchen und bei welchen Aufgaben wir Ihnen am besten zu Seite stehen können. Auf diese Weise haben Sie ohne große Investitionen einen guten Überblick über notwendige Veränderungen und wir eine Basis für konkrete Empfehlungen und Maßnahmen. Die gewonnenen Erkenntnisse können wir - sofern gewünscht - mit Ihnen anschließend Stück für Stück aufbauen und umsetzen, oder Sie beginnen selber und ziehen uns nur in Einzelfällen hinzu.

Umfassende Erfahrung in vielen Bereichen

Wir arbeiten im Team mit Juristen und Technikern; wir verfügen über Erfahrung in vielen Gebieten. Umfassendes Wissen zu allen Fragen des Datenschutzes erhalten Sie von uns ebenso selbstverständlich wie Kenntnisse der ISO-Zertifizierungsverfahren und des Aufbaus von Sicherheitskonzepten aller Art. Als sogenannte "Soft Skills" bringen wir ausgeprägte kommunikative Fähigkeiten mit und Erfahrungen als Business-Coach. Für Penetrationstests und sonstige rein technische Sicherheitsprüfungen ziehen wir externe Partner hinzu. Zu unseren Partnern zählen außerdem Fachanwälte für Arbeitsrecht und Fachanwälte für IT Recht.

Wir entwickeln mit Ihnen und für Sie praktikable und wirtschaftlich sinnvolle Konzepte und helfen Ihnen bei der Umsetzung. Auch bei der langfristigen Überwachung Ihrer Prozesse stehen wir an Ihrer Seite.

Unseren Empfehlungen liegen stets die besten Verfahren zugrunde, die sich aus der aktuellen Rechtsprechung, den Anforderungen der technischen Regelwerke und den Orientierungshilfen der für Sie zuständige Datenschutz-Aufsichtsbehörde ergeben.

Haben Sie Fragen? Gerne stehen wir für ein erstes unverbindliches Gespräch über mögliche Zusammenarbeit zur Verfügung.

Umfassende Beratung und praxisnahe Lösungen mit PrivCom.

Basis Konzepte für Datenschutz und ISMS

Nicht jeder braucht jederzeit das volle Programm.

Manchmal reicht es schon, die wichtigsten Grundlagen einer Datenschutzorganisation oder eines Informationssicherheitsmanagementsystems (ISMS) im Unternehmen zu erstellen oder – sofern schon vorhanden - mal wieder auf Vordermann zu bringen. Doch meistens steckt der Teufel im Detail und im täglichen Geschäft bleibt kaum Zeit für Arbeiten am Datenschutz und / oder die Beschäftigung mit Konzepten zu Sicherheit von unternehmenskritischer Informationen - von einem Mangel an Fachwissen einmal ganz abgesehen.

Lassen Sie sich daher von uns durch die wichtigsten Baustellen hinsichtlich Datenschutz und Informationssicherheit in Ihrem Unternehmen führen. Worauf sollten Sie im Alltag achten? Welche gesetzlichen Vorgaben müssen erfüllt sein und wie können Sie sich und Ihre Mitarbeiter vor dem falschen Umgang mit unternehmenskritischer Informationen (einschließlich der personenbezogenen Daten) schützen? Wie erstellen Sie ein passende Konzepte und Dokumentation? Sprechen Sie uns an.

Wir zeigen Ihnen, worauf Sie in jedem Fall achten müssen und wie Sie Datenschutz und Informationssicherheit praktisch in Ihren Unternehmensalltag integrieren. Gerne können Sie auch auf uns zu kommen, wenn Sie wissen möchten, welche Veränderungen Sie bis Mai 2018 aufgrund der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) umsetzen müssen.

Wir zeigen Ihnen, worauf Sie in jedem Fall achten müssen und wie Sie Datenschutz und Informationsfreiheit praktisch in Ihren Unternehmensalltag integrieren.

Datenschutz - entscheidend für eine freie Gesellschaft

Als ich Mitte der achtziger Jahre meine Freundin in Ost-Berlin besuchte, führte einer unserer ersten Wege immer in die nächstgelegene Polizeistation. Dort musste ich meinen Pass vorzeigen und meinen Besuch anmelden. Später musste ich mich zusätzlich in das sogenannte Hausbuch eintragen, das von einem linientreuen Bewohner des Mehrfamilienhauses verwahrt wurde. In diesem Buch waren alle Leute mit Name, Anschrift, Passnummer und Datum des Besuchs (von ... bis) gelistet, die in den letzten Jahren einen der Bewohner des Hauses besucht hatten.

