Archiv der Kategorie: datenschutz

Warum ist der BfDI beim BMI angedockt und wo sollte er es sein? (1)

Der Falk hat vor einigen Tagen einen interessanten Kommentar veröffentlicht indem er die institutionelle Verortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beim Bundesministerium des Innern kritisiert und eine Alternative aufzeigt. Ich schließe mich grundsätzlich seiner Kritik an, frage mich aber wie es überhaupt zu dieser Verortung gekommen ist. Falk konstatiert knapp „historische Gründe“, mich interessiert es etwas genauer. In der Kürze der Zeit habe ich keine belastbaren Informationen dazu gefunden sondern ich werde eine völlig ungesicherte Hypothese wagen und das Thema in einem weiteren Post aufgreifen.
Ich denke, eine Reise in die Gedankenwelt der damaligen Zeit ist angemessen aber auch äußerst schwierig. Das heutige eigene Wissen verzerrt den Blick zurück und produziert Rückschaufehler. Nehmen wir dazu einen Text von Bernd Lutterbeck zu Hilfe. Er beschreibt als Zeitzeuge den Zeitgeist der sechziger und siebziger Jahre zu Fragen des Datenschutzes und der zunehmenden Informatisierung, die begrüßt und gewollt sind und zur Modernisierung der Gesellschaft beitragen sollen. Es herrscht Aufbruchstimmung bei den Fachleuten. Ich vermute, die politische Entscheidung den Bundesdatenschutzbauftragten beim Innenministerium zu verorten war unumstritten, da einerseits das Innenministerium für die IT und Organisation der öffentlichen Verwaltung und andererseits für Recht und Verfassung zuständig war. Hier lege ich zwei Begründungen vor, das ist inkonsistent, ich setze mein Pfund auf auf IT und Organisation. Meine Hypothese sei also:

Die Entscheidung den BfD beim Innenministerium zu verorten war politisch unumstritten, da dort die Zuständigkeit für die öffentliche Verwaltung (und ihre Modernisierung) lag.

Weiterlesen

Kleine gedruckte Ärgernisse

Diese Woche waren es zwei Sendungen. Von einigen ausgewählten Unternehmen lasse ich mir gerne Werbung per Post zusenden. Darunter sind auch einige Firmen aus dem Mobilitätsbereich und aus der Versicherungsbranche, deren Angebotsgestaltung mich gelinde gesagt verdrießlich machen. Sie senden Anträge auf Produktleistungen mit, die teilweise mit personenbezogenen Informationen bereits ausgefüllt sind: Kunden- oder Kartennummern, Name, Geschlecht, Teile der Adresse oder gar die vollständige Adresse etc. Ich finde dies in höchstem Maße unangenehm, denn ich möchte diese Anträge bei Nichtinteresse keineswegs für Jedermann lesbar entsorgen.  Diese Blätter zerreiße ich eben nicht einfach und gebe sie in den Papiercontainer sondern zerkleinere sie in einem Papierschredder, sodaß die Seiten nur mit größtem Aufwand wieder lesbar gemacht werden können. Es ist ein berechtigter Wunsch, daß ich diese Informationen anonym entsorgen kann. Mir wäre es deutlich lieber solche Angebot unausgefüllt erhalten zu können, so sind sie für mich kleine gedruckte Ärgernisse.

Unfair – Spam zur IHK Wahl 2012 in Berlin

Es scheint, als versuche sich der ein oder andere an einem unfairen Spiel. Seit einigen Tagen bekomme ich unverlangt Wahlwerbung zur Wahl der Vertreter für die IHK Vollversammlung per Mail. Unfair ist das nicht nur gegenüber den Adressaten der Werbung sondern auch gegenüber den Mitbewerbern dieser Kandidaten. Die Wahlordnung der IHK Berlin erlaubt zwar Wahlwerbung in begrenztem Umfang:

§ 9 Wählerlisten
(6) Die IHK ist berechtigt, Name, Firma und Anschrift von Wahlberechtigten an Bewerber (§ 11) oder deren Bevollmächtigte zum Zwecke der Suche von Unterzeichnern des Wahlvorschlags (§ 11 Abs. 3) sowie zum Zwecke der Wahlwerbung zu übermitteln. Die Bewerber oder deren Bevollmächtigte haben sich dazu schriftlich zu verpflichten, die übermittelten Daten ausschließlich für Wahlzwecke zu nutzen und sie spätestens nach der Wahl unverzüglich zu löschen bzw. zu vernichten.

