Illegaler Handel mit Daten aus Rezepten

 

Dies ist ein Bericht für alle, die sich immer noch fragen, wer sich denn für ihre Daten interessieren sollte: Nach einem Bericht des „Spiegel“ vom 13. Februar besteht gegen mehrere Rechenzentren der Verdacht, illegal mit den Daten aus Millionen Apothekenrezepten gehandelt zu haben. Die Anschuldigungen wurden von einem ehemaligen Mitarbeiter der Firma pharmfakt/Gesellschaft für Datenverarbeitung (GFD) aus Karlsfeld bei München erhoben. Die Daten seien dazu benutzt worden, sie an Kunden aus der Pharmaindustrie zu verkaufen, und das auf Anweisung der Geschäftsführung, sagte der vom Spiegel als „Insider“ bezeichnete Mann.

Die großen Namen sollen profitiert haben

Zu den Kunden der GFD zählen die großen Namen der Pharmabranche: Bayer, GlaxoSmithKline, Novartis, Ratiopharm, Sanofi-Aventis. Der Handel mit Rezeptdaten ist zur Marktforschungszwecken legal, aber nur wenn dafür verschlüsselte Daten eingesetzt werden.

Der Wert unverschlüsselter Daten

Unverschlüsselte Daten bieten eine Reihe von Möglichkeiten: Die Pharmaunternehmen können mit ihnen nachvollziehen, welche Arztpraxen welche Medikamente verschrieben haben. Solche Informationen sind für die Hersteller wertvoll, weil sie beispielsweise die Kontrolle der Arbeit von Außendienstmitarbeitern ermöglichen. Unverschlüsselte Daten lassen erkennen, welcher Arzt welche Medikamente verschreibt und ob er bestimmte Medikamente möglicherweise nach dem Besuch eines Pharmavertreters häufiger verschreibt.

Unterlagen valide eingeschätzt

Teile der Unterlagen wurden offenbar dem Unabhängigen Landeszentrum für den Datenschutz in Schleswig-Holstein übergeben. Dort werden sie als „scheinbar valide“ eingeschätzt. Es wird vermutet, dass mit ihnen “einer der größten Datenskandale im Medizinbereich” aufgedeckt werden könnte.

 

Quellen:

http://www.spiegel.de/wirtschaft/unternehmen/0,1518,814750,00.html

http://futurezone.at/digitallife/7398-verdacht-auf-illegalen-handel-mit-rezeptdaten.php#

 

 

 

 

 

Patientendaten im Netz: Was für ein Albtraum

Der deutsche Begriff „Datenschutz“ klingt immer ein wenig so, als ob es um den Schutz von abstrakten, unpersönlichen Dingen ginge. Tatsächlich aber steht der Schutz der Rechte Einzelner im Vordergrund dessen, was Datenschutz bezweckt.

Nichts kann dies deutlicher illustrieren als der Bericht über die rund 3.000 Datensätze von schleswig-holsteinischen Psychiatriepatienten, die im Internet landeten. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) machte in einer Presseerklärung vom 7.11.2011 „Desorganisation“ als „Hauptursache“ für den von ihm als „Datenleck“ bezeichneten Vorfall verantwortlich. Mehrere Stellen seien beteiligt gewesen, zwischen denen die Arbeitsverhältnisse und Verantwortlichkeiten unklar geregelt gewesen seien. Niemand von den für die Datenverarbeitung Verantwortlichen habe über einen genauen Überblick über die Verarbeitung der Daten der psychisch Kranken verfügt.

Der Überblick fehlt

Bei allem Verständnis für fehlendes Wissen und Schwachstellen im Bezug auf den Umgang mit komplexer IT: Wer mit so sensiblen Daten umgeht, dem darf nicht der Überblick fehlen. Wenn in der Einrichtung kein entsprechender Sachverstand vorhanden ist, muss man ihn beschaffen. Wenn man keine externe Unterstützung bezahlen kann, darf man keine Psychiatriedaten automatisiert verarbeiten. Der Vorfall wäre ein Grund, die Einrichtung zu schließen.