Transparenz und Diktatur

Daran dachte ich, als ich letzte Woche im Magazin der Süddeutschen Zeitung (Nr. 50, 14.12.2012) in einem Interview mit Byung-Chul Han, Professor für Philosophie und Kulturwissenschaften an der Universität der Künste in Berlin, die folgenden Sätze las:

Frage: „Peer Steinbrück wurde heftig angegriffen für seinen Satz: Transparenz gibt es nur in Diktaturen“.

Antwort: "Dabei hatte er recht. Totale Transparenz ist nur durch totale Kontrolle möglich und die gibt es nur in einer Diktatur. Es gehört zur Demokratie, dass die Menschen nicht alles wissen können. In der Demokratie gibt es Räume, die man nicht durchleuchten darf. <Neues Wort für Gleichschaltung: Transparenz>, hat der Journalist Ulrich Schacht geschrieben, der 1973 in der DDR wegen <staatsfeindlicher Hetze> zu sieben Jahren Gefängnis verurteilt wurde. Erst jetzt verstehen wir, was er gemeint hat. Es gibt eben nicht nur Schwarmintelligenz, sondern auch Schwarmdummheit und Schwarmdiktatur".

Ich denke, auch auf die Frage nach dem Sinn und der Notwendigkeit von Datenschutz in einer vernetzten Welt kann es kaum eine bessere Antwort geben.

Sehr zu denken gibt auch ein weiteres Zitat aus diesem Interview:

Frage: „Wael Ghonim, Marketingexperte bei Google, gab den Slogan aus: <Um eine Gesellschaft zu befreien, braucht man ihr nur Zugang zum Internet zu geben>. Was sagen Sie dazu?“

Antwort: "Denken Sie an China und den Iran. Das Internet ist dort ein äußerst effizientes Medium der Kontrolle. Die digitale Vernetzung schafft ein digitales Panoptikum. Und das funktioniert perfekt, weil sich inzwischen jeder freiwillig entblößt. Ausleuchtung ist Ausbeutung – und beides lassen wir inzwischen bereitwillig zu, nein, wir wollen es selbst. Wir führen uns frei in der Ausbeutung. Das macht die Kontrollgesellschaft so effizient".

Die sogenannte „Post-Privacy“ Bewegung, die sich die Abschaffung von Datenschutz auf die Fahnen geschrieben hatte, ist ja zum Glück recht bald wieder in der Versenkung verschwunden, war mein nächster Gedanke. Auch die Piratenpartei mit ihrer Forderung nach allumfassender Öffentlichkeit und Transparenz scheint demnächst ein ähnliches Schicksal zu ereilen. Wirklich schade ist das nicht.

Facebook überwacht Kommunikation

"I prefer my E-Mails to be mine", schrieb mir von ein paar Jahren ein kanadischer Kollege, mit dem ich über Facebook in Kontakt kam, als Begründung, warum er unseren Austausch nicht über die private Nachrichtenfunktion von Facebook fortsetzen wollte. So richtig sind deine Mails ja nie deine, schrieb ich zurück, denn solange sie auf irgendwelchen Servern lagern, kann immer jemand ran. Wenn auch vielleicht nur theoretisch.

Vertrauen

In der Folge dachte ich öfter darüber nach, warum ich trotzdem meinen Webmail Anbieter nicht in Verdacht hatte, meine Mails zu lesen oder gar auszuwerten, Facebook aber schon. Denn im Grunde ging es mir ähnlich wie dem kanadischen Kollegen. Greifbare Anhaltspunkte gab es allerdings weder für das Vertrauen noch für das Misstrauen.

Misstrauen begründet

Nun stellt sich heraus, zumindest das Misstrauen gegenüber Facebook war begründet. Presseberichten aus der letzten Woche zufolge wertet Facebook nach eigenen Angaben in großem Umfang die auf der Plattform ausgetauschten privaten Nachrichten aus. Durch eine Software ist Facebook offenbar in der Lage, automatisiert private Chats und Nachrichten auf Schlüsselbegriffe hin zu durchsuchen. Tauchen Begriffe auf, die „alarmierend“ erscheinen, werden die User den Behörden gemeldet. Angeblich würden nur Unterhaltungen zwischen „auffälligen Gesprächspartnern“ überwacht. Nach der Definition von Facebook sind das Mitglieder, die beispielsweise unterschiedlich alt sind und keine gemeinsamen Freunde im Netzwerk haben. Zur Rechtfertigung dieses Tuns führt Facebook die Verhinderung von Sexualstraftaten an: http://www.reuters.com/article/2012/07/12/us-usa-internet-predators-idUSBRE86B05G20120712

Schlechte Nachrichten

Die gute Nachricht ist: nun wissen wir, was getan wird. Aber das ist auch das einzige, was in diesem Zusammenhang entfernt positiv ist. Nun wissen wir: Wir stehen alle unter Verdacht und niemand garantiert uns, dass nicht demnächst bei uns die Polizei vor der Tür steht, weil wir auf Facebook einen falschen Satz geschrieben haben. Im Zweifel bin ich verdächtig, wenn ich mich mit einem Bekannten über Brustkrebs austausche. Brave New World! Kommunikation ist einfach wie nie, Überwachung ist einfach wie nie. Da regen wir uns über die Diktaturen dieser Welt auf, und haben eine von ihnen jeden Tag auf unserem Computer.

