Donnerstag, 8. September 2016

Überwachungskameras in Umkleidekabinen

Im Mai diesen Jahres  hat die EU eine Grundverordnung zum Datenschutz veröffentlicht. Die Verordnung ist sehr Bürgernah und schützt die Privatheit der Bürger. Knackig und streng.

Das Bundesinnenministerium (Minister: Thomas de Maizière, CDU) hat gestern einen Entwurf für ein neues Datenschutzgesetz rausgebracht. Der Entwurf ist schockierend.

Der Entwurf legalisiert alles, was schon seit vielen Jahren verboten ist. Die Stasi war dagegen ein Witz.

Überwachungskameras überall im öffentlichen Raum. Egal ob in Schulen, auf öffentlichen Toiletten, in Umkleidekabinen von Sport- und Schwimmhallen. Unser Bundesinnenministerium möchte den gläsernen Menschen. Privatheit soll es zukünftig nicht mehr geben.

Der Bürger soll überwacht werden, mit allen Mitteln. Und alles zum Zwecke der Sicherheit. Aber das geht entschieden zu weit. Wer Freiheit für Sicherheit aufgibt, verliert am Ende beides.

Wir wollen die DDR und die Stasi nicht zurück!

Samstag, 11. Juni 2016

Fälschungssicherheit von Haken und Bestätigungs-Email

Im Datenschutz gilt das Verbotsprinzip mit Erlaubnisvorbehalt. Das bedeutet, alles ist verboten, es sei denn der Betroffene willig freiwillig und schriftlich ein.

In §4a Abs. 1 Satz 3 ist vorgegeben:
"Die Einwillig bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist."

Gängige Praxis bei Online-Geschäften ist das Hakensetzen. Das ist nach der neuen EU-Grundschutzverordnung auch erlaubt.

Als Datenbankexpertin kann ich davor nur warnen, denn natürlich kann jeder, der Zugang zur Datenbank hat, Datensätze verändern. Mit dem simplen SQL-Befehl

UPDATE kunde SET erlaubnis=TRUE;

schafft jeder auch weniger gut Ausgebildeter, in der Datenbank einzutragen, dass alle Kunden die Erlaubnis erteilt haben. Das einzige, was dafür notwendig ist, ist der Zugang zur Datenbank.

Auch üblich ist das versenden von E-Mails mit Bestätigungslinks.

Wie fälschungssicher Bestätigungslinks sind, darf ich gerade am eigenen Leib erfahren.

Ich nutze zweckgebundene E-Mail-Adressen. Ich habe eine private E-Mail-Adresse für die Kommunikation mit Freunden, eine gesonderte für meinen Blog, eine weitere für Github sowie unterschiedliche E-Mail-Adressen für unterschiedliche Geschäftszwecke.

Meine Apple-ID-Email-Adresse nutze ich ausschließlich für Geschäfte mit Apple.

Auf dieser Adresse bekam ich Android-Werbung.

Ich zeigte den Spam an und bekam zu Antwort, dass ich am 19. Dezember 2015 an einem Gewinnspiel teilgenommen hätte. Man hätte mir eine E-Mail mit einem Bestätigungslink zugesendet, den ich um 13:08 bestätigt hätte.

Eine solche E-Mail kann ich nicht finden. Es sind an dem Tag auf allen 12 E-Mail-Accounts insgesamt nur vier Nicht-Spam-Emails eingegangen.

Am 19. Dezember 2015 verbrachte ich auf Grund von Unwohlsein den ganzen Tag im Bad und im Bett und nutzte kein einziges elektronisches Gerät.

Sämtliche Protokolle meiner internetfähigen Geräte zeigen, dass ich an dem Tag nicht aktiv war. Mein Rechner war aus. Ich habe Protokolle, die Aktivitäten am 18. und am 20. Dezember zeigen, aber absolut gar nichts am 19. Dezember. Es ist von mir kein einziges Bit Traffic an dem Tag protokolliert.

Aber natürlich kann auch hier jeder, der Zugang zur Datenbank hat, einen einfachen SQL-Befehl abfeuern.

UPDATE erlaubnis SET bestaetigung=TRUE, bestaetigungszeit='2015-12-19 13:08';

Der Betroffene hat darauf keinen Einfluss. In jedem Fall sollte, bei der Umsetzung der EU-Grundschutzverordnung ins deutsche Recht, darauf geachtet werden, dass die Beweispflicht nicht beim Betroffenen liegt. Der der die Daten erhebt, sollte fälschungssicher beweisen können, dass die Einwilligung wirklich vom Betroffenen gegeben wurde.




Montag, 7. März 2016

Frauen und der Datenschutz

Der 8. März ist Weltfrauentag.

Rena Tangens hat letztes Wochenende den Bielelder Frauenpreis für ihren unermütlichen Einsatz gegen Datenkriminalität verliehen bekommen.

Wir schreiben das Jahr 2016 ...