Keine Gefahr mehr?

Thilo Weichert, Leiter des ULD, lässt allerdings vorläufig Milde walten. Er wird am Ende der Pressemitteilung mit dem Satz zitiert: „Aktuell besteht, soweit für uns ersichtlich, keine weitere Gefahr mehr. Der Server mit den sensiblen Daten ist abgeschaltet“. Eine „umfassende Bestandsaufnahme und Bestandssicherung“ habe vorläufig Vorrang vor möglichen Sanktionen. Keine weitere Gefahr? Einmal im Internet veröffentlichte Daten lassen sich nicht wieder löschen. Die betroffenen Psychiatriepatienten leben von nun an ständig in der Gefahr, dass jemand alle Details ihrer Krankengeschichte ausgräbt und weiter verbreitet.

Datenschutz ist Schutz von Menschen

Vielleicht sollte man Datenschutz durch Personenschutz ersetzen – damit klar wird, worum es wirklich geht: Nämlich den Schutz von Menschen durch den Missbrauch von Informationen über sie. Vielleicht würde dieses Bewusstsein zu mehr Sorgfalt im Umgang mit sensiblen Informationen führen.

URL der zitierten Pressemitteilung: http://www.datenschutz.de/news/detail/?nid=5167

 

 

Google und Facebook: Interessante Erkenntnisse beim ERFA-Kreis Nord

Interessante Einblicke in das Denken von Google bot ein Vortrag des Datenschutzbeauftragten der Google Deutschland GmbH, Per Meyerdierks, im Rahmen des Treffens des ERFA-Kreises Nord der Gesellschaft für Datenschutz und Datensicherheit (GDD) am vergangenen Montag (31.Oktober) in Hamburg. „Datenschutz im Web 2.0 – Grundlagen und (funktionale) Grenzen“ lautete der Titel der sehr juristisch aufgemachten Abhandlung. Nach ein paar allgemeinen datenschutzrechtlichen Definitionen rollte Meyerdierks die Diskussion um den Personenbezug von IP-Adressen auf.

Der entscheidende Punkt blieb unerwähnt

Den entscheidenden Punkt erwähnte er jedoch mit keinem Wort: Die Begrenzungen des deutschen Rechts, die eine Zusammenführung der IP-Adresse mit der Person in den meisten Fällen verhindern, gelten für Google allesamt nicht. Google verfügt über einen gigantischen Berg personenbezogener Informationen aus einer Vielzahl von Quellen, die es unkontrolliert zum Zweck der Profilbildung zusammenfügen kann. Es spricht viel für die Annahme, dass Google dies auch tut. Warum sonst sollte beispielsweise jede in die Google Suchmaschine eingegebene Anfrage von dem Konzern neun Monate lang gespeichert werden?

Auseinandersetzung mit den Aufsichtsbehörden

Es wäre interessant gewesen, von Herrn Meyerdierks dazu eine Einschätzung zu hören. Stattdessen verharrte er in einer fast selbstmitleidig anmutenden Schilderung der kleinteiligen Diskussionen, die er mit den Datenschutzaufsichtsbehörden führt. Die zentrale These lautete, das dass geltende Datenschutzrecht nicht dazu geeignet sei, mit den Sachverhalten und Fragen angemessen umzugehen, die das Internet mit sich bringt.

