Kategorie: Datenschutzrecht

Neue Regeln für Berufsgeheimnisträger passieren Bundesrat

Am Freitag, 22. September 2017, hat nach dem Bundestag auch der Bundesrat den Änderungen des § 203 StGB zugestimmt (Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen).

Damit werden die Änderungen, die auch Berufsgeheimnisträgern wie Rechtsanwälten oder Ärzten ein Outsourcing ermöglichen, nach der Prüfung durch den Bundespräsidenten vermutlich noch diesen Herbst in Kraft treten. Eine Regelung, die überfällig war, da sie Berufsgeheimnisträgern einen zeitgemäßen IT-Einsatz ermöglicht.

Über den Gesetzentwurf hatte ich hier berichtet.

Neue Regeln für Berufsgeheimnisträger

Im Bundestag befindet sich aktuell ein Gesetzentwurf, der es Berufsgeheimnisträgern wie Rechtsanwälten oder Ärzten ermöglichen soll, IT-Dienstleister einzuschalten, ohne dass deren Einschaltung den Straftatbestand des § 203 StGB erfüllt.

Geplant ist eine Änderung des § 203 StGB und der BRAO. Die IT-Dienstleister sollen einerseits in den Straftatbestand des § 203 StGB einbezogen werden und andererseits soll kein Offenbaren vorliegen, wenn Geheimnissen IT-Dienstleistern zugänglich gemacht werden. Notwendig wird eine Verpflichtung der Dienstleister zur Verschwiegenheit sein.

Ausländische Dienstleister dürfen nur dann in Anspruch genommen werden, wenn der Schutz von Geheimnissen demjenigen im Inland „vergleichbar“ ist (§ 43e Abs. 4 BRAO-E).

Der Entwurf ist dringend notwendig, da die meisten Berufsgeheimnisträger kaum ohne externe IT-Dienstleister auskommen dürften und sich diese derzeit nicht nur in einem rechtlichen Grau- sondern bereits schwarzen Bereich befinden dürften.

Den Gesetzentwurf finden Sie hier.

BGH: Dynamische IP-Adressen sind personenbezogene Daten

Der Bundesgerichtshof hat nun entschieden, dass dynamische IP-Adressen personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG sind (BGH, Urteil vom 16. Mai 2017 – VI ZR 135/1, noch nicht im Volltext verfügbar, zur Pressemitteilung). Bei dynamischen IP-Adressen handelt es sich um IP-Adressen, die vom Provider bei jeder Einwahl ins Netz neu vergeben werden. Das Gegenstück dazu ist eine feste IP-Adresse, die immer identisch ist.

Dass diese Frage überhaupt strittig war, liegt daran, dass bei dynamischen IP-Adressen nur der Provider bestimmen kann, zu welchem Zeitpunkt welchem Kunden welche IP-Adresse zugewiesen war. Der Personenbezug ist daher nur mit Hilfe eines Dritten herstellbar.

Der BGH hatte diese Frage zuvor dem EuGH vorgelegt, da dieser die Auslegung der EG-Datenschutzrichtlinie vorzunehmen hat. Der EuGH hat mit Urteil vom 19. Oktober 2016 – C-582/14 – entschieden, dass dynamische IP-Adressen personenbezogene Daten sind.

Hintergrund des Streits ist eine Klage des Piraten-Politikers Patrick Breyer. Er störte sich daran, dass die Webseiten der Bundesregierung die IP-Adressen der Nutzer protokollieren.

Der BGH hat die Sache nun an das LG Berlin zurückverwiesen. Hintergrund ist, dass eine Speicherung der IP-Adressen nach § 15 Abs. 1 TMG dann erfolgen darf, wenn die Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Damit hatte die Bundesregierung argumentiert. Das LG Berlin muss nun hier erneut Beweis erheben und eine Interessenabwägung vornehmen.

Der Polizeicomputer und die Zweckbindung

Diese Woche erhielt ich einen Anruf von einer Polizeiinspektion auf dem Handy. Der freundliche Polizist teilte mir mit, dass er die Akte, bei der wir einen Geschädigten vertreten, nun an die Staatsanwaltschaft weiterleiten werde. Nichts Ungewöhnliches.