Auch heute wieder musste ich einer Firma erklären, dass sie die Rechnungsadressen ihrer Kunden nicht dazu nutzen dürfen, den Kunden unerlaubt Werbepost in Form von Flyern und Katalogen ins Haus zu schicken. Freundlich darüber aufklären, dass das Datenmissbrauch ist, dass die Daten lediglich und ausschließlich zur Erstellung der Rechnung erhoben wurden und daher nicht zu Werbezwecken zweckentfremdet werden dürfen. Darüber aufklären, dass es kein Kavaliersdelikt ist, sondern Geldbußen von bis zu 300-Tausend Euro zur Folge hat.

Ich habe unmissverständlich darauf hinweisen müssen, dass ich vor einer Anzeige nicht zurückschrecke, wenn nicht unverzüglich damit aufgehört wird, mir Werbepost zu schicken.

Firmen, denen der Datenschutz egal ist. Firmen, die immer noch nicht verstanden haben, dass Datenschutz / Schutz der Privatsphäre grundlegendes Menschenrecht ist.

Meine Erfahrung aus dem vergangenen Jahr ist, dass vor allem Firmen mit überwiegend weiblicher Kundschaft die Unwissenheit der Kunden ausnutzen und ihre Kundendaten nicht richtig schützen. Firmen, die sogar soweit gehen, ihre Kunden (Subunternehmer) zu Datenschutzverstößen anzustiften.

Frei nach dem Motto: "Datenschutz interessiert doch keinen. Wir machen einfach. Wird schon gutgehen." Oder auch: "Wenn wir das nicht machen, ist das ja unser wirtschaftlicher bankrott".

Leider scheuen viele Frauen die Anzeige. Egal ob bei Vergewaltigung oder dem Missbrauch ihrer Telefonnummer. Meine persönliche Erfahrung ist, dass Männer viel eher Anwälte einschalten, auf ihr Recht bestehen, Anzeigen aufgeben, als Frauen.

Frauen wollen keinem Schaden. "Och, der arme Händler weiss es ja nicht besser. Wenn ich den jetzt anzeige, dann bekommt er ja ärger. Der ist doch eigentlich ganz lieb." Natürlich bekommt der Händler Ärger. Und natürlich ist der Händler nicht lieb. Wäre er lieb, würde er sich an geltendes Recht halten. Wäre es ein guter Händler, würde er die Gesetze kennen.

Frauen lassen sich auch viel leichter austricksen, wenn es um die Erschleichung von Daten geht. Eine Unterschrift für den guten Zweck, zu Gunsten von Tieren oder Kindern. Immer wieder gern genommen. Frauen fragen nicht genauer nach, wer hinter der Unterschriftenaktion steckt und was mit den Unterschriften passiert. Gewinnspiele. Dass sie damit ihre Seele verkaufen, wollen viele Frauen nicht sehen. Sie lassen sich von den Gewinnen blenden.

Noch immer werden Frauen in Firmen ausgenutzt. In vielen Branchen wird bei überwiegend weiblichen Vertrieblern noch immer Umsatzzahlen ohne Einverständnis der gesamten Belegschaft ggü. öffentlich gemacht. Noch immer werden Frauen vor gesamter Versammlung wegen zu schlechter Umsätze diskriminiert.

Mit uns Frauen kann man das ja machen. Leider können uns da auch die Männer nicht helfen. Es gibt immer wieder Männer, die hier helfen und es anzeigen wollen bzw. anzeigen. Aber sie sind nicht Betroffen. Die Behörden reagieren nur, wenn die Betroffenen selbst es anzeigen.

Frauen sind Datenschutzverstößen weit häufiger ausgesetzt als Männer. Das fängt mit irgendwelchen ungefragten Telefonnummerweitergaben in Schulen und Kindergärten an. Sie ist der Buhmann, der Nestbeschmutzer, wenn sie sich weigert oder mal Veto einlegt.

Viele Frauen berichteten mir, dass sie in ihrem Job nie eine Datenschutzbelehrung bekommen haben. Nie auf Datenschutz sensibilisiert wurden. Frauen aus Krankenhäuser. Gesundheitsdaten unterliegen dabei noch dem besonderen Schutz. Frauen in Kindergärten, in Schulen, in sozialen Einrichtungen. Frauen aus dem Vertrieb ... ok, bei Vertrieblern gibt es auch viele Männer, denen der Datenschutz völlig egal ist, solange die Umsatzzahlen stimmen.

Wie sollen Frauen, Mütter, Lehrerinnen, Erzieherinnen die Kinder auf Datenschutz senisbilisieren, wenn es nach wie vor versäumt wird, die Frauen selbst zu sensibilisieren?

Nach wie vor werden viele Frauen in Deutschland für dumm verkauft und dumm gehalten.
Wir schreiben 2016!

Meine Erfahrung ist, dass viele amerikanische und auch russische Frauen mehr Feingefühl für Datenschutz haben als deutsche Frauen.