Von Mailadressen ist da nicht die Rede. Die IHK hat mir glaubwürdig versichert, daß ich nicht in ihren Datenbanken mit Mailadresse gelistet bin und daß sie auch keine Mailadressen an Dritte weitergibt. Da ich ich weder Mitglied der IHK Berlin noch wahlberechtigt bin, gehe ich von der Richtigkeit der Information durch die IHK aus .

Den beworbenen Kandidaten sollten eigentlich die Regularien des TKG und BDSG, sowie der Wahlordnung der IHK bekannt sein. Bekomme ich weiterhin unverlangt Wahlwerbung, werde ich mir vorbehalten, geeignete Schritte unternehmen.

Datenschutz-Review dieses Blogs auf WordPress.com

Ich finde WordPress.com sympathisch. Es ist eine großartige Idee solchen Leuten wie mir, die sich nicht um alle Einzelheiten des Blogbetriebs kümmern wollen, eine Plattform zur Verfügung zu stellen auf der sie nach Herzenslust schreiben können.
Als überzeugter Aluhut sehe ich mich in der Plicht in regelmäßigen Abständen die Datenschutzkonformität meines Tuns zu überprüfen. Der Vorstoß einiger digitalen Checker aus der SPD-Fraktion im Bundestag zur Umsetzung der Cookierichtlinie in ihrer rigidesten Interpretation wirft natürlich zusätzlich die Frage auf ob Blogs auf WordPress.com nach deren Umsetzung überhaupt noch datenschutzkonform an Deutsche und andere Europäer adressiert werden können.

Vor über einem Jahr gab es bereits, dank Thomas Schwenke von Schwenke & Dramburg, eine angeregte Diskussion zur Nutzung von Akismet und WordPress.com Stats für selbstgehostete Blogs und Blogs auf WordPress.com.
Ich habe die Diskussion damals voller Interesse verfolgt und meine Datenschutzerklärung dementsprechend überarbeitet. In den letzten Tagen habe ich sie noch einmal Revue passieren lassen und nach einigem Nachdenken als erste Konsequenz die Kommentarfunktion abgeschaltet, da ich mich nicht in der Lage sehe auf WordPress.com ein qualifiziertes Opt-In-Regime einzurichten. Die Speicherung von mittelbar und unmittelbar personenbezogener Daten wie IP- und Emailadressen in den USA wird so verhindert und Kommentatoren werden nicht mehr in ihrem Persönlichkeitsrecht und ihrer Menschenwürde verletzt. Sollten meine Beiträge irgendwen zum Kommentieren anregen, so kann er das auf seinen eigenen Seiten bequem tun.

Dem Besucher von „horax schreibt hier“ werden zur Zeit sechs Cookies gesetzt.

Die beiden von Quantcast gesetzten Cookies sind in der Datenschutzerklärung erwähnt und mittels Opt-Out nach heutiger Rechtslage datenschutzkonform. Sie werden ohne aktives Handeln des Blogbetreibers durch die Plattform gesetzt. In Zukunft wäre für sie ein Opt-In erforderlich, da sie nicht zwingend zum Betrieb der Plattform technisch notwendig sind. Solange Automattic dem Blogbetreiber keine Möglichkeit gibt das Setzen der Cookies zu verhindern bzw. von sich aus darauf verzichtet oder ein Opt-In-Regime einrichtet, wären Blogs auf WordPress.com nicht datenschutzkonform.

