Archiv für den Monat: März 2013

BMI: Entwurf zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vorgestellt

Das Bundesministerium des Inneren (BMI) hat am 5.3.2013 den Referentenentwurf für ein “Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme” (PDF) vorgestellt. Mit dem Gesetz will das BMI durch bestimmte Verpflichtungen, die man besonders wichtigen öffentlichen Einrichtungen und privaten Unternehmen auferlegt, die mit einem Ausfall der IT einhergehenden Risiken reduzieren. Der Gesetzentwurf wird nun beraten, mit den verschiedenen Fachgruppen (etwa dem BITKOM) diskutiert und anschließend im parlamentarischen Verfahren ggf. mit etwaigen Änderungen verabschiedet.

Weiterlesen

Art. 29 Gruppe: Anforderungen an Apps auf Smart Devices

Die Art. 29 Gruppe als Zusammenschluss der europäischen Datenschutzbehörden hat sich in der “Opinion 02/2013 on apps on smart devices” vom 27.2.2013 (WP 202) zu den aus ihrer Sicht notwendigen Anforderungen an den Datenschutz bei der Nutzung von Apps auf sog. Smart Devices, also Tablets und Smartphones, geäußert. Zu Recht weist die Art. 29 Gruppe in ihrer Stellungnahme darauf hin, dass sich Apps heute nicht mehr auf die Bereitstellung bestimmter Funktionalitäten auf einem Smart Device beschränken, sondern Zugang zu einer Vielzahl von anderen Anwendungen und Informationen auf dem Smart Device benötigen (oder verlangen), um diese Funktionalitäten überhaupt bereitstellen zu können. Typische Fälle sind etwa der Zugriff durch die App auf Kalender und Kontakte, aber auch auf GPS- und andere Sensordaten.

Um diesem Datenhunger der Apps, aber auch der App-Store Betreiber und der Betriebssystemanbieter für Smart Devices (allen voran Apple, Google, Microsoft und BlackBerry) gerecht zu werden, fordert die Art. 29 Gruppe klare Regelungen. Dies beginnt bei einer leicht zugänglichen und verständlichen Datenschutzerklärung in jeder App und wird ergänzt durch das Einholen der notwendigen Einwilligungen vor dem erstmaligen Zugriff auf die Datenbestände des Nutzers. Des Weiteren sei die besondere Schutzbedürftigkeit von Kindern zu berücksichtigen, wenn diese Apps auf Smart Devices nutzen. Schließlich müssten die Store-Betreiber und Betriebssystemhersteller die von den Programmierern der App zu nutzenden Schnittstellen so ausgestalten, dass diese eine Kontrolle des Nutzers über Art und Umfang der ggf. vom Smart Device zu übermittelnden Daten erhalten.

Wi-Fi access points (WLAN Netze) und Google Street View

Zum widerholten Male sorgen die Geschäftspraktiken von Google auch in den USA für datenschutzrechtliche Bedenken. Obwohl dort traditionell unter dem Begriff Datenschutz eher das Thema „data protection“ behandelt wird und das Thema „data privacy“, wie es dem europäischen Verständnis vom Begriff Datenschutz nahe kommt, tendenziell wenig Aufmerksamkeit zukommt, kam es nun erneut zu freiwilligen Strafzahlungen von Google wegen Verletzungen der „data privacy“.

Weiterlesen

Bring Your Own Device in der Versicherungswirtschaft

In der aktuellen Ausgabe 5/2013 der Versicherungswirtschaft befasst sich der Beitrag “Bevorzugt mobil” mit der Nutzung privater Endgeräte (sog. Smart Devices, also Tablets und Smartphones) für betriebliche Zwecke von Versicherungsunternehmen, dem sog. “Bring Your Own Device” (BYOD).

Zu den rechtlichen Herausforderungen bei BYOD wird Sascha Kremer, externer Datenschutzbeauftragter der LLR Data Security And Consulting GmbH und Rechtsanwalt, zitiert. Er weist insbesondere darauf hin, dass auf den mobilen Endgeräten eine saubere Trennung zwischen Unternehmensdaten  und privaten Daten gewährleistet sein muss. Zudem muss die Installation kritischer Apps, die auf Kontakte oder E-Mail-Accounts zugreifen oder Daten an den Hersteller der App übermitteln, durch das Unternehmen gesteuert und kontrolliert werden. Ebenso muss eine Fernlöschungsoption für den Fall eines Verlusts des Endgeräts bestehen. Schließlich bedarf es arbeitsvertraglicher Regelungen dazu, wie das Unternehmen mit dem Eigentum des Beschäftigten umgehen darf und was etwa im Fall eines Defekts geschieht.

Sascha Kremer befasst sich regelmäßig mit der Einführung und Umsetzung von BYOD in Unternehmen, dies sowohl als externer Datenschutzbeauftragter als auch als Rechtsanwalt.

In der Dezember-Ausgabe 2012 der juristischen Fachzeitschrift “Der IT-Rechtsberater” hat er gemeinsam mit seinem ebenfalls bei LLR tätigen Kollegen Stefan Sander einen mehrseitigen Fachbeitrag zu Bring Your Own Device veröffentlicht, in dem alle hierzu diskutierten rechtlichen Fragestellungen zusammengeführt werden.

Am 10.4.2013 trägt Sascha Kremer im Rahmen der Fachanwalts-Fortbildung im IT-Recht für den Bonner Anwaltverein zu “BYOD: Nutzung privater Endgeräte für und im Unternehmen – Rechtliche Probleme, Unternehmerische Chancen” im Universitätsclub Bonn vor (Anmeldung). Im Herbst 2013 wird Sascha Kremer außerdem für die DeutscheAnwaltAkademie ein Online-Seminar (Dauer zwei Stunden) zu BYOD durchführen.

BAG zur verdeckten Videoüberwachung am Arbeitsplatz

Das BAG hat sich mit seinem Urteil vom 21.6.2012  (2 AZR 153/11 – Volltext) erneut mit der Frage der verdeckten Videoüberwachung am Arbeitsplatz befasst. Dabei beschäftigte sich das BAG  insbesondere mit der Frage nach der Verwertbarkeit der Erkenntnisse aus der verdeckten Videoüberwachung gegen den Arbeitnehmer im Kündigungsschutzprozess.

Weiterlesen

Handreichung zum datenschutzgerechten Umgang mit De-Mail

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat eine “Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail” (Abruf) veröffentlicht.

Auf Grundlage des im Mai 2011 in Kraft getretenen De-Mail-Gesetzes soll mittels De-Mail eine “sichere, vertrauliche und nachweisbare” Kommunikation “für jedermann im Internet” möglich sein. Zu diesem Zweck sieht De-Mail eine Autorisierung der Nutzer u.a. über den elektronischen Identitätsnachweis auf dem neuen Personalausweis vor und erlaubt eine verschlüsselte Kommunikation. Problematisch ist dabei jedoch, dass De-Mail keine Ende-zu-Ende-Verschlüsselung kennt, sondern sich die Verschlüsselung auf den Kommunikationsvorgang zwischen den De-Mail-Providern nach Einlieferung und vor Abholung der De-Mail durch die beteiligten Nutzer beschränkt.

Die Handreichung des Bundesbeaufragten schlägt deshalb für solche Kommunikation, für die nach einer Schutzbedarfsanalyse nach Maßgabe der BSI-Standards (zu den Grundschutzkatalogen des BSI) ein besonders Schutzbedürfnis besteht, die Einrichtung einer Ende-zu-Ende-Verschlüsselung durch die am Kommunikationsvorgang beteiligten Nutzer vor. Dies ist allerdings nur in Unternehmen und Einrichtungen sinnvoll möglich, die ein im eigenen Netzwerk befindliches Gateway zum De-Mail-Provider betreiben, während der Aufwand hierfür bei Verbrauchern ohne ein solches Gateway die Nutzung einer Ende-zu-Ende-Verschlüsselung faktisch ausschließt, zumindest aber erheblich erschwert.

Update 21.3.2013: Die Deutsche Post hält an ihrem E-Postbrief als Alternative zur De-Mail fest. Da das von der Deutschen Post zur Identifizierung der Nutzer praktizierte PostIdent-Verfahren nach Auffassung der Datenschützer wegen der dauerhaften Speicherung der Ausweisnummer des Nutzers nach dem GwG nicht den Vorgaben des De-Mail-Gesetzes genügt, die Deutsche Post aber nicht auf PostIdent verzichten will, ist ihr ein Tätigwerden als De-Mail-Anbieter nicht möglich. Der Vorteil für den Nutzer: Es fehlt zwar die gesetzliche Einkleidung durch ein Gesetz beim E-Postbrief, dafür ist mit diesem eine Ende-zu-Ende-Verschlüsselung möglich, ohne dass es des in der Handreichung des Bundesdatenschutzbeauftragten, nur für Unternehmen praktikablen Verfahrens bedarf  (Quelle: Heise).

Weitere Stellungnahmen der Art. 29 Gruppe zur Datenschutz-Grundverordnung

Die Artikel 29 Gruppe (Art. 29 WP) hat sich in weiteren Stellungnahmen zum Entwurf der Datenschutz-Grundverordnung (PDF) der EU vom Januar 2012 geäußert.

Mit der “Opinion 01/2013 providing further input into the discussions on the draft Police and Criminal Justice Data Protection Directive” (PDF) schlägt die Art. 29 Gruppe die Ergänzung der Datenschutz-Grundverordnung um einen Art. 7a (Different categories of data subjects) und einen Art. 46 (Powers) vor. Letzterer soll sicherstellen, dass die “supervisory authority” in allen Mitgliedsstaaten die erforderlichen Rechte erhält, um die von ihr ergriffenen Maßnahmen durchzusetzen, insb. was die Übermittlung von Informationen an diese Behörde angeht.

Mit dem weiteren “Statement of the Working Party on current discussions regarding the data protection reform package” (PDF) befasst sich die Art. 29 Gruppe u.a. mit Fragen der Pseudonymisierung, der Einwilligung und der Datentransfers in Drittländer. Ergänzt wird dieses Statement durch einen Annex I mit “Proposals for Amendments regarding Competence & Lead Authority” (PDF) und einem Annex II mit “Proposals for Amendments regarding exemption for personal or household activities” (PDF).

Nachlässiger Umgang mit Passwörtern ist gefährlich

Mehr als 50 Millionen Passwörter von Nutzern musste der Anbieter des Cloud-Dienstes Evernote zurücksetzen, nachdem unbekannte Kriminelle sich Zugang zu einer Datenbank des Diensteanbieters verschafft hatten, in der neben anderen personenbezogenen Daten der Nutzer auch deren Passwörter hinterlegt waren (mehr bei Heise).

Treffen solche Vorfälle mit der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang 2013 in einer Umfrage festgestellten Nachlässigkeit der Nutzer im Umgang mit ihren Passwörtern zusammen (siehe “Umfrage belegt: Deutsche Internetnutzer sind bei Passwörtern zu bequem“) schnell sensible Bereiche in Unternehmensnetzwerken kompromittiert.

Eine der wichtigsten Grundregeln für den Umgang mit Passwörtern ist deshalb:

Verwenden Sie nie dasselbe Passwort für mehrere Anwendungen und ändern Sie das Passwort regelmäßig.

Weiterlesen

FTC fordert mehr Transparenz für Smart Devices

Die US-amerikanische Handelsaufsicht Federal Trade Commission (FTC) hat im Februar 2013 den von ihr erstellten Maßnahmenkatalog “Mobile Privacy Disclosures: Building Trust Through Transparency” (PDF, englisch) vorgestellt. Die darin enthaltenen Empfehlungen insbesondere für Hersteller von Smartphones, App-Entwickler und Betreiber von Werbenetzwerken sind nicht verbindlich, von der FTC aber mit der Ankündigung verbunden worden, entsprechende Gesetze zu erlassen, wenn die Empfehlungen nicht ernst genommen werden sollten.

Die von der FTC vorgeschlagenen Maßnahmen setzen insbesondere bei der Information der Nutzer von Smart Devices (Tablets, Smartphones) durch standardisierte Datenschutzerklärungen an und sehen vor, dass Nutzer vor dem Zugriff auf personenbezogene Daten durch eine App (z.B. Standortdaten, Kontakte) einwilligen müssen. Zudem sollen Apps und Betriebssysteme sog. “Do Not Track” (DNT) Verfahren unterstützen, mit denen Nutzer eine Nachverfolgung ihrer individuellen Nutzung durch Werbenetzwerke und Dritte (sog. Tracking) unterbinden können.