Ein besseres Recht wird gebraucht

Ohne Zweifel brauchen wir ein besseres Recht zur Regelung des Datenschutzes im Internet-Zeitalter und das möglichst europaweit. Antworten, wie dieses aus Sicht von Google zu gestalten wäre, blieb Per Meyerdierks allerdings schuldig. Fast schien es, als wäre die Alternative zum Ist-Zustand aus seiner Sicht die, dass Google ungehindert von geltendem Recht und aufsichtsbehördlichen Fragen tun könnte, was immer es will. Das würde auch erklären, warum alle Versuche des Hamburgerischen Datenschutzbeauftragten und des Unabhängigen Landeszentrums für den Datenschutz Schleswig-Holstein (ULD) mit Google ins Gespräch zu kommen, von Seiten Google boykottiert wurden. So lange, bis das ULD in einer öffentlichkeitswirksamen Kampagne die in Schleswig-Holstein ansässigen Unternehmen aufforderte, den Einsatz von Google Analytics sofort zu beenden. Seither ist man bereit, auch Sicherheitskonzepte zu veröffentlichen und diese durch Dritte prüfen zu lassen.

Den Regelungsanspruch des Rechts aufgegeben

Aus dem Publikum, einer Gruppe von etwa 50 Datenschutzbeauftragten und sonstigen Datenschutz-Interessierten, kamen überraschend wenige kritische Anmerkungen. Im Anschluss an den Vortrag von Per Meyerdierks verteidigte der Leiter des ULD, Thilo Weichert, wortgewaltig seine Facebook-Abschalten-Initiative. Auch in dieser Diskussion fiel auf, wie wenig einige Datenschützer offenbar bereit sind, auf dem Geltungs- und Regelungsanspruch des Rechts zu bestehen. Juraprofessor Ralf Bernd Abel verstieg sich zu einem vermeintlichen Gegensatz des Grundrechts der Facebook-Nutzer auf freie Meinungsäußerung und freie Kommunikation und der Einhaltung der Datenschutzvorschriften. Und im Übrigen, welchen Wert habe das Beharren auf der Einhaltung der Datenschutzgesetze für den einzelnen Nutzer?

Nur jammern ist zu wenig

Das sind nun wirklich absurde Zungenschläge in dieser Diskussion. Noch gilt das Recht wie es ist und wer, wenn nicht die Datenschützer sollten auf seiner Einhaltung bestehen? Unterstützung für diese Selbstverständlichkeit ließ die Versammlung vermissen. Gleichzeitig muss dieses aber mit einer rechtspolitischen Forderung verbunden werden, endlich ein technikneutrales, zukunftsfähiges Datenschutzrecht zu schaffen. Vorschläge gibt es genug.

Facebook: Ausnahme für Schleswig-Holstein?

Das soll wohl ein Witz sein! war mein erster Gedanke, als ich gestern die Datenschutznachrichten las. Nach einem Gespräch zwischen dem Europa-Vertreter von Facebook, Richard Allan, und dem Datenschutzbeauftragten für Schleswig-Holstein, Thilo Weichert, will Facebook nun prüfen, wie technisch umgesetzt werden könnte, dass die Daten von schleswig-holsteinischen Facebook-Nutzern nicht mehr in die USA übermittelt werden.

… und Facebook bewegt sich doch

Darüber hinaus habe Facebook sich bereit erklärt, technische Details offenzulegen, sodass das Unabhängige Landeszentrum für den Datenschutz in Schleswig-Holstein (ULD) Einblicke in die Verarbeitung der Nutzerdaten durch Facebook erhalten kann. Facebook habe, so Weichert, zum ersten Mal „richtig verstanden“, was die rechtlichen Argumente und technischen Probleme des ULD mit Facebook seien.

Der Erfolg gibt ihnen Recht

Mit der Sturheit, den man den Nordlichtern nachsagt, zog das ULD los, Facebook in die Schranken zu weisen, und offenbar hat es in kleinen Etappen Erfolg. So schräg die Vorstellung zunächst auch anmuten mag, dass zukünftig den Daten schleswig-holsteinischer Nutzer eine Sonderbehandlung wiederfahren soll – es muss ja nicht die einzige Sonderbehandlung sein. Gleiches Recht für alle wird die zwingende Folge sein, wenn eine solche Differenzierung möglich sein sollte. Das Bundesdatenschutzgesetz gilt schließlich nicht nur in Schleswig-Holstein. Vielleicht ist dieses Einlenken von Facebook der erste Schritt auf dem langen Weg zu Datenschutz, der nicht nur eine leere Floskel ist.