Die vier anderen Cookies werden durch eingebundene Inhalte gesetzt. Auch für sie ist der Blogbetreiber verantwortlich und hat sie in der Datenschutzerklärung zu thematisieren. Da diese cookiesetzenden Inhalte nicht zwingend technisch notwendig zum Betreiben eines Blogs gehören müssen auch sie in Zukunft mit einem Opt-In versehen werden. Gegebenfalls muß auf das Einbinden ganz verzichtet werden.

Leider kann man sagen, daß das Betreiben von Blogs auf Plattformen wie WordPress.com für europäische Blogger in Zukunft immer stärker zum Risiko werden könnte. Aber das ist ja politisch so gewollt.

Update 14.3.2012

Stelle fest, neuerdings ist auch wieder comeScore auf meinem Blog aktiv. Einige Zeit lang setzte diese Firma kein Cookie beim Besuchen meiner Seiten. Der Hinweis in der Datenschutzerklärung zum Tracking dieser Firma ist also weiterhin aktuell.

HTTP und eine eingelassene Datenschutzproblematik

Die technischen Grundlagen des WWW und das europäische wie deutsche Datenschutzrecht scheinen orthogonal zueinander zu stehen. Das ist keine neue Erkenntnis. Es sind jedoch für mich in Europa oder Deutschland auch keine Institutionen erkennbar, die die technischen Grundlagen analysieren und die daraus resultierenden Problemlagen für die Menschen so humanisieren, daß eine risikoadäquate Nutzung möglich ist.
Wie heutzutage die Einbindung einer einfachen Grafik samt Trackingmechanismus, die den Facebook-Like-Button simuliert, grundsätzliche datenschutzrechtliche Fragen aufwerfen kann zeigt Henning Tillman in seinem Blogbeitrag.

PrivacyImg - Ein interaktives Beispiel. Konfiguration ueber http://tilli.me/privacyimg
Konfiguration ueber http://tilli.me/privacyimg

Ungleichgewicht – ist das was Offline geht, Online problemlos?

Der Markus Breuer hat mit kühlem Kopf und heißem Herzen einen Blogpost zum Thema Adreßhandel als Antwort auf die Aufgeregtheiten, die ein Artikel über Google in verschiedenen „Qualitätsmedien“ verursacht hat, geschrieben. Ich möchte an Markusens Beitrag anschließen und frage mich ob ähnliche Handlungen innerhalb oder außerhalb des Internets unterschiedliche Qualitäten zugeschrieben bekommen. Das Beispiel, das ich wähle ist der Zeit in Berlin angemessen, es handelt sich um Wahlwerbung der/für politische Parteien.

Jeder Wahlkampfmanager hat seinen bewährten Instrumentenkasten. Ein Instrument, daß wahrscheinlich jede Partei benutzt, ist die Erstwähleransprache. Die Erstwähleranspracher erfolgt in der Regel per Brief, als Anregung doch überhaupt an der Wahl teilzunehmen oder auch als Einladung zu Events. Nun sind die Erstwähler den Parteien zunächst unbekannt und so bedient man sich selbstverständlich den (kommunalen/staatlichen) Melderegistern. Natürlich nur, wenn der Erstwähler der Nutzung seiner Daten nicht widersprochen hat. Ich bezweifle allerdings, daß der Großteil der Erstwähler sein Widerspruchsrecht kennt.
Das zweite Instrument, das Wahlkampfmanager virtuos beherrschen ist die briefliche „zielgruppengerechte“ Ansprache nach Parteienaffinität. Briefliche Parteienwerbung wird heutzutage natürlich nicht per Zufall und über die Fläche gestreut, sondern grundsätzlich nur an diejenigen adressiert, von denen man auch den Gang zur Urne im eigenen gewünschten Sinne erwartet. Dieses Verfahren klappt hervorragend, verringert Streuverluste (hört, hört) und erbringt eine ordentliche Kosten-Nutzen-Relation (und wird natürlich über Adreßhändler abgewickelt). Das Ganze ist datenschutzrechtlich geprüft und für problemlos befunden worden. Niemand käme auf die Idee an einem solchen Verfahren Anstoß zu nehmen.

