Kategorien
Datenschutzrecht & Medienrecht IT-Recht Verbraucherrecht

Unsicherheiten beim Personalausweis?

Man muss wohl schon ein wenig kritisch sein, wenn zur Zeit beispielsweise zu lesen ist:

„ARD-Sendung „Plusminus“ deckt Sicherheitslücken beim neuen Personalausweis auf – Minister de Maizière sieht keinen Handlungsbedarf“

Ein Sicherheitsdefizit beim Personalausweis? Wer die Hintergründe kennt, dürfte verwundert sein und Heise.de berichtet zu Recht von „Sicherheitsdefiziten bei Lesegeräten“, was keine Wortklauberei sondern eine Richtigstellung ist – zumal noch die Einschränkung vorgenommen wird, dass sich die Kritik bisher wohl alleine in Richtung der Lesegeräte der Klasse 1 richtet.

Das Problem ist dabei nicht neu und kein spezifisches: Wer den Personalausweis mit den digitalen Funktionen in einer technischen Umgebung nutzt, ist immer nur so „sicher“, wie auch die technische Umgebung „sicher“ ist. Und wenn man beispielsweise den Personalausweis in ein Peripheriegerät (Leser) steckt und über ein anderes Peripheriegerät (Tastatur) einen Pin-Code eingibt, wobei die Daten in einem zentralen Gerät (Computer) verarbeitet werden, bieten sich viele Kommunikationswege, die abgegriffen werden können. Beispielsweise mit einem „Keyboard-Sniffer“, der schlicht sämtliche Tastatur-Eingaben abfängt.

Für den Anwender bedeutet das, dass dieser immer vorsichtig sein muss – sowohl in „fremden Umgebungen“ (Internetcafe) als auch in der häuslichen Infrastruktur. Nicht ohne Grund schreibt das neue Personalausweisgesetz zwingend vor, dass man den heimischen Rechner „sichern“ muss, sprich: Zumindest aktuelle Virenscanner und eine Software-Firewall im Einsatz haben muss (Ich hatte hier berichtet).

Was heißt das nun: Panik? Nein, keinesfalls. Aber das Risiko ist zumindest bei unerfahrenen bzw. allzu blauäugigen Nutzern schon sehr groß. So wie heute allzu viele unwissende Eltern Filesharing-Abmahnungen für die Dummheiten der Kinder erhalten und man plötzlich lernt, dass auch ein DSL-Anschluss eine gewisse digitale Bildung benötigt, so wird auch die digitale Funktion im Personalausweis zwingend verlangen, dass man sich mit grundlegenden digitalen Fragen einfach auskennen muss. Andernfalls sollte man von Anfang an die digitale Funktion nicht freischalten.

Anmerkung: Ich sehe hier schon einige erhebliche (soziale) Probleme, zumal mit der digitalen Funktion ja zukünftig unmittelbare Vertragsschlüsse möglich sein sollen. Die „Oma“, die ihren Pin auf dem Ausweis kopiert habe ich da genauso vor Augen, wie den übermütigen Teenie, der im Internetcafe allzu leichtfertig seinen Ausweis in fremde Lesegeräte steckt. Wahrscheinlich wird hier, so wie aktuell beim Filesharing, erst einmal sehr viel Lehrgeld fliessen müssen. Wobei ich mich auch frage, wo die staatlichen Informationsbroschüren zum Thema „sichere Umgebung“ bleiben – der Hinweis auf das BSI alleine ist m.E. nicht ausreichend.

Link zum Thema:

Kategorien
Datenschutzrecht & Medienrecht Verbraucherrecht

Übersicht: Der elektronische Personalausweis – neue Pflichten und Regeln

Der elektronische Personalausweis kommt – und mit ihm nicht nur datenschutzrechtliche bzw. persönlichkeitsrechtliche Diskussionen, sondern auch gesetzliche Änderungen, die die alltägliche Praxis in vielerlei Hinsicht berühren. Einige ausgesuchte Stellen – mit einem Hinweis, warum man ganz genau hinsehen muss, wenn in Gesetzen nur ein einzelnes Wort geändert wird. Und speziell auf die neuen Pflichten von Ausweisinhabern sollte man einen Blick werfen.

Hinweis: Zum Thema beachten Sie bitte auch den Hinweis, dass unsererseits Verfassungsbeschwerde wegen der Volkszählung 2011 eingelegt wurde.