URL der zitierten Meldung:

http://www.datenschutz.de/news/detail/?nid=5143

Weichert: „Facebook muss sich gewaltig bewegen“

Quelle:  Virtuelles Datenschutzbüro – http://www.datenschutz.de/news/detail/?nid=5077

Nach der Ankündigung des Unabhängigen Landeszentrums für Datenschutz (ULD), ab Oktober 2011 gegen Social-Plugins und Fanpages von Webseitenbetreibern in Schleswig-Holstein vorzugehen, lud der Innen- und Rechtsausschuss des Schleswig-Holsteinischen Landtages Vertreter von Facebook und des ULD zu einem Meinungsaustausch. Facebook behauptete dabei, sich an die geltenden Datenschutzstandards zu halten. Von Seiten des Landtagsausschusses wurde die Erwartung an das ULD herangetragen, keine Sanktionen gegenüber privaten Facebook-Seiten zu verhängen.

Hierzu nimmt der Leiter des ULD, Dr. Thilo Weichert, Stellung: „Bisher gab es nur einen Austausch von Standpunkten. Dass Facebook Gespräche führt, ist ein erster Anfang, hat aber an der technischen und rechtlichen Bewertung des ULD vorerst nichts geändert. Bevor Plugins und Fanpages von Facebook datenschutzkonform genutzt werden können, muss sich das Unternehmen noch gewaltig bewegen. Die teilweise vorgeschlagene ´Lösung` über einen Doppelclick, bei dem zunächst eine Informationsseite geöffnet und eine Einwilligung eingeholt wird, geht zweifellos in die richtige Richtung, aber nur den halben Weg: Die Profilbildung bei Facebook lässt sich derart nicht verhindern, wenn man den Plugin nutzen möchte. Zudem setzt eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlegt, was es mit den Nutzerdaten macht, fehlt es weiterhin an der nötigen Information.“

Das ULD hat gegenüber dem Innen- und Rechtsausschuss des Landtags darauf hingewiesen, dass ab Oktober nicht sämtliche Webseitenbetreiber in Schleswig-Holstein sanktioniert werden. Im Vordergrund stünden öffentliche Stellen sowie große private Anbieter. Hierbei würden der Opportunitäts- und der Verhältnismäßigkeitsgrundsatz beachtet. Das Argument, durch ein Vorgehen gegen Privatunternehmen erlitten diese einen Wettbewerbsnachteil, lässt Weichert nicht gelten: „Derzeit haben die Stellen – gemäß dem geäußerten Verständnis – einen Wettbewerbsnachteil, die sich an Recht und Gesetz halten. Dies sollte weder im Interesse der Politik noch von Wirtschaftsverbänden liegen. Mittelfristig muss aber davon ausgegangen werden, dass diejenigen einen Wettbewerbsnachteil erleiden, die weiterhin Facebook nutzen, weil sie damit den Nutzenden signalisieren, dass ihnen die Beachtung des Datenschutzes nicht so wichtig ist.“

Der aus dem Ausschuss geäußerten Forderung, hier müsse eine politische Lösung auf nationaler und europäischer Ebene gefunden werden, widersprach Weichert: „Die datenschutzpolitischen Vorgaben von Bund und Europa sind bekannt und werden vom ULD umgesetzt. Ein äußerst unschöner Eindruck würde entstehen und das Vertrauen in die Rechtsstaatlichkeit der Verwaltung würde beeinträchtigt, wenn wir Datenschutzbehörden nur bei kleinen Verstößen aktiv würden, bei großen Unternehmen mit Marktmacht aber auf die Durchsetzung verzichteten. Wir können nur glaubhaft Datenschutz ´im Kleinen` durchsetzen, wenn wir auch bei struktureller massenhafter Missachtung des Rechts auf informationelle Selbstbestimmung tätig werden.“

Das ULD hat sich heute mit Vertretern von Facebook getroffen und ein offenes und konstruktives Gespräch geführt. Dem ULD liegen auch nach diesem Gespräch nicht ausreichende Informationen über die im Arbeitspapier kritisierten Sachverhalte vor. ULD und Facebook haben einen weiteren und zügigen Informationsaustausch vereinbart. Facebook hat eine schnelle Reaktion und Bewertung des Arbeitspapiers des ULD zugesagt.