Eine solche Werbemaßnahme kann auch jederzeit technisch problemlos und methodisch sauber Online durchgeführt werden. Dabei werden die Parteienaffinitäten einem Rechner (Client) zugeordnet und der Click des Internetnutzers auf die werbetreibende Seite samt der Affinität an einen Adserver gesendet, der dann die entsprechende Wahlwerbung ausliefert. Allerdings, aufgepaßt! Parteienaffinitäten in Verbindung mit der IP-Adresse, die technisch für den Transport durch das Netz gebraucht wird, sind nach Maßgabe der Aufsichtsbehörden besondere personenbezogene Daten nach §3 (9) BDSG. Und in dieser Kombination wäre eine gesonderte Einwilligung des Adressaten zwingend notwendig. Ohne diese Einwilligung wäre also unter den gegebenen rechtlichen Rahmenbedingungen eine solche Werbemaßnahme rechtswidrig.

Die Frage, die ich mir stelle, ist also, bedarf es für die briefliche Werbung von Parteien keine gesonderte Einwilligung? Und falls doch, wieso geben die Bürger millionenfach diese Einwillung für briefliche Parteienwerbung und wie wäre die Response Online? Oder braucht es für die briefliche Parteienwerbung keine gesonderte Einwilligung und falls nicht – warum?
Oder werden einfach nach Gusto unterschiedliche Maßstäbe benutzt um ähnliche Sachverhalte zu legitimieren?

Post von Kahta – mein Weg zu Google+

Am 30.06 so um 11.30 Uhr erreichten mich 2 Mails von Kahta, gesendet über Google+ mit leicht kryptischem Inhalt und dem Link „Learn more about Google+“. Zwei Clicks weiter war ich dabei. Die ganze Aufmachung der Seiten hieße im WordPress-Sprech ein „squeaky-clean“, ein blitzsauberes Theme ohne viel Zierrat. Ich finde das sehr erfrischend. Zugleich zeigt Google+ gute Performance auf meinem Akoya E1222, 1 GB RAM und Windows 7 Home Edition, dem sogenannten „Plurkbook“. Da ruckelt nichts, die Seiten laufen sauber. Der Wechsel zu Gmail und weiteren Tools über die obige Taskleiste ist problemlos. Ich habe alle voreingestellten Circles gelöscht, einen Circle namens „geeks“ aufgemacht. Hier sind alle Kontakte eingetopft.

Es gibt 3 Kontaktlisten, eine bspw. mit der Bezeichnung „Personen in meinen Kreisen“. In allen 3 Listen werden die Kontakte per default nach Relevanz geordnet. Eine äußerst interessante Sache und sicher eines von Googles Kerngeschäften – die Ordnung der Dinge nach Relevanz. Allerdings erschließt sich mir der Algorithmus nicht aus seinem Ergebnis. An erster Stelle in der obigen Liste stehen die Personen, mit denen ich über Gmail kommuniziert habe, erst dann werden weitere Kontakte aufgeführt, die sich m.E. nach über das „Verbundene Konto“ zu Twitter erklären. Auch werden dieselben Kontakte, die in 2 Listen stehen, extrem unterschiedlich geordnet. Nach meinen eigenen Ordnungsmaßstäben würde ich die Kontakte ganz anders listen. Die Relevanzordnung bei Google+ geht also auf einen Algorithmus zurück, der zu meinem eigenen menschlichen Ordnungsmechanismus orthogonal ist. Hier sollte m.E. Google nacharbeiten. Über die intransparente Relevanzordnung habe es bereits mit einigen Kontakten einenThread in Google+ gehabt.

Die ersten datenschutzrechtlichen Erwägungen hat Nina Diercks vom Social Media Recht Blog bereits getroffen. Dazu ist eigentlich nur folgendes zu ergänzen. Google möchte und wird die einzelnen unverbundene „Karteikästchen“, in denen Informationen über den Nutzer stehen, innerhalb und außerhalb seines Systems verbinden, analysieren, für den Nutzer verfügbar und für sich selbst geschäftlich nutzbar machen. Das geht über Einwilligung und Technik wie bei den „Verbundenen Konten“ und das geht über Transparenz im eigenen System. Man merkt, daß Google sich anstrengt, sich dem Thema Informationsschutz ernsthaft widmet. Transparenz gerade durch einfaches und kurzes Erklären sollte eine Maxime sein und weiter ausgebaut werden.

Zusammengefaßt, ich finde Google+ interessant, weiß aber mit den Circles (noch) nichts anzufangen, sehe viele neue Kontakte und war in den letzen Tagen nur in einem anderen Social Network um Veranstaltungsermine und Geburtstage zu checken. Ich werde mich bei Google+ einrichten.

Empfehlungsmarketing oder Adreßsammlung? Post von der Deutschen Bahn

Gelegentlich bekomme ich Werbung per Post von der Deutschen Bahn. Als BahnCard-Kunde und früherer Vielfahrer sind mir einzelne Gutscheine oder ähnliche Aufmerksamkeiten immer willkommen gewesen. Der letzte Werbebrief läßt mich dann doch zweifeln ob ich dies länger akzeptieren kann. Was ist geschehen?
Der Inhalt des Werbebrief besteht in der Aufforderung der Deutschen Bahn einem Freund oder einer Freundin eine sogenannte Schnupper BahnCard 25 zu schenken und ihn zu bitten auf einen Besuch vorbei zukommen. Dafür bekommt der Angeschriebene eine einmalige Vergünstigung zu den Konditionen einer BahnCard 25 für die 2. Klasse. Dafür ist eine sogenannte Empfehlerkarte der Deutschen Post beigelegt. Diese bereits frankierte Karte enthält auf der Vorderseite eine vorformulierte Besuchseinladung sowie das Feld für Name und Anschrift des Beschenkten. Zusätzlich erkennt man eine alphanumerische Beschriftung und einen 2D-Barcode.

Vorderseite der Empfehlerkarte

Nach Erhalt der Empfehlerkarte kann der Angeschriebene ausschließlich an einem Schalter der Deutschen Bahn eine Fahrkarte mit Rabatt erwerben, wobei die Empfehlerkarte am Schalter vorzulegen ist. Die Rückseite der Karte enthält auf der rechten Seite die Schnupper BahnCard, die mit einem Tagesstempel Gültigkeit erlangt und auf der linken Seite ein Datumsfeld und eine Feld für die DB Verkaufsstellennummer. Darüber ist eine Datenschutzbelehrung in einer schlechter lesbaren Schriftart als der restliche Text abgedruckt. Der Mitarbeiter am Schalter trennt nun die Schnupper BahnCard per Schere von dem Rest ab und händigt sie dem Kunden aus. Die linke Seite behält der Schaltermitarbeiter denn darauf sind auf der gegenüberliegenden Seite Name und Anschrift des Kunden geschrieben.

Rückseite der Empfehlerkarte

Eine Perforation in der Kartenmitte, damit der Kunde seinen Namen und seine Adresse abtrennen kann ist nicht vorgesehen.

Diese Werbeaktion dient meine Erachtens ausschließlich dazu der Deutschen Bahn neue personenbezogene Daten zu liefern. Dabei ist die Aktion ist völlig intransparent. Zum Erwerb der vergünstigten Reise sind die personenbezogenen Daten des Kunden irrelevant und der Kunde wird nirgendwo klar um seine Zustimmung zum Erhalt von Werbung gefragt. Ich glaube dies ist auch gar nicht gewünscht, denn sonst wäre eine Abrißkante in die Karte eingefügt gewesen. Diese Werbeaktion hebelt m.E. auch Koppelungsverbot des BDSG §28 Abs. 3b aus. Weiterhin frage ich mich nach der Bedeutung des 2D-Barcodes. Sind da möglicherweise Informationen über den Absender gespeichert? Will man hier auch noch soziale Beziehungsgeflechte aufdecken?
Diese Werbeaktion finde ich, gelinde gesagt, unverschämt gegenüber dem heutigen und dem zukünftigen Kunden. Ich überlege ernsthaft meine Zustimmung zum Erhalt von Werbung der Deutschen Bahn zu widerrufen.

Hilfsorganisation schickt ungefragt Bittbriefe

So entsetzlich des Leid nach den Erdbeben in Haiti ist, dies kann kein Grund für Hilfsorganisationen sein ungefragt Bittbriefe zu versenden. In diesem Fall hat es meine Holde erwischt. Ist klar, Frau in bestimmter Alterskategorie, dort wird erhöhte Spendenbereitschaft vermutet. Doch woher hat man die Adresse, wenn der Angeschriebene mit der betreffenden Organisation nichts zu tun gehabt hat? Natürlich über Adresskäufe von anderen Organisationen oder Unternehmen, die im Besitz der betreffenden Daten sind. Normalerweise senden wir solche Briefe „unfrei an Absender“ zurück, in diesem Fall haben wir Hemmungen. Auch auf Nachfragen und Offenlegung des Namens des Adressverkäufers wird verzichtet, nicht aber dieses Verhalten kritisch offen zulegen.

Denn es gilt, auch moralisch gute und wertvolle Aktionen sollten sich an Regeln zu halten. Und ja, man mag es bedauern oder nicht, die Politik hat bei der letzten Anpassung des Bundesdatenschutzgesetzes Ausnahmen gemacht und entschieden daß Hilfsorganisationen weiterhin das Listenprivileg beanspruchen dürfen.

Die rot-rote Koalition in Berlin und die zentrale Schülerdatei

Am morgigen Dienstag wird laut Tagesspiegel die bisherige Umsetzung der zentralen Schülerdatei, die die rot-rote Koalition im vergangenen Jahr beschlossen hat, im Unterausschuß Datenschutz und Informationsfreiheit des Abgeordnetenhauses besprochen werden.
Diese Datei beinhaltet eine Totalerfassung sämtlicher Schüler in Berlin mit personenbezogenen Daten. Die Erhebung, Nutzung und Übermittlung personenbezogener Daten unterliegt laut Datenschutzrecht einer strikten Zweckbindung. Zweck der Datei ist laut Bildungssenator die effiziente Steuerung des Lehrereinsatzes an den Schulen. Wie immer bei solchen Gelegenheiten wächst und gedeiht die Nachfrage nach diesen Daten auch außerhalb der ursprünglichen Zweckbestimmung. So interessieren sich die Innenbehörde und die Justizsenatsverwaltung ebenfalls für diese Informationen, von Jugend-, Gesundheits-, und weiteren Verwaltungen ganz zu schweigen. Daraus soll also ein Rundumsorglospaket für diverse Interessenten zur Analyse und Anreicherung von Daten werden. Das mahnt allerdings zur Vorsicht.
Während konservativ regierte Länder wie z.B. Bayern und Niedersachen auf die Einführung einer zentralen Schülerdatei verzichtet haben steht die Umsetzung im von SPD und Linkspartei regierten Berlin auf der Tagesordnung.

Das Beharren der SPD auf dieser Datensammlung macht mir Sorgen. In Sachen Datenschutz und Bürgerrechte hat gerade die SPD nach ihrer schweren Niederlage im Bund Besserung gelobt. Auf Länderebene scheint dieses nicht zu gelten. Gerade in Berlin, in der die SPD keinen konservativen Koalitionspartner hat kann sie nicht mit Koalitionszwängen argumentieren, es muß ein Verzicht auf eine solche umfassende Datensammlung möglich sein wenn man weiterhin Glaubwürdigkeit in Sachen Datenschutz und Bürgerrechte gewinnen und ggf. behalten will. Ich fürchte jedoch SPD und Linkspartei haben dazu keine Kraft.