BlogBerry.de

Einige von Euch haben das Thema BlackBerry Sicherheit in Saudi-Arabien sicherlich verfolgt. Die Saudis hatten gemeldet, sie würden die BlackBerry Services im Land abschalten, sofern RIM ihnen keinen Einblick in den eMail-Transfer erlaubt. Bisher war es ausnahmslos so, dass jeglicher Mailverkehr über zwei RIM-Standorte abgewickelt wird, eine Serverfarm steht in Großbritannien, die andere in Kanada.

RIM hat dem Druck von Saudi-Arabien nachgegeben und wird/hat Server im Lande installiert. Weitere Details könnt Ihr bspw. im Artikel “Zum Stand der Dinge in Saudi-Arabien” nachlesen. Unmittelbar nachdem diese Meldung Ihren Weg um den Erdball gemacht hatte, standen Datenschützer und Kritiker auf dem Plan, um darüber zu diskutieren, inwieweit RIM zukünftig Einblick in den eMail-Verkehr geben wird. Spannend dazu ist der Artikel “BlackBerry Verbote Teil 2“.

Heute, eine knappe Woche später, drohen folgende Länder damit, die BlackBerry Dienste zu stoppen, bitten RIM um Einblick in die Übertragungen, bzw. stehen bereits in Verhandlungen mit dem kanadischen Unternehmen:

• Indien
• Indonesien
• Libanon
• Saudi Arabien
• Vereinigte Arabische Emirate (UAE)

Zusätzlich hat RIM am 12. August 2010 eine Information für alle BlackBerry-Kunden veröffentlicht, die genau erklärt, welche Informationen unter welchen Umständen preisgegeben werden, anbei die Pressemitteilung von Research in Motion:

Als Reaktion auf das heutige Statement der indischen Regierung und als Ergänzung zur Kundeninformation von Research In Motion (RIM) vom 2. August, möchte RIM seinen Kunden im Folgenden weitere Informationen geben. Auch wenn RIM die vertraulichen regulatorischen Verhandlungen mit verschiedenen Regierungen nicht offenlegen kann, versichert RIM seinen Kunden, dass sich das Unternehmen zwar so kooperativ wie möglich gegenüber den Regierungen verhält, um rechtliche und nationale Sicherheitsanforderungen zu erfüllen, aber gleichzeitig auch sehr darauf bedacht ist, die rechtmäßigen Bedürfnisse der Bürger und Unternehmen zu schützen. RIM hat daher eine klare Grenze gezogen, was die Möglichkeiten eines „gesetzlich ermächtigten“ Zugangs von Carrier-Seite betrifft. Dies umfasst vier wichtige Punkte:

1. Die Möglichkeiten der Carrier sind klar beschränkt. Zugang zu den Daten wird lediglich auf richterlichen Beschluss und im Rahmen der Anforderungen für die nationale Sicherheit, wie sie die Gesetzgebung des Landes vorsieht, gewährleistet.
2. Die Möglichkeiten der Carrier müssen Technologie- und Herstellerneutral sein und dürfen keinen Zugriff auf BlackBerry-Dienste ermöglichen, der über das hinausgeht, was die Carrier und Behörden von RIM´s Mitbewerbern und anderen ähnlichen Telekommunikationstechnologie-Unternehmen bereits verlangen.
3. Die Sicherheitsarchitektur des BlackBerry Enterprise Server unserer Unternehmenskunden bleibt unberührt. Sie ist, entgegen jedweder Gerüchte, weltweit exakt gleich und RIM ist technologisch nicht in der Lage, einen Schlüssel zur Dekodierung der Kommunikation seiner Kunden zu liefern. RIM`s Position wird weiter dadurch gestärkt, dass eine sichere Verschlüsselung eine essenzielle Basis für jedes Land ist, um internationale Geschäftsbeziehungen aufzubauen und zu halten. Eine vergleichbar sichere Verschlüsselung wird nahezu überall in traditionellen Virtual Private Networks (VPNs) sowohl in verkabelten als auch kabellosen Netzwerken für die Kommunikation in Unternehmen und auch Regierungen eingesetzt.
4. RIM hat einen weltweit einheitlichen Standard die Auflagen für einen rechtmäßigen Zugang betreffend und räumt somit ausdrücklich keinem Land eine Sonderstellung ein.

Ich habe versucht, die essentiellen Stellen der obigen 4 Punkte fett zu markieren – jedoch ist der komplette Absatz interessant. Die Mitteilung klingt sehr vertrauenserweckend. Ich harre gespannt der Dinge die da kommen und wir werden natürlich berichten sobald es Neuigkeiten gibt!

Bereits vor einigen Monaten geisterte die Meldung durch die deutschen Medien, dass der Einsatz von Google Analytics auf Webseiten gegen geltenden deutsches Datenschutzrecht verstößt. Damals wurde Bundesjustizministerin Brigitte Zypries öffentlich eine bis zu 6-monatige Haftstrafe, oder die Zahlung von bis zu 250.000 Euro angedroht, sofern die Seiten des Bundes weiterhin IP-Adressen von Webnutzern speichern. (Ausführlicher Bericht zum Thema).