Das ULD hat nach Veröffentlichung des Arbeitspapiers hunderte Anfragen und Zuschriften erhalten. Deren Beantwortung kann sich wegen der großen Nachfrage verzögern. Das ULD steht hinsichtlich seines Vorgehens im engen Kontakt mit den anderen Datenschutzaufsichtsbehörden in Deutschland. Ein europaweiter Austausch ist eingeleitet. Einige Aufsichtsbehörden unterstützen die Vorgehensweise des ULD. Andere prüfen derzeit noch die technischen Rahmenbedingungen und die rechtlichen Konsequenzen.

Die Facebook Kontroverse

Vor knapp 10 Tagen habe ich an dieser Stelle über die Initiative des ULD geschimpft, das mittels Presseerklärung Unternehmen Bußgeld und Untersagungsverfahren androhte, die den Facebook „Gefällt-mir“ Knopf auf ihren Webseiten einbinden und/oder auf Facebook Unternehmensseiten betreiben. Mittlerweile haben sich die Aufsichtsbehörden anderer Bundesländer der Sichtweise des ULD angeschlossen.

 Viel Stoff für Diskussion

Seither ist viel und kontrovers diskutiert worden und ein Gutes hatte die Aktion des ULD dann doch: Viele Unternehmen machen sich offenbar zum ersten Mal Gedanken, über Datenschutzfragen im Zusammenhang mit Facebook. Begehrt sind Informationen, wie der Facebook „Gefällt-mir Knopf“ so auf Webseiten eingebaut werden kann, dass eben keine unkontrollierte Datenübermittlung aller Seitenbesucher an Facebook stattfindet. Eine Anleitung dazu findet sich unter anderem hier:

http://netzpolitik.org/2011/facebook-like-button-datenschutzfreundlich-lokal-einbauen/

oder hier

http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html

Es war im Grunde schon lange klar, dass die “Gefällt-mir” Knöpfe ein Datenschutzproblem haben, so erschien bespielsweise auf heise online schon im April dieses Jahres ein ausführlicher Artikel zum Thema:

http://www.heise.de/security/artikel/Das-verraet-Facebooks-Like-Button-1230906.html

Doch erst jetzt werden auch die Alternativen – der Einbau ohne kontrolliere Datenübertragung – offenbar unter dem Druck der Bußgeld Drohung des ULD einer breiteren Öffentlichkeit bekannt. Die Unternehmen, die die Datenschützen wegen ihrer Initiative kritisieren, müssen sich mindestens die Frage gefallen lassen, warum sie vollkommen unkritisch und ohne weitere Überlegung ihre Seiten mit den Plug-Ins versehen haben. Wer es wissen wollte, hätte es wissen können. So gesehen, kann das Vorgehen des ULD als ein Gewinn für den Datenschutz angesehen werden.

Nicht stehen bleiben

Dennoch – ich meine, auf diesem Stand kann die Diskussion nicht stehen bleiben. Die Antwort auf die Datenschutzignoranz der Sozialen Netzwerke kann nicht nur sein, sich mit dem datenschutzfreundlichen Einbau des „Gefällt-mir“ Knopfes und einem entsprechenden Passus in der Datenschutzerklärung auf der jeweiligen Webseite zu befassen. Die Auseinandersetzung ULD versus Unternehmen hat so deutlich wie kaum etwas zuvor gezeigt, dass die alten Instrumente der staatlichen Datenschutzaufsicht ausgedient haben. Was an ihre Stelle treten kann, ist allerdings offen.

So wird Datenschutz nicht sexy

Gut gebrüllt, Löwe! war mein erster Gedanke beim Lesen der Pressemitteilung des ULD am vergangenen Freitag, mit der das ULD verkündete, der Einsatz der Facebook „Gefällt-mir“-Knöpfe sei genauso ein Verstoß gegen Datenschutzrecht wie Unternehmensseiten auf Facebook. Man verlange die umgehende Abschaltung bis Ende des Monats und werde ansonsten auch Bußgeld verhängen.

Datenschutz im Dilemma

Der zweite Gedanke war Ärger. Ärger, weil die Geschichte ULD versus Facebook das ganze Dilemma des Datenschutzes zeigt, der gegenüber der technischen und gesellschaftlichen Entwicklung auch dann verstaubt, ideenlos und defensiv wirkt, wenn er inhaltlich im Recht ist. Natürlich hat das ULD mit seiner Analyse recht. Natürlich ist Facebook ein einziger Datenschutz-Albtraum und natürlich können Datenschutzverstöße mit Bußgeld geahndet werden, wovon zweifellos auch Gebrauch gemacht werden sollte.

So wird Datenschutz nicht sexy

Datenschutz muss „sexy“ werden, hat mal ein Landesdatenschutzbeauftragter gefordert. So wird Datenschutz aber ganz sicher nicht sexy, indem man mit den Waffen von gestern einen Kampf austragen will, der schon so gut wie verloren ist. Hahaha! schallte es mir aus allen Richtungen entgegen. Das weiß doch jeder, dass Facebook alle Daten sammelt! Wer das nicht will, muss eben draußen bleiben! Bußgeld – was maßt sich das ULD eigentlich an? Und überhaupt! Facebook können sie nicht kriegen, da nehmen sie die Unternehmen.

Konstruktive Bahnen

In der Tat mutet der Versuch, Unternehmen mittels Bußgelddrohung zum Rückzug aus Facebook zu bewegen, untauglich bis absurd an.  Das ULD sollte seinen Ärger über die Verhältnisse besser in konstruktive Bahnen lenken und Vorschläge für modernen Datenschutz in einer vernetzen Welt liefern – so, wie es das beispielsweise mit dem hauseigenen Entwurf für ein Gesetz „Datenschutz im Internet“ schon einmal getan hat. Wie muss Datenschutz sein, der in einer technisch rasanten Welt nicht immer nur „Haltet den Dieb!“ ruft, wenn der Dieb schon uneinholbar über alle Berge ist? Das wäre der bessere Umgang mit der Problematik gewesen und Ideen dazu gibt es genug.

Weltfremde Spinner

Auf diese Weise aber stehen Datenschützer in der öffentlichen Meinung nun wieder in der Ecke der Nörgler, Spaßverderber und – schlimmer noch – der weltfremden Spinner. Danke, ULD! Das wäre nicht nötig gewesen.

ULD an Webseitenbetreiber: “Facebook-Reichweitenanalyse abschalten”

Quelle: Virtuelles Datenschutzbüro, http://www.datenschutz.de/news/detail/?nid=5057

PRESSEMITTEILUNG 19.08.2011

Das Unabhängige Landeszentrum für Datenschutz (ULD) fordert alle Stellen in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen.

Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro.

Thilo Weichert, Leiter des ULD: „Das ULD weist schon seit längerem informell darauf hin, dass viele Facebook-Angebote rechtswidrig sind. Dies hat leider bisher wenige Betreiber daran gehindert, die Angebote in Anspruch zu nehmen, zumal diese einfach zu installieren und unentgeltlich zu nutzen sind. Hierzu gehört insbesondere die für Werbezwecke aussagekräftige Reichweitenanalyse. Gezahlt wird mit den´Daten der Nutzenden. Mit Hilfe dieser Daten hat Facebook inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht. Allen Stellen muss klar sein, dass sie ihre datenschutzrechtliche Verantwortlichkeit nicht auf das Unternehmen Facebook, das in Deutschland keinen Sitz hat, und auch nicht auf die Nutzerinnen und Nutzer abschieben können.