Kategorien
Datenschutzrecht & Medienrecht Verbraucherrecht

Kartenzahlung: Der nächste datenschutzrechtliche Aufreger?

Die Datenschutzbeauftragten haben (endlich) die Praxis der Kartenzahlung in deutschen Supermärkten ins Visier genommen: Man möchte die bisherige Praxis angeblich prüfen und ggsfs. auch Verstöße mit Sanktionen ahnden. Ich selbst habe bereits vor mehr als zwei Jahren auf das Problem hingewiesen, doch: Ist das nun der nächste Aufreger? Oder nur ein Sturm im Wasserglas?

Kategorien
IT-Recht

Hinweis: Technische Warnungen des BSI

Mit (positiver) Überraschung nehme ich gerade zur Kenntnis, dass die „technischen Warnungen“ des BSI wohl weiter ausgebaut werden: Heute wird vor einer Sicherheitslücke im Typo3-CMS gewarnt. In letzter Zeit gab es hin und wieder neben Hinweisen zu typischen Endnutzer-Produkten (Browser, Mailclients etc.) auch Hinweise zu Weblösungen, auch zur WordPress. Allerdings scheint dies noch kein Schwerpunkt der Tätigkeit zu sein. Man mussaber bemerken, dass das BSI hier zunehmend Aktivitäten entwickelt, was auch mit Blick auf die Tatsache, dass viele Nutzer (auch ohne jeglichen technischen Sachverstand) verschiedenste Skripte einsetzen, durchaus sinnvoll ist. Zwar kann das BSI sicherlich niemals etwas wie die Bugtraq-Liste ersetzen, aber speziell nach dem Kauf von SecurityFocus durch Symantec ist es ganz gut, wenn man Hoffnung haben kann, dass eine relativ unabhängige und abgesicherte Sicherheitsseite mit Blick auf Endanwender existieren könnte. Endanwender sollten sich jedenfalls überlegen, die BSI-Mailliste zu abonnieren, um zumindest einen rudimentären Überblick über die Wichtigsten Änderungen im Auge zu behalten.

Anmerkung: Auch wenn es vielleicht wünschenswert ist: Das BSI wird keine umfassende Info-Liste zu den verbreiteten Webskripten anbieten können. Daher mein alter Rat für alle Nutzer: Lesen Sie immer die offiziellen Entwickler-Blogs mit, etwa das WordPress-Blog, um bei Änderungen und Security-Updates auf dem laufenden zu sein.

Kategorien
Datenschutzrecht & Medienrecht IT-Recht

Ratschläge des BSI zum sicheren Surfen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt zur Zeit Ratschläge zum sicheren Surfen:

  1. Empfehlungen zur sicheren Browserkonfiguration
  2. Empfehlungen zur sicheren Nutzung sozialer Netzwerke

Die Hinweise zur sicheren Browserkonfiguration sind auf jeden Fall gut und stellen grundlegende Fakten fest. In dem Zusammenhang sei auch noch einmal auf den Artikel auf unserer Webseite zum Thema „Sicher Surfen mit dem Firefox“ hingewiesen.

Schwieriger sieht es meines Erachtens aber bei den Empfehlungen zur sicheren Nutzung sozialer Netzwerke aus – nicht weil die Hinweise falsch sind, sondern weil sie mitunter zu allgemein gehalten sind. So lassen sich die Punkte 1,3 und 6 auf das Credo minimieren:

Denken Sie nach, bevor Sie etwas schreiben / tun

Es ist in der Tat heute leider üblich, wildfremde „Freundes-Anfragen“ auf Facebook ohne Rückfrage zu akzeptieren. Man muss nicht mit dem Schreckgespenst krimineller Stalker winken, um hier klar zu machen, dass das bedenklich ist – vielmehr geht es schlicht um die Sozialkompetenz der einzelnen Nutzer, die in Frage steht, wenn man ein vermeintliches Netzwerk aus mehreren, in der Tat wildfremden, Freunden „pflegt“. Der Nutzer sollte sich einfach überlegen, warum er diese Dienste nutzt – will er für sich, seine Dienstleistung, sein Unternehmen werben? Oder sucht man die digitale Vernetzung des Privatlebens? Entsprechend kann man dann entscheiden, was man schreibt, und in welcher Öffentlichkeit. Insbesondere bei privater Vernetzung bietet es sich an, den eigenen Account samt Status-Meldungen nur für bestätigte Kontakte einsichtig zu machen und die Kontakte dann sorgfältig auszuwählen. Dies mag der Illusion einer weltweiten Öffentlichkeit allerdings nicht zuträglich sein, doch wer die private Vernetzung sucht, braucht auch diese Illusion nicht.

Der Punkt 9 ist wichtig, auch wenn das mit sozialen Netzwerken wenig zu tun hat: So genannte URL-Verkürzer bieten die Möglichkeit, eine lange Web-Adresse in eine kurze umzuwandeln. Der Vorteil: Sehr kurze und leicht weiter zu gebende Internet-Adressen. Der Nachteil: Man sieht erst nach dem Klick, was hinter dem Link wirklich steht. Manche Anbieter wie TinyURL bieten ein Preview-Feature, mit dem man vorher sieht, wohin man geleitet wird. Diese Möglichkeit sollte man durchaus nutzen.

Anmerkung: Interessant in dem Zusammenhang ist, dass neuerdings Twitter Nachrichten zwischen Usern auf verdächtige Links prüft. Die hier datenschutzrecdhtlich aufgeworfene Problematik führte bisher zu keiner Stellungnahme von Datenschützern, denen das Thema wohl verborgen geblieben ist, dabei ist es in der Tat fragwürdig, inwieweit ein Dienst NIcht-Öffentliche Nachrichten zwischen Usern automatisiert, ggfs. ohne gültige Einwilligung, prüfen darf.

Vielleicht bleibt am Ende die Erkenntnis, dass in so genannten sozialen Netzwerken keine konkreten Handlungsanweisungen möglich sind. Man mag einige konkrete Tipps geben, etwa mit Blick auf Optionen die man auswählen kann in den jeweiligen Einstellungen, aber letztlich sucht man nun einmal gezielt bei solchen Diensten eine breite digitale Öffentlichkeit mit dem typischen Risiko der Flüchtigkeit digitaler Daten. Wer nicht in die üblichen Regulations-Reflexe verfallen will, kann daher nur versuchen, die Nutzer umfassend über Potential und Risiken solcher Dienste zu informieren und sie anzuhalten, selbstbewusst und selbstbestimmt zu entscheiden was sie wie lange tun möchten.

Kritisch bleiben die Punkte 2 und 7 zu sehen: Auf Grund der Popularität einiger Dienste hat man als Nutzer keine echte Wahl, ob man AGB nun kritisch prüft oder nicht. Wer sich auf Grund von zweifelhaften AGB gegen einen populären Dienst entscheidet, riskiert eine gewissen soziale Isolation im digitalen Umfeld. Das ist nicht schön, aber ein verständliches Argument vieler Nutzer. Hier ist dann kein Zeigefinger oder Aktionismus gefragt, sondern ernsthaftes Vorgehen der Verbraucherschutzverbände, die hier in Deutschland eine Wächterfunktion mit Klagemöglichkeit ausüben. Auch das mitunter freimütige Bedienen der Presse, speziell mit Blick auf Fotos, in solchen Netzwerken bedarf endlich einer eingehenden Diskussion.

Kategorien
Datenschutzrecht & Medienrecht Empfohlen Grundstücksrecht & Immobilienrecht Persönlichkeitsrecht Verbraucherrecht

Videoüberwachung: Rechtsprechungsübersicht zur Kameraüberwachung

Kameraüberwachung: In diesem Artikel finden Sie eine kurze juristische Gesamtschau zum Thema „Kameraüberwachung“. Es geht darum, einen sehr kurzen Überblick über das komplexe Thema zu vermitteln und auch ein wenig Sensibilität zu erzeugen. Neben einer kurzen Darstellung rechtlicher Grundlagen finden Sie eine ausgewählte Rechtsprechungsübersicht, Ausführungen zu Streitigkeiten mit Mietern, Nachbarn und Disco-Betreibern.

Dieser Beitrag wird laufend aktualisiert. Trotz seines Umfangs kann er nur als Überblick verstanden werden, die Rechtsprechung ist fliessend und orientiert sich am Einzelfall. Gerade im geschäftlichen Bereich gilt zunehmend, dass Sie jedenfalls vor einschneidenden Maßnahmen eine rechtliche Prüfung heran ziehen sollten.

Beachten Sie: Neben diesem Artikel gibt es noch einen Beitrag bei uns, in dem ohne Rechtsprechung ein Überblick über die Zulässigkeit von Videoüberwachungs-Maßnahmen geboten wird.

Kategorien
Datenschutzrecht & Medienrecht

Tipps: Sicheres Surfen mit dem Firefox

Der frei verfügbare Browser FireFox bietet nicht nur diverse Sicherheitseinstellungen, sondern auch eine Menge freier Erweiterungen, die die Sicherheit des Browsern erhöhen sollen. Dieser Beitrag listet einige Tipps auf, wie man sich mittels des Firefox ein wenig sicherer im Internet bewegen kann. Dabei sind die vorgestellten Plugins differenziert: Plugins die sich an fortgeschrittene User wenden bzw. nicht unbedingt für normale User empfohlen werden, sind mit dem Zusatz „Extra“ markiert.

 

Kategorien
Datenschutzrecht & Medienrecht

Empfehlung und Warnung: Mozilla Weave

Seit Kurzem ist das Firefox-Addon „Mozilla Weave“ als finale Version erschienen. Dabei bietet Mozilla Weave eine grosse Portion Komfort, die gerade für Nutzer mit verschiedenen Arbeitsplätzen nur zu begrüßen ist: Der jeweilige Firefox wird synchronisiert. Bookmarks, Passwörter, Einstellungen – sogar geöffnete Tabs werden gespeichert und von den jeweiligen Firefox-Versionen synchron gehalten.

Im Praxistext erweist sich das Addon als sehr zuverlässig und äusserst sinnvoll. Gerade im Bereich der Bookmarks eine wirklich gute Idee, die erheblich dabei hilft, überall problemlos zu arbeiten.

Aber wie immer hat so etwas auch eine Schattenseite: Die Datensicherheit. Dabei haben die Entwickler alles richtig gemacht. Es gibt nicht nur einen Usernamen und ein Passwort, sondern auch eine Passphrase, mit der die Daten verschlüsselt werden. Insofern gibt es keine Kritik.

Allerdings muss der User mitdenken: Wer Beispielsweise die passwort-Synchronisation aktiviert hat, dürfte schnell Probleme bekommen. Einfaches Szenario (übrigens kürzlich in einer mir bekannten Kanzlei vorgekommen): Da wird ins Büro eingebrochen und der laptop gestohlen. Wenn nun auf dem Laptop Weave installiert ist, muss man daran als User denken. Beispiel: Wenn ich sofort sämtliche Login-Daten mit einem anderen Rechner ändere, aber vergesse die Weave-Daten als erstes anzupassen, bekommt der Dieb die neuen Daten auch sofort synchronisiert (vorausgesetzt, man hat das Sync der Passwörter überhaupt aktiviert).

Man muss also, bevor man Weave einsetzt, kurz darüber nachdenken, was man überhaupt synchronisieren möchte. Bei mir reichen beispielsweise die Bookmarks. Zudem die Erinnerung an meinen alten Rat: Wenn man überhaupt Passwörter speichert im Firefox, sollte man das Masterpasswort aktivieren, damit nicht jeder, der sich des Rechners bemächtigt, auch gleich Zugriff auf die gespeicherten Passwörter hat.

Daher mein Fazit: Ein herausragendes Addon, mit viel Praxisrelevanz, das viele User erfreuen wird. Es ist nun einfach jeder selbst gefragt, dieses Addon auch vernünftig einzusetzen.

Kategorien
Datenschutzrecht & Medienrecht

Funkkameras als Problem wahrnehmen

Bei Heise findet sich der Hinweis auf einen Bericht des NDR, demzufolge man diverse Kameras gefunden hat, die man problemlos anzapfen konnte – etwa in Supermärkten oder an Tankstellen. Auch im sensiblen Bereich der Apotheken kommen leider immer häufiger zum Einsatz, Heise berichtet, dass man wohl sogar ein Beratungsgespräch zwischen Kunde und Apotheker mitverfolgen konnte.

Es ist nichts neues, dass unbedacht und unprofessionell eingesetzte (Funk-)Kameras Sicherheitsprobleme nur erhöhen und nicht verringern. Sie ermöglichen ein Ausspionieren der Örtlichkeiten und fördern damit eher den Einbruch bzw. Diebstahl, den sie eigentlich verhindern sollen. Seit Jahren kursieren Berichte, das man mit einem Laptop und der richtigen Software nur durch manche Wohngebiete fahren muss, um ungeahnte Einblicke in Wohnzimmer zu bekomen.

Neben dem Sicherheitsrisiko wird bei Heise auf evt. Schadensersatzansprüche hingewiesen. Das mag stimmen, ist aber nicht unbedingt des Pudels Kern: Gedanken sollten sich kommerzielle wie private Nutzer auch darum machen, in wie fern Versicherungsleistungen ausfallen oder gekürzt werden, wenn ein grob fahrlässiges Mitverschulden durch ein solches Szenario konstruiert wird.

Es bleibt nur eine Lehre aus diesem Bericht (sowie den vielen anderen zu ziehen): Wer eine solche Technik einsetzen sollte, sollte sich zumindest vernünftig beraten lassen. Wer einfach für 50 Euro aus dem Baumarkt ein System kauft und ohne tiefere Ahnung von der Materie einsetzt, darf sich am Ende nicht wundern, wenn er sich nur selbst schadet. Mit enormer Skepsis ist dabei zu beobachten, wie unreflektiert (nicht nur unsichere) Kameras (mit Ton) in höchst sensiblen Bereichen eingesetzt werden, speziell in Apotheken oder Arztpraxen. Dabei sollten sich speziell diese sensiblen Bereiche erst einmal Gedanken um einen Datenschutzbeauftragten machen, bevor sie in solche Techniken investieren. Nebenbei sollte jedem kommerziellen Betreiber, der ein automatisiertes Überwachungssystem einsetzt, klar sein, dass er spätestens ab dann ein so genanntes Verfahrensverzeichnis führen muss.

Wie immer gilt daher die profane Lebensweisheit: Machen Sie in diesem Bereich nur etwas, wenn Sie wenigstens ansatzweise wissen, was Sie da tun. Kommerzielle Nutzer sollten sich rechtlich beraten lassen, bevor entsprechende Hardware und Software zum Einsatz kommt. Dabei müssen gerade die Anbieter in sensiblen Bereichen (u.a. Ärzte, Apotheker, Anwälte) dringend begreifen, sich bei  ihrem gesamten Datenmanagement immer rechtlich absichern zu müssen – und nicht erst zu reagieren, wenn etwas schief gegangen ist. Die Sensibilität bei Bevölkerung und Medien steigt – somit auch die Gefahr, mit seiner Nachlässigkeit in die Öffentlichkeit gezogen zu werden. Gerade für kleinere Betriebe kann das schnell den Ruin bedeuten, mal ganz abgesehen von den hohen Bussgeldsätzen die die Aufsichtsbehörde verhängen kann – und die Hinweisen aus der Bevölkerung immer wieder nachgeht.

Kategorien
Datenschutzrecht & Medienrecht Persönlichkeitsrecht Verbraucherrecht

Videoüberwachung: Kamera im Aufzug verletzt Persönlichkeitsrecht

Die Videoüberwachung im Aufzug eines Mietshauses bewirkt ohne Einwilligung des Mieters eine rechtswidrige Persönlichkeitsverletzung.

Mit dieser Begründung untersagte das Kammergericht (KG) einem Vermieter die Videoüberwachung des Aufzugs in seinem Mietshaus. Die Richter wiesen in ihrer Entscheidung darauf hin, dass dabei auch unerheblich sei, ob nach den Vorgaben des Datenschutzbeauftragten gehandelt werde.

Dies schließe einen Missbrauch der erfassten Daten nicht aus. Auch eine einmalige Schmiererei im Zusammenhang mit Bauarbeiten im Haus wiege bei einer Abwägung nicht höher als das Persönlichkeitsrecht der betroffenen Mieter. Dies gelte insbesondere, da die Überwachung hier besonders eingriffsstark sei. Der Betroffene stehe der Videokamera unmittelbar Auge in Auge gegenüber (KG, 8 U 83/08).

Kategorien
IT-Recht

IT-Sicherheit: Umsichtig sein im Umgang mit freier WLAN-Nutzung

Aus aktuellem Anlaß sei erneut davor gewarnt, allzu naiv mit dem eigenen WLAN umzugehen. Sie sollten als Anschlussinhaber und WLAN-Betreiber dringend auf der Hut sein und die sicherheitstechnischen wie juristischen Probleme kennen – aber auch Nutzer eines freien WLAN müssen Vorsichtig sein..