Weitere Links:

http://www.internetworld.de/Nachrichten/Medien/Social-Media/Facebook-Software-scannt-Chatprotokolle-und-Nachrichten-Aufdecken-von-Straftaten-67718.html

http://www.sueddeutsche.de/digital/privatsphaere-im-netz-facebook-durchsucht-chat-protokolle-nach-straftaten-1.1411552

Datenverluste im Sommer 2012

Wenn das Wetter in diesem Sommer anderswo genauso scheußlich ist wie in Hamburg, scheint hacken und Datendiebstahl für manche Leute offenbar eine Alternative zum Ausflug ins Freibad zu sein. Oder wie sonst ist die Häufung von Vorfällen zu erklären, bei denen mehrere große Webseiten gehackt und teilweise umfangreiche Datenbestände entwendet wurden? Betroffen sind allein in den letzten zehn Tagen u.a. der Voice-over-IP-Dienst Yahoo Voice, der Mail-Provider GMX, AndroidForums.com und der Grafikkartenhersteller Nvidia.

Mail Adressen und Passwörter

Eine Textdatei mit über 450.000 E-Mail-Adressen und unverschlüsselten Passwörtern kam dem VoIP-Dienst Yahoo Voice abhanden, bei GMX wurden nach eigenen Angaben von GMX etwa 3.000 E-Mail-Konten geknackt. Die Benutzernamen und Passwörter wurden jedoch nicht, wie anfänglich vermutet, durch einen Brute-Force-Angriff erraten, sondern waren den Hackern schlicht bekannt. Wie das wiederum passieren konnte, ist noch unklar.

Passwort Hashes

Am vergangenen Dienstag teilte AndroidForums.com seinen Mitgliedern mit, dass in ihre Server eingebrochen und auf Datenbestände zugegriffen wurde. Es sei nicht auszuschließen, dass die Einbrecher sämtliche E-Mail-Adressen und die „gesalzenen Passwort-Hashes“ entwendet hätten.

Im Netz veröffentlicht

Der Grafikkartenhersteller Nvidia schließlich erklärte gegenüber heise online, dass Dritte auf die persönlichen Informationen von rund 290.000 Nutzern im Hauptforum und von zirka 100.000 Mitgliedern aus dem Entwicklerbereich zugreifen konnten. Auch hier konnten die Angreifer an die E-Mail-Adressen und die Passwort-Hashes gelangen. Wie auch im Fall von GMX wurden Teile der gestohlenen Nutzerdaten im Internet veröffentlicht.

Im Angebot: Datenschutzdienstleistungen und Viagra

Unsere Firmenwebseite traf es vor einer Woche ebenfalls. Irgendjemand, der der deutschen Sprache nur rudimentär mächtig war (oder vorgab zu sein), fügte unserer Unternehmensdarstellung einen Absatz hinzu. Hier könne man auch Viagra kaufen. "Je bekannter eine Seite wird, desto höher wird das Risiko eines Angriffs", versuchte mein PR-Chef mich über den Schreck hinweg zu trösten. Und: Hier sei wohl eher ein Scherzbold am Werk gewesen, denn ein Krimineller. Anders als für die großen Firmen hielt sich für uns der Schaden daher auch in Grenzen.

Links mit weiteren Details:

http://www.heise.de/security/meldung/Weitere-1-4-Millionen-Datensaetze-kompromittiert-1640663.html

http://www.zeit.de/digital/datenschutz/2012-07/gmx-passwort-account/komplettansicht

http://www.heise.de/security/meldung/Nvidia-Hacker-veroeffentlichen-auszugsweise-Nutzerdaten-1641556.htm l

http://www.datenschutz.de/news/detail/?nid=5447

Facebook: Auskunft über die eigenen Daten verlangen (2)

Gestern bekam ich mal wieder E-Mail von Facebook. Von Murphy, genauer gesagt, aus der Abteilung „User Operations“. Man wolle mich über die Vereinbarung zwischen Facebook und dem irischen Datenschutzbeauftragten bezüglich des Umgangs mit Auskunftsersuchen informieren.