Unser aktueller Appell ist nur der Anfang einer weitergehenden datenschutzrechtlichen Analyse von Facebook-Anwendungen. Das ULD wird diese in Kooperation mit den anderen deutschen Datenschutzaufsichtsbehörden vornehmen. Eine umfassende Analyse ist einer kleinen Datenschutzbehörde wie dem ULD mit einem Wurf nicht möglich; zudem ändert Facebook kontinuierlich seine technischen Abläufe und Nutzungsbedingungen. Niemand sollte behaupten, es stünden keine Alternativen zur Verfügung; es gibt europäische und andere Social Media, die den Schutz der Persönlichkeitsrechte der Internet-Nutzenden ernster nehmen. Dass es auch dort problematische Anwendungen gibt, darf kein Grund für Untätigkeit hinsichtlich Facebook sein, sondern muss uns Datenschutzaufsichtsbehörden dazu veranlassen, auch diesen Verstößen nachzugehen. Die Nutzenden können ihren Beitrag dazu leisten, indem sie versuchen datenschutzwidrige Angebote zu vermeiden.“

Den Nutzerinnen und Nutzern im Internet kann das ULD nur den Ratschlag geben, ihre Finger vom Anklicken von Social-Plugins wie dem „Gefällt mir“-Button zu lassen und keinen Facebook-Account anzulegen, wenn sie eine umfassende Profilbildung durch das Unternehmen vermeiden wollen.Die Profile sind personenbezogen; Facebook fordert von seinen Mitgliedern, dass diese sich mit ihrem Klarnamen anmelden.

Das ULD hat seine datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook im Internet veröffentlich unter

https://www.datenschutzzentrum.de/facebook/

Diese Analyse soll künftig fortgeschrieben, d. h. erweitert und präzisiert werden. Anregungen hierzu nimmt das ULD gerne entgegen per E-Mail über

facebook@datenschutzzentrum.de

Bei Nachfragen oder im Fall von allgemeinen sonstigen Fragen wenden Sie sich bitte an: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Holstenstr. 98, 24103 Kiel

Tel: 0431 988-1200, Fax: -1223

E-Mail: mail@datenschutzzentrum.de

Datenschutz: dreist und unverfroren

Schufa wirbt als Datenschutz-Zertifizierer

Berlin, 10.03.2011

Unter dem Titel “Datenschutz Audit – Wir prüfen Ihren Datenschutz.” wirbt die Schufa Holding AG um Auftraggeber für das “SCHUFA DatenschutzSiegel”. Im Internet durch Google AdWords an erste Plätze geliftet, verspricht das Unternehmen potenziellen Kunden durch das “SCHUFA DatenschutzSiegel” vollmundig deutliche wirtschaftliche Vorteile: “Expertise mit Außernwirkung.” (http://www.datenschutzsiegel.de).

Expertise kann man den Verantwortlichen der Kampagne eventuell attestieren – allerdings nicht im Thema Datenschutz.

Die Schufa hat in der Vergangenheit immer wieder mit Verstößen gegen Datenschutzrichtlinien, undurchsichtigen Scoring-Verfahren, fehlerhaften Daten und Datenmissbrauch Schlagzeilen gemacht. Bis zum heutigen Tag scheint der Wert des Begriffs Transparenz, mit dem das Unternehmen in ihrer DatenschutzSiegel-Kampagne wirbt (“transparenter und sicherer Umgang mit Datenschutz”), bei der Schufa für die eigenen Strategien und Prozesse keine Bedeutung zu haben.

Datenschutz ist zweifellos ein an Bedeutung weiter wachsendes Thema. Und es ist richtig, dass Unternehmen ihre Prozesse aus datenschutzrechtlicher Sicht analysieren und auditieren lassen sollen – zum Vorteil des Unternehmens und zum Vorteil seiner Mitarbeiter, Kunden und Partner.