Ungewöhnlich war dann, als der Polizist fragte, ob ich in … in der …straße wohne. Ich fragte ihn, woher er meine Privatadresse habe. Er scherzte, dass er gute Verbindungen in den Vatikan habe. Zurück in der Kanzlei fragte ich mein Sekretariat, warum der Polizist eigentlich auf meinem Handy angerufen habe und ob sie ihm die Nummer gegeben hätten. Mein Sekretariat verneinte.

Dann wurde mir bewusst, dass er meine Daten aus dem Polizeicomputer haben musste, als ich vor ein paar Monaten im Rahmen einer privaten Angelegenheit meine Daten angab, damit die Polizei mich kontaktieren konnte. Der Polizist erhält ein Schreiben des Anwalts und durchsucht erst einmal den Polizeicomputer, um die Handynummer des Anwalts zu erfahren.

Datenschutzrechtlich ist dies natürlich unzulässig und widerspricht dem Grundsatz der Zweckbindung. Gleichzeitig zeigt diese Geschichte aber auch, wie gefährlich ein großer Datenbestand im Rahmen der Vorgangsverwaltung im Polizeicomputer sein kann.

Vor dem Verwaltungsgericht München hat unsere Kanzlei derzeit eine Klage anhängig, um die Daten eines Mandanten zu löschen, dessen Verfahren auf Körperverletzung eingestellt wurde. Der Mandant hatte Angst, dass diese Sache ihm in den nächsten Jahren immer wieder Schwierigkeiten machen könnte, wenn sie im Polizeicomputer steht, trotz der Einstellung.

Recht hat er, der Mandant.

Bundeskanzlerin kritisiert Grundsatz der Datensparsamkeit

§ 3a BDSG beinhaltet des Grundsatz der Datensparsamkeit. Es sollen so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden. Auch die am 25.05.2018 das BDSG ersetzende und in der gesamten Europäischen Union geltende Datenschutzgrundverordnung (DSGVO) sieht dieses Prinzip in Art. 5 Abs. 1 lit. c DSGVO vor. Dort heißt das Prinzip „Datenminimierung“.

Mitglieder der Bundesregierung haben dieses Prinzip in letzter Zeit des Öfteren als nicht mehr zeitgemäß bezeichnet. Nun hat auch die Bundeskanzlerin den Grundsatz der Datensparsamkeit beim IT-Gipfel in Saarbrücken in Frage gestellt. Das Prinzip der Datensparsamkeit könne heute nicht die generelle Leitschnur sein für die Entwicklung neuer Produkte, so Merkel. Die Politik dürfe die Regeln des Datenschutzes „nicht so restriktiv machen, dass das Big-Data-Management dann doch nicht möglich wird“.

In einem hat die Bundeskanzlerin recht: Big Data ist mit der Sammlung unzähliger Daten, bei denen man bei der Erhebung noch gar nicht weiß, für was man die Daten benutzt, ist mit dem sehr restriktiven deutschen und bald auch vollständig harmonisierten europäischen Datenschutzrecht nur schwer absolut rechtskonform zu realisieren. Allerdings ist gerade die unbeschränkte Datensammlung und die Verknüpfung von Daten besonders gefährlich für das Allgemeine Persönlichkeitsrecht, da der Betroffene oft nicht abschätzen kann, welche Daten erhoben werden und wie sie verknüpft werden. Gerade die Verknüpfung von vermeintlich „harmlosen“ Daten kann dazu führen, dass die Daten hochsensibel werden und umfassende Rückschlüsse auf das Leben der Betroffenen zulassen. Der Grundsatz der Datensparsamkeit (BDSG) bzw. das Prinzip der Datenminimierung (DSGVO) sollte daher unbedingt erhalten bleiben.

Kein Web of Trust

Dass es im Internet zahlreiche Anwendungen gibt, die die Nutzer ausspionieren, ist bekannt. Dass dazu aber auch Anwendungen zählen, die seit Jahren vorgeben, die Sicherheit des Internets zu verbessern und sich als solche einer gewissen Beliebtheit erfreuen, überrascht dann doch. So verhält es sich mit der Browser-Erweiterung Web of Trust (WOT).

Bei der Erweiterung, die sowohl für Mozilla Firefox als auch Google Chrome existiert, handelt es sich um ein Browser-Addon, das Webseiten anhand der URL auf Vertrauenswürdigkeit überprüft. Nutzer, die eine Seite für nicht vertrauenswürdig oder gar schädlich halten, markieren die Seite durch das Addon als nicht vertrauenswürdig. Andere Nutzer sehen dann durch eine grüne oder rote Anzeige beim Besuch der Seite oder sogar in den Suchergebnissen der Suchmaschine, ob die Seite von anderen Nutzern als vertrauenswürdig (dann grün) oder nicht vertrauenswürdig (dann rot) eingestuft wurde. Auf diese Weise weiß der arglose Nutzer allein durch die Farbanzeige von WOT, ob er die Seite besuchen kann oder doch lieber die Finger davon lässt. Auch ich habe diese Erweiterung schätzungsweise seit 10 Jahren genutzt – bis jetzt.

Journalisten des NDR haben nun herausgefunden, dass diese Erweiterung in großem Maße Nutzerdaten ausgespäht und an Dritte weitergegeben hatte. Mozilla und Google haben die Erweiterungen daraufhin aus ihren Addon-Portalen genommen.

Dieses Beispiel zeigt die Wichtigkeit des Datenschutzes. Nutzer wählen eine als seriös geltende Browser-Erweiterung, um ihr Surfverhalten sicherer zu machen. Dabei ist genau diese Erweiterung der „Schädling“, vor dem sie sich eigentlich schützen wollen.

Keine Pflicht zur Herausgabe von Daten auf EU-Servern für US-Unternehmen

Microsoft hat es geschafft! Das Unternehmen hat dafür gekämpft, dass Daten, die es in Rechenzentren außerhalb der USA gespeichert hat, nicht an die US-amerikanischen Ermittlungsbehörden herausgeben werden müssen. Im Jahr 2014 wurde Microsoft von einem US-Gericht dazu verurteilt, die Daten eines Outlook.com-Kontos herauszugeben, die im irländischen Rechenzentrum von Microsoft gespeichert waren.

Gegen dieses Urteil ist Microsoft in Berufung gegangen und hat nun gewonnen. Es besteht keine Herausgabepflicht, wenn die Daten außerhalb der USA gespeichert sind.

Dieses Urteil stärkt den Datenschutz europäischer Kunden von US-Unternehmen erheblich. Nachdem die Cloud immer mehr in den Fokus des Geschäftsmodells von Microsoft rückt, hat Microsoft massiv für dieses Urteil gekämpft. Immerhin ist davon das Vertrauen in die Cloud-Produkte, etwa Office365, abhängig, dass die Daten, die die US-Unternehmen für viel Geld in Rechenzentren in Europa lagern, vor US-Behörden geschützt sind.

Nach dem EU-US Privacy Shield ist dies die zweite Stärkung US-amerikanischer Dienste in Europa.

 

 

Vorratsdatenspeicherung: Inhalte von SMS werden gespeichert

Heute entscheidet der Bundestag über die Wiedereinführung der Vorratsdatenspeicherung in der abgeänderten Form, nachdem die Vorratsdatenspeicherung durch das Bundesverfassungsgericht gekippt worden war.
Die Wiedereinführung ist sehr umstritten. Kritiker bemängeln zu Recht, dass ein Sicherheitsgewinn durch die Vorratsdatenspeicherung nicht gegeben sei, dafür aber massive Beeinträchtigungen der Persönlichkeitsrechte der Bürger damit einhergehen. Die Bundesregierung betont, dass sich die Vorratsdatenspeicherung nur auf die Verbindungsdaten, nicht aber auf die Kommunikationsinhalte beziehe. Diese würden nicht gespeichert. Trotzdem ist allein aufgrund der Meta-Daten ein umfassendes Profil über das Kommunikationsverhalten der Bürger möglich. Bei Mobilfunkgesprächen werden auch die Standortdaten gespeichert, sodass ein umfassendes Bewegungsprofil möglich ist.
Der heutige Bericht der Süddeutschen Zeitung dürfte die Kritiker weiter bestätigen. Die Zeitung berichtet, dass es derzeit nicht möglich sei, eine Speicherung der Meta-Daten der SMS ohne gleichzeitige Speicherung der Inhalte vorzunehmen. Der Inhalt einer SMS befinde sich in einer speziellen Container-Datei, der nicht aufgeteilt werden könne in Verbindungsdaten und Kommunikationsinhalt.
Dieser Umstand ist zwar technisch bedingt und hat nichts direkt mit der Vorratsdatenspeicherung zu tun. Bisher werden die Metadaten für SMS allerdings allein für Abrechnungszwecke für einen sehr kurzen Zeitraum, meist 7 Tage lang, gespeichert. Die Wiedereinführung der Vorratsdatenspeicherung würde dazu führen, dass diese Inhalte – und damit auch die Container-Datei mit dem gesamten Inhalt der SMS – zukünftig zehn Wochen lang gespeichert werden müssten.

 

Eine technische Möglichkeit, diese Daten zu trennen, haben die Provider nach dem Zeitungsbericht derzeit noch nicht.
Update 1: Der Bundestag hat heute die Vorratsdatenspeicherung beschlossen. 

Update 2: Die Mobilfunkprovider haben mittlerweile eine Stellungnahme abgegeben, in der sie der Speicherung von SMS-Inhalten widersprechen.

Geleakte Nackt-Fotos: Das Internet braucht bessere Authentifizierungsinstrumente

Die gehackten iCloud-Accounts einiger Prominenter haben für viel Aufsehen gesorgt. Weniges verletzt die Privatsphäre mehr, als wenn intime Fotos im Internet kursieren, die nicht für die Öffentlichkeit bestimmt waren.

Die ursprünglichen Vermutung, dass die Hacker die iCloud-Accounts durch Brute-Force-Attacken geknackt hätten, hat sich nicht bestätigt. Apple verneint einen entsprechenden Angriff über die Find-my-phone-Funktion. Stattdessen kamen die Hacker wohl über eine Phishing-Attacke oder über erratene Sicherheitsfragen an die Accounts.
Dies zeigt, wie fragil die Authentifizierungsmechanismen im Internet sind. Die gesamte Sicherheit und Online-Identität hängt von einem Passwort ab. Hier verwendet der bequeme Internetnutzer oft viel zu leichte Kennwörter und nicht selten dasselbe für mehrere Dienste. Dieses Passwort gibt der Nutzer auch viel zu leichtsinnig Preis, indem er etwa vermeintlich vom Betreiber des Dienstes stammende E-Mails öffnet und seine Zugangsdaten auf gefälschten Webseiten eingibt.
Die zweite Angriffsmöglichkeit bieten die Dienste, die noch Sicherheitsfragen für den Fall verwenden, dass sich der Nutzer nicht mehr an sein Passwort erinnert. Fragen wie „Name des Haustiers“ oder „Mädchenname der Mutter“ lassen sich in Zeiten des Internets und der sozialen Netzwerke teilweise leicht herausfinden, gerade bei Prominenten. Google etwa verwendet Sicherheitsfragen schon seit einiger Zeit nicht mehr, sondern bietet die Möglichkeit, die Kennwortwiederherstellung über SMS oder Telefon durchzuführen. Dies ist erfreulich und zeigt wieder einmal, dass Google in Fragen der Internetsicherheit Vorreiter ist, ähnlich wie bei den eingeführten Sicherheitsmerkmalen der Zwei-Faktor-Authentifizierung, durchgängigen SSL-Transportverschlüsselung, Perfect Forward Secrecy und der Sender Policy Framework.
Was also tun? Die Ergänzung des Passworts um einen jeweils individuell erstellten und nur zeitlich begrenzt gültigen Faktor wie bei der Zwei-Faktor-Authentifizierung ist gut und richtig. Leider kennen viele Nutzer diese Möglichkeit, die die Sicherheit erheblich erhöht, nicht oder sind zu bequem. Das Dilemma der zu einfachen, mehrfach verwendeten und nicht mehr merkbaren Passwörter wird dadurch nicht gelöst. Der Fingerabdruck taugt in der Paxis nicht, weil die Technik nicht zuverlässig und gegen Tricks geschützt ist und sich der Fingerabdruck im Fälle eines „Diebstahls“ nicht ändern lässt. Die Lösung wäre die Authentifizierung mittels eines Zertifikats, das etwa auf dem neuen Personalausweis gespeichert ist. Diese Lösung funktioniert aber aus mehreren Gründen (noch) nicht: Es wäre eine rein nationale Lösung, mobile Geräte würden nicht (oder zumindest nur schwer) unterstützt und es würde die Betreiber einiges an Geld kosten, dies zu unterstützen. 
Die Sicherheit des gesamten Internet sollte aber Grund genug sein, diese Hürden zu überwinden.