Kategorien
Datenschutzrecht & Medienrecht Empfohlen Persönlichkeitsrecht

Videoüberwachung – Was ist erlaubt

Videoüberwachung: Es ist kaum mehr denkbar, dass man noch ein Geschäft betreten kann, ohne dass man irgendwo eine Videokamera sieht – dabei werden die rechtlichen Grundlagen der Videoüberwachung häufig ignoriert.

Eine kurze Übersicht zur Rechtslage bei der Videoüberwachung gibt dieser Beitrag. Dabei finden Sie in einem separaten Beitrag bei uns eine zusammengefasste Rechtsprechungsübersicht.

Achtung: Dieser Artikel stellt (noch) die Rechtslage nach dem Bundesdatenschutzgesetz dar und wird irgendwann aktualisiert.

Kategorien
Datenschutzrecht & Medienrecht IT-Vertragsrecht Online-Shop und eCommerce Softwarerecht

Sicherheitslücke Shellshock: Juristische Konsequenzen für Provider und Diensteanbieter

Eine aktuell bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“, die zunehmend ausgenutzt wird, sollte Provider und Anbieter von Internetdiensten aufhorchen lassen – nicht nur in technischer Hinsicht. Denn es bieten sich durchaus juristische Konsequenzen.

Kategorien
IT-Recht Verbraucherrecht

Phishing: Vorsicht bei Mails mit „Ihre Apple ID wurde aus Sicherheitsgrunden deaktiviert!“

Nicht zum ersten Mal habe ich heute eine Mail erhalten, die den Betreff „Ihre Apple ID wurde aus Sicherheitsgrunden deaktiviert!“ führt. Für mich ist es recht einfach, solche Mails direkt als Müll zu identifizieren, da ich für besonders sensible Accounts eigene Mail-Adressen führe. Wenn man dann sieht, wohin die Mail gesendet wurde, ist auf einen Blick klar, dass der erste Verdacht (Müll) sich bestätigt. Heise berichtet nun, wie gefährlich es sein kann, wenn man hier nicht aufpasst.

Kategorien
IT-Recht IT-Strafrecht

IT-Strafrecht: Suchen nach Sicherheitslücken in Form eines unerwünschten Penetrationstests ist nicht strafbar

Das Amtsgericht Aachen durfte sich mit einem unerwünschten Penetrationstest („Pen-Test“) auseinandersetzen. Mein Mandant hatte sich bei einem bekannten Projekt registriert und hier, auf Grund des Ablaufs der Registrierung, den Verdacht, dass eine Sicherheitslücke aufzufinden sei. Um hier behilflich zu sein, liess er eine bekannte Software aus dem Bereich der Prüfungs von Sicherheitslücken anlaufen und die Webseite durchprobieren. Nach einer gewissen Zeitspanne war die Webseite nicht mehr verfügbar, der Server war unter der Last der Anfragen zusammen gebrochen. Der Betreiber erstattete Strafanzeige, die Sache ging zum Amtsgericht.

Kategorien
IT-Vertragsrecht

Cloud-Computing und IT-Vertragsrecht: Dürfen Anbieter Daten der Kunden bei Zahlungsverzug löschen?

Während noch im Jahr 2010 der Begriff „Cloud-Computing“ ein Hype war, ist heute (wohl?) festzustellen, dass „die Cloud“ schlicht Alltag ist. Bei rechtlichen Fragen rund um „die Cloud“ konzentriert man sich immer wieder gerne vor allem auf urheberrechtliche oder datenschutzrechtliche Fragen. Dabei gibt es sehr viel drängendere Themen – sowohl für Anbieter als auch Kunden.

Eines davon: Das Löschen von Daten wenn es Streit zwischen Kunde und Anbieter gibt.

Kategorien
Datenschutzrecht & Medienrecht Empfohlen

Auftragsverarbeitung: Kurze Hinweise und Muster einer Auftragsdatenverarbeitung

Auftragsverarbeitung: Die Auftragsverarbeitung (früher im BDSG noch „Auftragsdatenverarbeitung“) ist inzwischen durchaus bekannt: Wenn jemand einen anderen Beauftragt, für ihn Daten zu verarbeiten, greift die Auftragsverarbeitung nach DSGVO.