Die Entwicklung von angemessenen Datenschutzkonzepten, die Analyse der eingesetzten Prozesse, die Schulung der Mitarbeiter in Fragen und der Praxis des Datenschutzes setzt ein hohes Maß an Kompetenz voraus. Vor dem Hintergrund einer sehr komplexen, sich weiter verändernden Gesetzgebung und eines sich wandelnden öffentlichen Bewusstseins für das Thema sind allerdings Wissen und Können nicht die einzigen Kriterien, die Berater und Auditoren in Datenschutzfragen mitbringen sollten: Vertrauenswürdigkeit spielt in diesem Bereich eine sehr wichtige, wenn nicht die wichtigste Rolle.

Die Schufa wirbt in ihrer Kampagne mit dem Claim “Wir schaffen Vertrauen”.

Und genau das, liebe Schufa-Verantwortliche, kennzeichnet ein Problem:

Es wäre sinnvoll, wenn die Schufa zunächst die sicherlich schwierige Aufgabe angehen würde, Vertrauen der Öffentlichkeit und potenzieller Auftraggeber in das eigene Unternehmen Schufa und das unternehmerische Handeln zu schaffen.

Es gibt eine ganze Reihe spezialisierter, seriöser, bewährter und vertrauenswürdiger Datenschutzberatungsunternehmen, die Organisationen mit viel Kompetenz und Sachverstand beraten. Mit dem vom Unabhängigen Landeszentrum für den Datenschutz in Schleswig-Holstein (ULD) erteilten Gütesiegel sowie dem europäischen EuroPriSe-Gütesiegel gibt es Zertifikate, die international anerkannt sind. Und auch die Auditierungsverfahren, die von renommierten Datenschutzberatungen eingesetzt werden, haben sich bewährt.

Deshalb: Augen auf bei der Wahl des Datenschutzberaters! Die Schufa mit Datenschutzaufgaben für Andere zu betrauen gleicht einer Einladung zum Hornberger Schießen – bestenfalls.

AKR

CeBit 2011 – Datenschutz

Heute am Heise-Stand: OpenID, Datenschutz und Sicherheit

Quelle: heise-online, 01.03.2011

Auch auf der CeBIT 2011 präsentiert sich der Heise Zeitschriften Verlag am traditionellen Platz in Halle 5, Stand E38 mit dem Computermagazin c’t, dem IT-Profimagazin iX, dem Wissenschaftsmagazin Technology Review und heise online. Das Rahmenprogramm besteht wieder aus Vorträgen und Vorführungen an der Rückseite des Standes.

Die Vortragsreihen beginnen täglich um 10 Uhr mit Veranstaltungen zu verschiedenen Rechtsthemen, heute zum Thema “OpenID trifft elektronischen Personalausweis – Sichere Authentisierung im Internet” mit Sebastian Feld von der FH Gelsenkirchen. Zusammen mit dem unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) stehen täglich ab 11 Uhr Vorträge zu Datenschutz und Privatsphäre auf dem Programm. Am heutigen Dienstag sprechen Henry Krasemann und Martin Rost vom ULD “Technikunterstütztes Alt-werden – Würdegewinn oder Datenschutzgau?”

Täglich ab 13 Uhr halten Forscher der Universität Hannover Vorträge, heute über den rechtlichen Schutz grafischer Benutzeroberflächen. Sebastian Schreiber betreibt täglich um 14 das traditionelle Live-Hacking und zeigt dabei, wie schnell und einfach sich Lücken ausnutzen lassen. Über “Sicherheit in virtuellen Umgebungen” spricht um 15 Uhr Nils Kaczenski von der WITstor GmbH. Es folgen noch zwei Veranstaltungen um 16 Uhr zum Thema “Bürgerbewegung in der Kommunikationsgesellschaft” und um 17 Uhr über “Rechtssichere Datenschutzhinweise für Websites und Newsletter”.