Jetzt ist Google mit seinem Tool Analytics wieder im Visier der Datenschutzbehörden in Deutschland.
Mit Google Analytics lassen sich Besuche auf Internetseiten durch den Webseitenbetreiber untersuchen – unter anderem dahingehend Wer wann wo und wie lange auf entsprechenden Seiten unterwegs war.
Voraussetzung zur Nutzung von Google Analytics ist ein JavaScript Codeschnipsel, das in jede Seite der Internetpräsenz eingebunden wird.

Bis hierhin ist alles noch kein Problem. Doch: Google Analytics wird in Deutschland von vielen Webseitenbetreibern genutzt – und zwar ohne Wissen des Webseitenbesuchers!
Die meisten Analytics-Nutzer in Deutschland weisen weder im Impressum noch in den gesetzlich vorgeschriebenen Datenschutzbestimmungen auf den Einsatz des Besuchertracking-Systems hin. Damit verstoßen die Unternehmen gegen geltendes deutsches Datenschutzrecht.

In der Praxis zählen zu den Analytics Nutzern neben Unternehmen aus diversen Branchen auch öffentliche Stellen wie politische Parteien oder Hochschulen.

Der Landesdatenschutzbeauftragte des Landes Schleswig-Holstein, Thilo Weichert, ging nun in die Offensive: Neben dem Analytics Anbieter Google schrieb Weichert 25 Webseitenbetreiber an, die Analytics rechtswidrig im Einsatz haben (Link zum Anschreiben).
Dem Anschreiben liegt ein Fragenkatalog bei, den sowohl Google als auch die betroffenen Betreiber bis Ende Juli zu beantworten haben.

Zusätzlich zur Beantwortung des Fragenkataloges bittet Herr Weichert auch um Vorlage der Bestellungsurkunde des betrieblichen Datenschutzbeauftragten nach § 4f BDSG. Dies könnte einigen – vorwiegend kleineren – Unternehmen ein weiteres Problem bescheren. Denn auch der verpflichtende Einsatz eines innerbetrieblichen Datenschutzbeauftragten hat sich noch nicht überall herumgesprochen.

Das der Verstoß gegen das Bundesdatenschutzgesetz (BDSG) durchaus drakonische Strafen nach sich ziehen kann, hat das oben genannte Beispiel an Bundesjustizministerin Zypries bereits gezeigt.

Deshalb gilt für alle Nutzer von Google Analytics und ähnlichen Besuchertracking-Systemen: Sobald beispielsweise durch den Einsatz eines Besucheranalyse-Systems personenbezogene Daten erhoben bzw. weiterverwendet werden müssen die Nutzer der Internetseite ausreichend darüber informiert werden.
Ein entsprechender Hinweis in den Datenschutzbestimmungen der jeweiligen Webseite ist -ebenso wie ein gesetzeskonformes Impressum – Pflicht!

Diese Informationspflicht entsteht auf der Grundlage von §13 Absatz 1 Telemediengesetz (TMG)

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. 3Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

Sollten Sie noch Fragen zum Datenschutz in Ihrem Unternehmen haben, freue ich mich über einen kurzen Kommentar, oder Ihre Kontaktaufnahme.
Auch hinsichtlich einer gesetzeskonformen (!) Alternative zu Google Analytics stehen wir Ihnen jederzeit gerne zur Verfügung.

Die grüne Bundestagsfraktion fordert eine Verankerung des Datenschutzes im Grundgesetz und hat dazu einen Gesetzentwurf vorgelegt, der besagt dass 5 der 19 Grundrechtartikel angepasst werden sollen.

Renate Künast fordert damit “Eine Antwort auf die Schäubles dieser Welt”, die alles und jeden für verdächtig halten. Geht es nach den Grünen, soll das Recht auf Privatheit nicht nur gegen den Staat, sondern auch gegen die Wirtschaft verteidigt werden können. Angespielt wird dort auf die aktuellen Bespitzelungsskandale bei der Telekom oder auch der Supermarktkette LIDL.

Mit diesem Gesetzentwurf erreichen die Grünen, dass das Thema Datenschutz Einzug in die Öffentlichkeit hält. Waren noch vor zwei Jahren sogar viele Firmen überrascht, wenn man das Bundesdatenschutzgesetz (BDSG) zur Sprache brachte, sollen zukünftig alle Menschen im Hinblick auf den Datenschutz sensibilisiert werden.

Ziel ist es, dass zum Einen jeder seine Rechte hinsichtlich seiner persönlichen Daten kennt, andererseits aber auch Vorsicht bei der Veröffentlichung seiner Daten (vor allem im Internet) walten lässt. (Stichwort StudiVZ). Laut Medienangaben denkt sogar das Bundesinnenministerium darüber nach, den Grundrechtsschutz auch auf das Internet auszudehnen. Gar nicht so einfach, sollen ja im Gegenzug die staatlichen Onlinedurchsuchungen via Bundestrojaner nicht gefährdet werden.

2008 kann das Jahr des Datenschutzes werden, die Politik wird gerade öffentlich aktiv, und die Gesellschaft ist im Wandel. Das Thema bleibt spannend.

Ausführliche Informationen zum Thema Datenschutz und dem Gesetzentwurf der Grünen gibt es unter folgenden Links:

[Heise.de] Grüne wollen Datenschutz im Grundgesetz festschreiben

[Süddeutsche] Datenschutz-Gesetzesentwurf der Grünen