Durch diese Regelung wird die Datenverarbeitung auf der einen Seite vereinfacht: Im Rahmen einer Auftragsdatenverarbeitung wird der eigentlich als „Dritte“ zu betrachtende Verarbeiter quasi eine Einheit mit dem Auftraggeber. Es liegt keine datenschutzrechtlich relevante „Übermittlung an einen Dritten“ vor, die eigentlich die Einwilligung des Betroffenen verlangen würde. Arbeitsprozesse werden somit effizienter. Auf der anderen Seite ist die Situation für den Betroffenen einfacher, er kann sich nämlich weiterhin an den Auftraggeber wenden um seine Rechte geltend zu machen – der Auftraggeber darf den Betroffenen nicht an den Auftragnehmer verweisen.

Doch es gibt Fallstricke – ein kurzer Überblick.

Kategorien
IT-Recht

Datenleck: Wenn das Unternehmen gehackt wird – was tun?

Angriffe auf Unternehmen sind heute leider Alltag – ebenso wie die Gefahr, die dadurch droht, dass immer noch Unternehmer dieses Risiko unterschätzen. Wer von Angriffen auf Unternehmen hört, denkt schnell an internationale Großkonzerne die von Wirtschaftsspionage betroffen sind – ein grundlegender Fehler: Angriffe auf die IT-Infrastruktur von Unternehmen sind heute nichts Besonderes mehr sondern wirtschaftlicher Alltag.

Der Wert von Kundendaten ist inzwischen längst erkannt und es kann jeden treffen. Webshop-Betreiber, deren Server gehackt werden etwa. Oder Unternehmen, die Daten verarbeiten und bei denen eingebrochen wird um Daten zu stehlen. Wir haben inzwischen alle Fälle erlebt, in denen Bezahlterminals infiltriert wurden um Daten zu stehlen oder wo aus dem Krankenhaus Daten aus dem PC auf einen USB-Stick kopiert wurden. Eines haben alle Fälle gemeinsam: Einen spürbaren wirtschaftlichen und Image-Schaden für das Unternehmen.

HinweisBeachten Sie zur IT-Sicherheit unsere Übersichtsseite mit weiteren Informationen!

Kategorien
IT-Recht IT-Strafrecht

Vorsicht BKA-Trojaner: Neue Variante mit jugendpornographischem Inhalte verbreitet sich

Das Bundeskriminalamt (PM hier, Meldung bei Heise.de) warnt vor einer neuen Variante des vormals bekannten „BKA-Trojaner“ (zur früheren Variante hier bei uns). Während vormals der Rechner „gesperrt“ wurde wegen angeblicher Urheberrechtsverletzungen, werden diesmal pornographische Inhalte vorgeworfen, die angeblich gefunden wurden, weswegen der Rechner „gesperrt“ wurde. Gegen Zahlung von 100 Euro (wieder per UKash oder Paysafe) ist der Rechner dann angeblich wieder freigeschaltet.

Hierzu folgende Hinweise:

  1. Wenn auch zu spät, etwas zur Prävention, speziell für Windows-Nutzer: Halten Sie einen Virenscanner installiert. Öffnen Sie keine unbekannten Dateianhänge, insbesondere diejenigen, die auf .exe enden. Ebenfalls sind sie mit ZIP-Dateien vorsichtig. Bedenken Sie, dass man Dateianhänge verschleiern kann, etwa indem man eine ausführbare Datei als „rechnung.pdf.exe“ benennt.
  2. Zahlen Sie nicht die 100 Euro! Auch wenn die Hoffnung da ist, ob der Rechner danach funktioniert, ich bin da skeptisch. Darüber hinaus ist arg zweifelhaft, ob der Virus entfernt wird (ich glaube es nicht) und man nicht in naher Zukunft mit erneuter Sperrung rechnen muss. Investieren Sie das Geld lieber in einen guten IT-Dienstleister und eine aktuelle Anti-Viren Software.
  3. Ich möchte zur Vorsicht raten im Umgang mit Behörden, bereits bei der ersten Variante hatten Betroffene sich wohl regelmäßig bei der Polizei gemeldet, was bei vorgeworfenen Urheberrechtsverletzungen wohl noch ein überschaubares Risiko war. Nun aber allzu blauäugig bei seiner Polizeidienststelle anzurufen und zu erzählen, man hätte eine BKA-Mitteilung, auf dem Rechner wäre jugendpornographisches Material, sträubt mir die Nackenhaare. Wenn Sie eine Stellungnahme der Polizei zur Kenntnis nehmen möchten, lesen Sie hier und lassen Sie es damit gut sein.

Hinweis:

Kategorien
Datenschutzrecht & Medienrecht

Datenschutzrecht: Wenn Daten abhanden kommen – Informationspflicht nach §42a BDSG

Ärgerlich genug, wenn ein Unternehmen Daten „verliert“ – neben einem wahrscheinlichen Wirtschaftlichen Schaden droht auch noch ein Image-Schaden. Grund genug, darüber nachzudenken, die Angelegenheit zu „vertuschen“, so zu tun, als wäre nichts geschehen. Für die Betroffenen, deren Daten Leck geschlagen sind ein problematisches Verhalten. Der Gesetzgeber hat nicht zuletzt deswegen Ende 2009 reagiert und den §42a BDSG geschaffen, der unter Umständen eine Informationspflicht für Unternehmen vorsieht. Das Problem: Ein Verstoß gegen die Informationspflicht ist bußgeldbewährt.

Kategorien
Verbraucherrecht

Bezahlen mit NFC: Rechtsprobleme im Vorbeigehen

Es ist absehbar, dass es sich hierbei weniger um einen Hype als langfristige Perspektive handelt: Das „kontaktlose Bezahlen“ mittels Near Field Communication (NFC) im Alltag, speziell im Bereich der kleinen alltäglichen Zahlungen, auch „Micropayment“ genannt. Bereits seit Jahren ist absehbar, dass Bargeld und Zahlungen abstrakter werden, dass man weniger mit echtem Geld zahlt, als mit digitalisierten Zahlungsströmen. Das einfachste Beispiel ist die heute längst übliche Bezahlung seiner Einkäufe an der Supermarktkasse „mit der Karte“.

Das Ergebnis ist zweischneidig: Einmal einen sicherlich vereinfachten und beschleunigten Zahlungsvorgang, andererseits ist zu erleben, dass immer mehr (junge) Menschen das Gefühl für den Umgang mit Geld verlieren und zudem erhebliche neue Sicherheitsprobleme auftreten. Dabei stehen wir mit vergleichsweise primitiven Techniken wie Skimming gerade einmal am Anfang, es ist zu erwarten, dass massenhafte Infiltration der Zahlstationen in den Geschäften bald ein zunehmendes Problem ist.

Kategorien
Verbraucherrecht

Gestohlene EC-Karte: Nichts neues von der Rechtsprechung

Das Amtsgericht München (233 C 3757/11) hatte sich letztes Jahr mit einer gestohlenen EC-Karte zu beschäftigen und hat klar gestellt, dass sich an den bisherigen Regeln auch dort nichts ändert. Kurz vorher hatte auch das LG Berlin (10 O 10/09, hier besprochen) klar gestellt, dass die alten Regeln sich nicht geändert haben. Die Aussicht ist damit weiterhin für Verbraucher düster.

Kategorien
Datenschutzrecht & Medienrecht Domainrecht IT-Recht

Datenschutzerklärung von Google in Teilen rechtswidrig

Google hat seine Datenschutzerklärung seit dem 01.03.2012 geändert. Registrierte Nutzer mussten dieser Erklärung zwingend zustimmen. Im Folgenden eine Analyse der Datenschutzerklärung von Google, was beispielhaft auch anderen Datenschutzerklärungen eine Hilfestellung sein soll. Der Artikel ist auf dem Stand der zum 01.03.2013 gefassten Datenschutzerklärung von Google.