Kategorien von Daten hinzugefügt

Im Zuge der „Unterhaltung“ zwischen Facebook und dem irischen Datenschutzbeauftragten habe Facebook zugestimmt, zusätzliche Kategorien von Daten seiner Nutzer zur Verfügung zu stellen. Man arbeite an einem Tool, das es ermöglichen soll, die Daten im Wege der „Selbstbedienung“ abzurufen. Es werde in wenigen Monaten bereit stehen.

Die Timeline als angebliches Datenschutz-Tool

Wirklich witzig ist dann der gleich darauf folgende Hinweis. Sobald ich zu Facebook’s neuem Profil, der „Timeline“ (oder auf Deutsch „Chronik“ genannt) gewechselt sei, müsse ich nicht auf das in der Programmierung befindliche Tool warten. Dann hätte ich sofortigen Zugang zu historischen und aktuellen Daten. In meiner Chronik selber oder in dem „activity log“, das von der Chronik aus direkt erreichbar sei, stünden Daten aus verschiedenen Kategorien zur Verfügung: Kommentare zu den Posts anderer, Fotos, Kommentare in der Chronik anderer, usw. aber auch Dinge wie die sog. open graph activitiy, die dokumentiert welchen Song ich gehört oder welchen Artikel ich gelesen habe.

“We encourage you to explore these features while we work on the new download tool” gibt man mir dann noch mit auf den Weg und auch solle ich doch die aktuelle Fassung der Datenschutzerklärung lesen.

The Self-Service Data Access Tool

Damit ist aber das Ende der Mail noch nicht erreicht. Unter der Überschrift „Accessing Your Personal Data – From Your Account” werde ich darauf aufmerksam gemacht, das Facebook ein bequemes Selbstbedienungswerkzeug gebaut habe, um Nutzern die Möglichkeit zu geben, Zugang zu den Daten zu erhalten, die Facebook von ihnen speichert. Und dass in den nächsten Monaten ein weiteres Werkzeug folge. Eine Anleitung, wo ich das schon bestehende Werkzeug finde, wird gleich noch mitgeliefert.

Irritation

Die Durchschnitts-Gelegenheits-Nutzerin bleibt irritiert zurück. Wozu soll das alles gut sein? Wozu ein „Self-Service-Tool“, wenn ich doch angeblich über die Chronik schon über alles ausreichend informiert sein soll? Welchen zusätzlichen Erkenntnisgewinn soll dann das bestehende als auch das noch kommende Auskunfts-Tool bringen? Zumal der ein paar Monate zurück liegende Versuch mit dem Tool zeigte, dass die eigentlich interessanten Fragen damit unbeantwortet bleiben. Die Fragen nämlich, welche Verknüpfungen und Profilbildungen Facebook mit meinen Informationen vornimmt, an wen sie verkauft werden und zu welchem Zweck.

Minimaler Fortschritt

Immerhin, ein minimaler Fortschritt ist zu erkennen. Der Ansatz, den Nutzern ein Tool zur Verfügung zu stellen, mit dem sie ihre eigenen Daten selber abrufen können, ist im Grundsatz ein datenschutzfreundlicher. Würden wir auf diese Weise eine ehrliche Auskunft über Facebook‘s Umgang mit unseren Daten erhalten, wäre schon viel gewonnen. An der ehrlichen Auskunft hapert es aber nach wie vor erheblich, und so bleibt der gute Ansatz auf halber Strecke stehen – auf weniger als der halben Strecke.

Live From Bagdad

Manchmal denke ich daran, dass die Telefone in meiner Kindheit grau waren, eine Wählscheibe hatten und einen schweren Hörer, der an einer gedrehten Schnur hing. Die Wählscheibe verursachte beim Wählen der Nummer so ein ratternd-klackerndes Geräusch, das ich heute noch im Ohr habe. Jede Einheit kostete einzeln und Ferngespräche waren teuer. Wollte ich meine Gastfamilie in Amerika anrufen, ging ich noch Ende der Achtziger Jahre in eine Telefonzelle und benutzte zur Kostenkontrolle eine Telefonkarte, die ich zuvor mit 50 Mark aufgeladen hatte.

Die grauen Telefone meiner Kindheit

Letztes Wochenende wurde ich wieder an die Telefone meiner erinnert. Und an den Datenschutz. Beides fügte sich auf unterhaltsame Weise in einem langjährigen Freund zusammen, den ich kenne, seit wir beide dreizehn Jahre alt waren. Wir saßen in einem vollen Restaurant beim Essen, ziemlich dicht neben einem Ehepaar um die sechzig, das sich geschlagene zwei Stunden anschwieg und dafür aber umso genauer unsere Unterhaltung mit zu hören schien. Mein Freund berichtete mir von seiner neuen Liebe, einem Amerikaner, der als IT-Spezialist in Bagdad für irgendeine Firma arbeitet, die wiederum Dienstleister für das Militär ist. Was genau er dort tut ist ein großes Geheimnis. Er habe auch viele Jahre als Immobilienmakler gearbeitet, nur so viel habe er noch verraten. Welche IT-Firma stellt einen 50jährigen ein, der vorher Makler war? sagte ich zu meinem Freund, den ich hier Hans nenne. Das hört sich für mich eher an, als ob du dich in einen Spion verguckt hättest.

Fernliebe in Zeiten der Überwachungsmöglichkeiten

Ich merkte an, dass ich mit so jemandem nicht ohne Weiteres online kommunizieren würde, als Hans berichtete, neulich habe sich sein E-Mail Programm so komisch verhalten und habe während des Schreibens seine Worte gelöscht. Soll doch dein Liebster mal für eine gesicherte Verbindung sorgen! sagte ich. Hans konnte meine Bedenken nicht so richtig nachvollziehen. Wen sollten denn schon ein paar Liebeserklärungen und sexuelle Phantasien interessieren? Er hatte überhaupt keine Vorstellung davon, was technisch alles möglich ist, wenn erst mal jemand unberechtigten Zugriff auf seinen Rechner hat. Und er wähnte sich in Sicherheit – frei nach dem Motto, „Ich tue niemandem was, also wird mir auch niemand was tun“.

Privatsphäre?

Doch ein wenig nachdenklich geworden ob meiner Vorträge über IT-Sicherheit im Allgemeinen und die Bösartigkeit von Geheimdiensten im Besonderen zückte er dann kurz darauf – anscheinend völlig unbeeindruckt von unseren Mithörern – sein iPhone, warf Skype an und sagte, ich könne seinem Lover das mit der gesicherten Kommunikation ja gleich mal selber erklären, er hätte ihm eh noch einen Anruf versprochen. Ich lehnte dankend ab und verdrückte mich vorläufig auf die Toilette. Das hinderte Hans dann aber nicht, mir nach meiner Rückkehr ein verpixeltes Live-Bild aus Bagdad vor die Nase zu halten, auf dass der Amerikaner wenigstens einen optischen Eindruck von mir bekomme: „I show you my friend …“ und dann folgten Liebeserklärungen in einem dicht besetzten Restaurant. Datenschutz? dachte ich seufzend. Privatsphäre? War da was?

Nur im Kopf

Als wir ein paar Tage später noch mal darüber sprachen, regte sich mein Freund mehr über das lauschende Paar am Nebentisch auf, als über alle real bestehenden Szenarien der technischen Überwachung, die ich ihm geschildert hatte. Eigentlich würden wir doch bei einem simplen Restaurantbesuch viel mehr von uns preisgeben, warum also noch Datenschutz? Weil unsere Geschichten nach dem Restaurantbesuch nur in den Köpfen der sprachlosen Alten sind, antwortete ich. Nicht online abrufbar, nicht verknüpfbar mit anderen Informationen über uns, nicht lebenslänglich gespeichert und für alle Welt verfügbar. Darum Datenschutz. Unter anderem.

Patientendaten im Netz: Was für ein Albtraum

Der deutsche Begriff „Datenschutz“ klingt immer ein wenig so, als ob es um den Schutz von abstrakten, unpersönlichen Dingen ginge. Tatsächlich aber steht der Schutz der Rechte Einzelner im Vordergrund dessen, was Datenschutz bezweckt.

Nichts kann dies deutlicher illustrieren als der Bericht über die rund 3.000 Datensätze von schleswig-holsteinischen Psychiatriepatienten, die im Internet landeten. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) machte in einer Presseerklärung vom 7.11.2011 „Desorganisation“ als „Hauptursache“ für den von ihm als „Datenleck“ bezeichneten Vorfall verantwortlich. Mehrere Stellen seien beteiligt gewesen, zwischen denen die Arbeitsverhältnisse und Verantwortlichkeiten unklar geregelt gewesen seien. Niemand von den für die Datenverarbeitung Verantwortlichen habe über einen genauen Überblick über die Verarbeitung der Daten der psychisch Kranken verfügt.

Der Überblick fehlt

Bei allem Verständnis für fehlendes Wissen und Schwachstellen im Bezug auf den Umgang mit komplexer IT: Wer mit so sensiblen Daten umgeht, dem darf nicht der Überblick fehlen. Wenn in der Einrichtung kein entsprechender Sachverstand vorhanden ist, muss man ihn beschaffen. Wenn man keine externe Unterstützung bezahlen kann, darf man keine Psychiatriedaten automatisiert verarbeiten. Der Vorfall wäre ein Grund, die Einrichtung zu schließen.

Keine Gefahr mehr?

Thilo Weichert, Leiter des ULD, lässt allerdings vorläufig Milde walten. Er wird am Ende der Pressemitteilung mit dem Satz zitiert: „Aktuell besteht, soweit für uns ersichtlich, keine weitere Gefahr mehr. Der Server mit den sensiblen Daten ist abgeschaltet“. Eine „umfassende Bestandsaufnahme und Bestandssicherung“ habe vorläufig Vorrang vor möglichen Sanktionen. Keine weitere Gefahr? Einmal im Internet veröffentlichte Daten lassen sich nicht wieder löschen. Die betroffenen Psychiatriepatienten leben von nun an ständig in der Gefahr, dass jemand alle Details ihrer Krankengeschichte ausgräbt und weiter verbreitet.

Datenschutz ist Schutz von Menschen

Vielleicht sollte man Datenschutz durch Personenschutz ersetzen – damit klar wird, worum es wirklich geht: Nämlich den Schutz von Menschen durch den Missbrauch von Informationen über sie. Vielleicht würde dieses Bewusstsein zu mehr Sorgfalt im Umgang mit sensiblen Informationen führen.

URL der zitierten Pressemitteilung: http://www.datenschutz.de/news/detail/?nid=5167

Google und Facebook: Interessante Erkenntnisse beim ERFA-Kreis Nord

Interessante Einblicke in das Denken von Google bot ein Vortrag des Datenschutzbeauftragten der Google Deutschland GmbH, Per Meyerdierks, im Rahmen des Treffens des ERFA-Kreises Nord der Gesellschaft für Datenschutz und Datensicherheit (GDD) am vergangenen Montag (31.Oktober) in Hamburg. „Datenschutz im Web 2.0 – Grundlagen und (funktionale) Grenzen“ lautete der Titel der sehr juristisch aufgemachten Abhandlung. Nach ein paar allgemeinen datenschutzrechtlichen Definitionen rollte Meyerdierks die Diskussion um den Personenbezug von IP-Adressen auf.

Der entscheidende Punkt blieb unerwähnt

Den entscheidenden Punkt erwähnte er jedoch mit keinem Wort: Die Begrenzungen des deutschen Rechts, die eine Zusammenführung der IP-Adresse mit der Person in den meisten Fällen verhindern, gelten für Google allesamt nicht. Google verfügt über einen gigantischen Berg personenbezogener Informationen aus einer Vielzahl von Quellen, die es unkontrolliert zum Zweck der Profilbildung zusammenfügen kann. Es spricht viel für die Annahme, dass Google dies auch tut. Warum sonst sollte beispielsweise jede in die Google Suchmaschine eingegebene Anfrage von dem Konzern neun Monate lang gespeichert werden?

Auseinandersetzung mit den Aufsichtsbehörden

Es wäre interessant gewesen, von Herrn Meyerdierks dazu eine Einschätzung zu hören. Stattdessen verharrte er in einer fast selbstmitleidig anmutenden Schilderung der kleinteiligen Diskussionen, die er mit den Datenschutzaufsichtsbehörden führt. Die zentrale These lautete, das dass geltende Datenschutzrecht nicht dazu geeignet sei, mit den Sachverhalten und Fragen angemessen umzugehen, die das Internet mit sich bringt.

Ein besseres Recht wird gebraucht

Ohne Zweifel brauchen wir ein besseres Recht zur Regelung des Datenschutzes im Internet-Zeitalter und das möglichst europaweit. Antworten, wie dieses aus Sicht von Google zu gestalten wäre, blieb Per Meyerdierks allerdings schuldig. Fast schien es, als wäre die Alternative zum Ist-Zustand aus seiner Sicht die, dass Google ungehindert von geltendem Recht und aufsichtsbehördlichen Fragen tun könnte, was immer es will. Das würde auch erklären, warum alle Versuche des Hamburgerischen Datenschutzbeauftragten und des Unabhängigen Landeszentrums für den Datenschutz Schleswig-Holstein (ULD) mit Google ins Gespräch zu kommen, von Seiten Google boykottiert wurden. So lange, bis das ULD in einer öffentlichkeitswirksamen Kampagne die in Schleswig-Holstein ansässigen Unternehmen aufforderte, den Einsatz von Google Analytics sofort zu beenden. Seither ist man bereit, auch Sicherheitskonzepte zu veröffentlichen und diese durch Dritte prüfen zu lassen.

Den Regelungsanspruch des Rechts aufgegeben

Aus dem Publikum, einer Gruppe von etwa 50 Datenschutzbeauftragten und sonstigen Datenschutz-Interessierten, kamen überraschend wenige kritische Anmerkungen. Im Anschluss an den Vortrag von Per Meyerdierks verteidigte der Leiter des ULD, Thilo Weichert, wortgewaltig seine Facebook-Abschalten-Initiative. Auch in dieser Diskussion fiel auf, wie wenig einige Datenschützer offenbar bereit sind, auf dem Geltungs- und Regelungsanspruch des Rechts zu bestehen. Juraprofessor Ralf Bernd Abel verstieg sich zu einem vermeintlichen Gegensatz des Grundrechts der Facebook-Nutzer auf freie Meinungsäußerung und freie Kommunikation und der Einhaltung der Datenschutzvorschriften. Und im Übrigen, welchen Wert habe das Beharren auf der Einhaltung der Datenschutzgesetze für den einzelnen Nutzer?

Nur jammern ist zu wenig

Das sind nun wirklich absurde Zungenschläge in dieser Diskussion. Noch gilt das Recht wie es ist und wer, wenn nicht die Datenschützer sollten auf seiner Einhaltung bestehen? Unterstützung für diese Selbstverständlichkeit ließ die Versammlung vermissen. Gleichzeitig muss dieses aber mit einer rechtspolitischen Forderung verbunden werden, endlich ein technikneutrales, zukunftsfähiges Datenschutzrecht zu schaffen. Vorschläge gibt es genug.

Tausende Daten von Psychiatrie Patienten im Internet öffentlich

Quelle: Lübecker Nachrichten online, 4.11.2011, Bastian Modrow

http://www.ln-online.de/nachrichten/3280032

Unfassbar: Sensible Papiere standen im Netz

Im Internet abrufbare Daten offenbarten psychische Krankheiten tausender Schleswig-Holsteiner.

Kiel – Im Internet abrufbare Daten offenbarten psychische Krankheiten tausender Schleswig-Holsteiner. Kiels oberster Datenschützer Thilo Weichert hat ein Untersuchungsverfahren gegen die „Rebus GmbH“ eingeleitet.

Einen vergleichbaren Fall hat es in Schleswig-Holstein noch nicht gegeben: Tausende Patientendaten von psychisch schwer kranken Menschen waren im Internet für jedermann zugänglich. Auf dem Server des Internetdienstleisters waren die Arzt- und Behördenbriefe, Gutachten und Verhaltens-Dokumentationen abrufbar.

Ein LN-Leser machte gestern auf das Sicherheitsleck aufmerksam. „Wie lange die Patienten-Informationen öffentlich zugänglich waren, müssen wir jetzt prüfen“, sagt Weichert. Einige der Dokumente sind auf den gestrigen Tag datiert, unter anderem sind es Briefe des Vereins „Die Brücke“ in Rendsburg, in denen Kostenübernahme für teilstationäre Betreuung für Patienten beantragt wird. Andere Unterlagen stammen teils noch aus dem Jahr 2007. Dort beschreibt beispielsweise eine Therapeutin des Wohnhauses in Schacht-Audorf die psychische Problematik eines Bewohners: „R. provoziert D.. Als D. kontert, sprang R auf, ging auf ihn zu und würgte ihn. Währenddessen schlug er ihn mit dem Kopf mehrmals gegen einen Flipchart. Als ich R. von D. wegzog, beugte er sich noch einmal vor und schlug ihm mit der Faust aufs linke Auge.“ Weiter heißt es in der mit „Dokumentation Krisenmanagement“ überschriebenen Auflistung: „Ich begleitete R. nach draußen. Dort erklärte ich ihm, dass er von mir in die Klinik gefahren wird. Sollte er nicht freiwillig mitkommen, würde ich die Polizei rufen...“

Die ins Internet gestellten Papiere sprechen von paranoider Schizophrenie, Psychosen und anderen seelischen Krankheiten der jeweils namentlich genannten Patienten. Zahlreiche Briefe sind als pdf-Dateien in dem Verzeichnis hinterlegt. Mitunter sind diese nur wenige Tage alt. In einem Brief der Schön-Klinik in Bad Bramstedt wird die Essstörung eines Patienten beschrieben, depressive und psychische Persönlichkeitsstörungen diagnostiziert. In einem anderen Schreiben, das auf den 21. Oktober 2011 datiert ist, berichtet der Leitende Chefarzt des Psychiatrischen Zentrums Rickling (Kreis Segeberg) über den zehnten stationären Aufenthalt eines 31-jährigen Patienten.

Die LN informierten sowohl „Die Brücke“ Rendsburg als auch den Internetdienstleister umgehend über das Datenleck. Seit gestern Abend ist die Internet-Seite nicht mehr erreichbar. Der Server wurde von den Verantwortlichen komplett heruntergefahren. Am Montag will Datenschützer Weichert den Vorfall vor Ort untersuchen.

Das Unverständnis im Norden ist groß. „Jeder Patient hat Anspruch darauf, dass seine gespeicherten Daten vertraulich behandelt werden“, sagt Christian Kohl vom Kieler Sozialministerium. Das betreffe insbesondere den Schutz vor unbefugtem Zugriff. Kohl: „Eine Missachtung dieses Rechts ist untragbar.“

Facebook & Co. – es wird Zeit für ein neues Recht

Einverstanden, es gibt begründete Zweifel, dass der Sonderweg hinsichtlich der Übermittlung der Nutzerdaten in die USA für Schleswig-Holstein von Facebook als Präzedenzfall anerkannt werden wird – so es überhaupt einen Sonderweg für Schleswig-Holstein geben wird. Wie ich gestern schrieb, auf den ersten Blick mutet das Ganze wie ein Scherz an. Die eigentlich selbstverständlichen Rechte von uns allen sollen im Wege einer technisch umzusetzenden Spezialregelung für Nutzer in Schleswig-Holstein beachtet werden, weil deren Datenschutzbeauftragter lange genug genervt hat. Außer vielleicht im Steuerrecht gibt es wohl in keinem Bereich unseres Lebens die Situation, dass Gesetze gelten, aber einfach nicht beachtet werden. Mehr noch, diejenigen, die auf ihrer Einhaltung bestehen, werden als gestrige Sonderlinge belächelt. Es wird höchste Zeit, diese Situation durch bessere Gesetze vom Kopf auf die Füße zu stellen.

Ein neues europäisches Recht?

Kürzlich hat die EU-Justiz-Kommissarin Viviane Reding eine Reform der EU-Datenschutzrichtlinie angekündigt. Mit der Novellierung der Datenschutzrichtlinie will sie dafür sorgen, dass alle Bürger ihre Datenschutzrechte in der Praxis auch durchsetzen können. Die grundlegenden Prinzipien der EU-Datenschutzrichtlinie sollen klarer ausgearbeitet und gestärkt werden, Verantwortlichkeiten klar benannt und Sanktionsmöglichkeiten geschaffen werden. Das „Riesenwerk“ solle schon bald als Entwurf vorliegen, den dann das Europäische Parlament beraten muss. Das kann dauern. Bis dahin bleibt uns nur der Versuch der Selbsthilfe, indem wir die vorhandenen Möglichkeiten nutzen und die Datenkraken unter Druck setzen.

User werden zu Experten

„Vielleicht ist Datenschutz im Moment noch kompliziert“, schreibt Franziska Bulban in der ZEIT Nr. 41 in einem Kommentar über die Facebook versus Europe Initiative. „Eine Sache für Experten. Aber mit Usern, die zu Experten in eigener Sache werden, lässt sich vielleicht die Zeit bis zu besseren Gesetzen überbrücken“.

Facebook: Ausnahme für Schleswig-Holstein?

Das soll wohl ein Witz sein! war mein erster Gedanke, als ich gestern die Datenschutznachrichten las. Nach einem Gespräch zwischen dem Europa-Vertreter von Facebook, Richard Allan, und dem Datenschutzbeauftragten für Schleswig-Holstein, Thilo Weichert, will Facebook nun prüfen, wie technisch umgesetzt werden könnte, dass die Daten von schleswig-holsteinischen Facebook-Nutzern nicht mehr in die USA übermittelt werden.

… und Facebook bewegt sich doch

Darüber hinaus habe Facebook sich bereit erklärt, technische Details offenzulegen, sodass das Unabhängige Landeszentrum für den Datenschutz in Schleswig-Holstein (ULD) Einblicke in die Verarbeitung der Nutzerdaten durch Facebook erhalten kann. Facebook habe, so Weichert, zum ersten Mal „richtig verstanden“, was die rechtlichen Argumente und technischen Probleme des ULD mit Facebook seien.

Der Erfolg gibt ihnen Recht

Mit der Sturheit, den man den Nordlichtern nachsagt, zog das ULD los, Facebook in die Schranken zu weisen, und offenbar hat es in kleinen Etappen Erfolg. So schräg die Vorstellung zunächst auch anmuten mag, dass zukünftig den Daten schleswig-holsteinischer Nutzer eine Sonderbehandlung wiederfahren soll – es muss ja nicht die einzige Sonderbehandlung sein. Gleiches Recht für alle wird die zwingende Folge sein, wenn eine solche Differenzierung möglich sein sollte. Das Bundesdatenschutzgesetz gilt schließlich nicht nur in Schleswig-Holstein. Vielleicht ist dieses Einlenken von Facebook der erste Schritt auf dem langen Weg zu Datenschutz, der nicht nur eine leere Floskel ist.

URL der zitierten Meldung:

http://www.datenschutz.de/news/detail/?nid=5143