Update: Das Landgericht Berlin (15 O 402/12) erkannte inzwischen, dass einige der Klauseln in der Datenschutzerklärung von Google tatsächlich rechtswidrig sind.

Kategorien
IT-Recht Online-Shop und eCommerce

Cookie-Richtlinie: Gesetzentwurf im Bundestag gescheitert

Zur der viel gescholtenen „Cookie-Richtlinie“ (dazu hier bei uns) wurde in einem Gesetzentwurf der SPD (BT-Drs 17/8454, hier als PDF) ein Ansatz zur Umsetzung in Deutschland aufgegriffen. Letztlich wurde der Gesetzentwurf nicht beschlossen.

Im Folgenden die Besprechung dieses Entwurfs, vielleicht auch auf Ausblick auf weitere Gesetzentwürfe. Insoweit war der Entwurf der SPD eine gute Vorlage für eine Besprechung: Er sich nach meinem Eindruck alle Mühe, möglichst alles falsch zu machen, was es falsch zu machen galt:

  1. Es wird wirklich nur die Richtlinie umgesetzt, keiner der überfälligen Handgriffe am Telemediengesetz wird zusätzlich getan. Das vermurkste Gesetz wird also lieber weiter „rumgemurkst“, anstelle endlich ein alltagstaugliches Regelwerk aufzustellen. Das heisst auch weiterhin: Unsicherheiten bei Shop-Betreibern und Webseitenbetreibern, wenn sie etwa IP-Adressen der Nutzer speichern wollen. Das kürzlich in der NJW ein Aufsatz mit dem Inhalt „Datenschutzrechtliche Probleme bei Shop-Bestätigungsmails“ erschienen ist, soll hier nur als Verdeutlichung des Problems dienen.
  2. Ein schlechter Scherz ist, dass man so tun will, als würde man hier dem Verbraucher einen Gefallen tun: Cookies sind heute weder zwingend ein datenschutzrechtliches Problem, noch ist dem User gedient, wenn er auf jeder Webseite unverständliche Popups wegklicken muss, nur weil der Shopbetreiber seinen Cookie mit der Session-ID (die zur Führung des Warenkorbs notwendig ist) absichern muss. Oder wenn man sich in jedem Shop erst einmal registrieren muss, um einen Warenkorb befüllen zu können. Über so etwas denkt man nur nach, wenn man die praktischen Probleme kennt.
  3. Zu guter Letzt ist leider festzuhalten, dass die Macher dieses Entwurfs offensichtlich selber nicht einmal wissen, was sie da tun: In der Begründung zum Entwurf liest man durchweg nur etwas von „Cookies“. Wie ich schon früher klar gestellt habe: Je nachdem, wie man es formuliert (und die Richtlinie ist da eine schlechte Vorlage) geht es gerade nicht nur um Cookies. Der Gesetzentwurf nimmt Bezug auf „die Speicherung von Daten im Endgerät des Nutzers“. Das sind sicherlich Cookies. Aber auch jegliche andere Daten, die etwa innerhalb von Apps in Smartphones oder Tablets gespeichert werden. Jede Anwendung, die Daten in einem Endgerät des Nutzers speichert, wird sich darum bemühen müssen, dies mit einer sauberen Einwilligung vor der Speicherung abzusichern. Und immer daran denken: Die Einwilligung muss protokolliert werden. Andernfalls, man kennt es schon, werden Abmahnungen drohen. Immerhin hätte der Gesetzgeber es dann endlich geschafft: Abmahnwellen im Bereich der App-Shops fehlen bisher.

Der Entwurf kam zum Glück nicht als Gesetz – gleichwohl mögen die Kritikpunkte dieses Entwurfs als Ansatz dienen.

Dazu bei uns: