Inhalt:

• FBI scheitert an "Signal"
• Droht Ungemach vom eigenen Messenger? Unabhängige Untersuchung des FZI hilft bei der Beurteilung
• Automatisierte Kreditablehnung - Halten sich Kreditschützer an das Gesetz?
• EU-Regierungen nehmen von Entschlüsselungsplänen Abstand
• Forschung: Auf dem Weg zum Booster

 

 

FBI scheitert an "Signal"

Eine Informationsfreiheitsanfrage der Non-Profit-Organisation 'Property of the People' in den USA hat interessante Details ans Licht der Öffentlichkeit gebracht: Nun ist dokumentiert, auf welche Messenger und in welchem Ausmaß das FBI Zugriff hat. Einiges konnte man in der Vergangenheit darüber ja vermuten - schwarz auf weiß und offiziell liegen die Angaben erst seit kurzem vor.

Damit die Wahl für den Nutzer leichter wird, gibt es eine Tabelle des FBI mit einer übersichtlichen Gegenüberstellung. Jeder Anwender kann jetzt selbst entscheiden, wie weit er die US-Behörde in seine private Kommunikation einbindet. Mancher User fühlt sich aber vielleicht sogar durch den Umstand geschmeichelt, dass sich das FBI für ihn interessiert.

Was man nicht vergessen sollte: Sobald ein Endgerät des jeweiligen Nutzers der Behörde in die Hände fällt, nützt der beste technische Geheimschutz nicht mehr. Dessen sollte man sich bewußt sein, bevor man Reisen in Länder antritt, in denen es nur einen schwachen Rechtsschutz vor behördlichen Maßnahmen gibt.

Quelle:

https://www.derstandard.at/story/2000131585109/internes-dokument-verraet-welche-daten-das-fbi-von-welchem-messenger

(1.12.2021)

 

 

Droht Ungemach vom eigenen Messenger? Unabhängige Untersuchung des FZI hilft bei der Beurteilung

Auf mehr als 300 Seiten macht das FZI mehrere Dinge deutlich:

1. Die Nutzung von Messengern, die personenbezogene Daten auch außerhalb der EU verarbeiten, wird behördlich immer genauer beobachtet und teilweise schon sanktioniert.
2. Für Unternehmen sind die verhängten Strafen weniger problematisch, als die teilweise ruinösen Schadenersatzforderungen der Betroffenen - insbesondere dann, wenn Geschäftsgeheimnisse über den Messenger aus der EU und damit aus dem juristisch geschützten Bereich hinaus gelangen.
3. Nach entsprechender Information und Aufklärung ist es zwar im Ausnahmsfall möglich, mit Zustimmung des Betroffenen den gesetzlich garantierten Schutz aufzuweichen (Art. 44-49 DSGVO, Erwägungen 104, 107, 108 und insb. 111). Sobald aber ein regelmäßiger Datenaustausch unter problematischen Bedingungen stattfindet, ist das nicht mehr gesetzlich gedeckt.

Selbstverständlich - und auch darauf weist das FZI ausdrücklich hin - können Privatpersonen mit ihren eigenen Daten umgehen, wie sie möchten. Viele Messenger aber saugen das gesamte Kontaktverzeichnis der Benützer ab und speichern es auf externen Servern. Technisch notwendig ist das nicht, es geht auch anders. Aber das Geschäftsmodell der Betreiber fußt auf dem Handel mit Daten der Nutzer.

Wird etwa WhatsApp installiert, dann werden sämliche Kontakte der betreffenden Person auf Servern gespeichert, für deren Schutz es keinerlei Garantien gibt. Wer Whatsapp benutzt, egal ob privat oder beruflich, gibt ohne Zustimmung seiner Freunde, Bekannten, Kunden und Geschäftspartner alle Kontaktdaten aus der Hand, ohne zu wissen was damit passiert. Genau da liegt das Problem und der schwerwiegende Rechtsbruch.

Je kleiner ein Unternehmen ist, desto stärker ist es auf Messenger angewiesen, die ohne hauseigene Server sicher betrieben werden können. Der Leitfaden des FZI gibt auch Laien eine gute Möglichkeit zur rechtlichen Beurteilung. Ein häufig gehörtes Argument für die Verwendung problematischer Lösungen lautet: Alle meine Kontakte sind bei XXX (Name des jeweiligen Messengers). Wie bei der Corona-Impfung wäre es wichtig, die jeweiligen Partner vom Richtigen zu überzeugen. Und im Sinne der Risikominimierung ist ohnehin für alle Unternehmen Sorgfalt bei der Beurteilung und Entscheidung dringend anzuraten.

Quelle:

https://www.fzi.de/aktuelles/news/detail/artikel/einsatz-von-messenger-diensten-in-unternehmen-rechtswissenschaftliche-studie-und-leitfaden-vorgeleg/

(11.11.2021)

 

 

Automatisierte Kreditablehnung - Halten sich Kreditschützer an das Gesetz?

Manche Kreditschutzverbände bewegen sich beim Datenschutz im Zwielicht. Einerseits verarbeiten sie höchstpersönliche Daten, deren Herkunft niemand genau kennt. Andererseits beurteilen sie die Kreditwürdigkeit von Personen und geben das Ergebnis ihrer Überlegungen an Unternehmen weiter, ohne zu deklarieren, wie das Ergebnis zustande kam. Und schließlich erfahren die Betroffenen auch nicht, wer die konkreten Empfänger der Daten sind. Am Ende entscheiden die Kreditschützer darüber, ob jemand eine Wohnung mieten, einen Handyvertrag abschließen oder einen Kredit erhalten kann. Die anfragenden Firmen übernehmen die Beurteilungen meist ungeprüft.

Genau das sollte die DSGVO unterbinden. Daher hat das Amtsgericht Wiesbaden im Rahmen eines Verfahrens diese Vorgangsweise beim EuGH anhängig gemacht und die dortige Rechtsauffassung nachgefragt. Im Kern geht es auch darum, ob nationale Gesetze die Beurteilungskriterien der Kreditwürdigkeit als Geschäftsgeheimnis schützen dürfen. Sollte der Gerichtshof das bejahen, wird es nämlich für Betroffene so gut wie unmöglich, gegen die Aberkennung der Kreditwürdigkeit vorzugehen.

Inhaltlich entfernt verwandte Fälle wurden in Österreich zugunsten der Betroffenen entschieden: Wir erinnern uns an das Desaster der Post AG, die Adressen mit Einschätzung der Parteizugehörigkeit feilbot. Und da war auch der "Jö-Bonusclub" von REWE, der in seinen "Mitgliederinformationen" verschämt darauf hinwies, dass er Profiling betreibt und die Daten gegen Bezahlung seinen Firmenkunden und Geschäftspartnern zur Verfügung stellt. In beiden Fällen hat die österreichische Datenschutzbehörde die Rechtswidrigkeit festgestellt.

Sollte der EuGH auf Unzulässigkeit der bisher üblichen Bonitätsbeurteilung entscheiden, würde das jedenfalls eine gravierende Änderung der Tätigkeit der Kreditschützer nach sich ziehen.

Quelle:

https://www.faz.net/aktuell/finanzen/vorlage-an-den-eugh-haelt-sich-die-schufa-an-die-dsgvo-17601547.html?utm_source=pocket-newtab-global-de-DE

(25.10.2021)

 

 

EU-Regierungen nehmen von Entschlüsselungsplänen Abstand

Fast ist man geneigt, vorsichtig aufzuatmen: Die EU-Innenminister dürften sich vom Plan, einen "Generalschlüssel" für elektronische Kommunikation gesetzlich zu erzwingen, diskret zurückziehen. Kurz vor dem dem Treffen in Brdo (Slowenien) Anfang November wurden die vorbereiteten Texte für die Schlusserklärungen plötzlich geändert. Aus ultimativen Forderungen wurden deutlich aufgeweichte "Kann-Bestimmungen".

Seit mehreren Jahren geistert das Gespenst eines Stasi-ähnlichen Behördenapparates durch die politischen Diskussionen auf höchster Ebene. Bei jedem größeren Gewaltverbrechen forderten die Innenminister einen vorausschauenden Zugang zu verschlüsselter Kommunikation unter dem Vorwand, nur so ließen sich derartige Verbrechen verhindern. In der überwiegenden Anzahl der Fälle stellte sich aber heraus, dass die Täter in der Regel polizeibekannt waren. Ihre Gewalttaten konnten sie deshalb verüben, weil bei der ganz gewöhnlichen Polizeiarbeit geschlampt wurde. Auch der aufsehenerregende Fall des Attentäters von Wien, der am 2. November 2020 mehrere Personen tötete und zahlreiche weitere verletzte, fällt genau in diese Kategorie.

Im Laufe der Jahre änderte sich die politische Begründung: Waren es ursprünglich eben die Gewaltverbrechen, so wechselte man etwa um das Jahr 2019 zum Kindesmissbrauch, dem angeblich nur auf diese Weise wirksam zu begegnen sei.

Techniker und Datenschützer wiesen immer wieder vehement darauf hin, dass die Möglichkeit zum Aufbrechen verschlüsselter Kommunikation selbstverständlich nicht nur von staatlichen Behörden genutzt würde. Gäbe es ein geplantes Schlupfloch für das Eindringen wären alle Bemühungen um den Datenschutz einschließlich der gültigen Gesetze mit einem Schlag praktisch wirkungslos. Wer legt schon seinen Hausschlüssel unter den Blumentopf neben der Eingangstür und stellt ein Schild dazu, "Nur zum amtlichen Gebrauch"? Abgesehen davon aber würden die technische Konzepte der heute gebräuchlichen rechtskonformen und sicheren Messenger den Einbau eines "Generalschlüssels" aus gutem Grund gar nicht zulassen. Und zu allem Überfluss stünden die Bestrebungen der Innenminister auch in diametralem Gegensatz zur ständigen Rechtsprechung des EuGH.

Vielleicht hat die heftige Kritik den Politikern vor Augen geführt, dass ihr Vorhaben nicht nur ethisch fragwürdig, sondern sogar gegen ihre eigenen Interessen gerichtet ist. Es ist nämlich schwer vorstellbar, dass ein strammer Innenminister den Inhalt seiner Nachrichten mit Kriminellen teilen will, die den offiziellen Zugang zur Entschlüsselung seines Messengers aus dunklen Kanälen erhalten haben.

Quelle:

https://fm4.orf.at/stories/3019400/

(11.11.2021)

 

 

Forschung: Auf dem Weg zum Booster

Forscher und Wirtschaft weisen schon lange darauf hin: Es gibt unglaublich viele Daten, vorallem bei der öffentlichen Verwaltung, deren wissenschaftliche Verwertung höchst erfolgversprechend wäre. Gezeigt hat sich das zuletzt auch bei den Forschungsvorhaben im Rahmen der Pandemiebekämpfung.

Das große Hindernis dabei ist, dass die interessanten Datenbestände meist aus personenbezogenen Daten bestehen, die aufgrund des gesetzlichen Schutzes nicht einfach weitergegeben werden können. Die notwendige Anonymisierung und Feilbietung auf speziellen Plattformen aber benötigt einen gesetzlichen Auftrag. Anders ist der zusätzliche Aufwand nicht gerechtfertigt.

Das Europaparlament und die EU-Staaten haben nach ausführlichen Diskussionen jetzt den Entwurf zum Daten-Governance-Gesetz (DGA) fertig gestellt. Damit wird einerseits der Schutz personenbezogener Daten wie bisher gewährleistet, andererseits erhält die Forschung und die Wirtschaft Zugang zu statistischen Informationen, die ihnen bisher verschlossen waren. Die Zustimmung des EU-Rates und der Vollversammlung des EU-Parlaments gilt als reine Formsache.

Quellen:

https://orf.at//stories/3238538/

(1.12.2021)

https://www.derstandard.at/story/2000131563377/eu-parlament-und-mitgliedstaaten-erzielten-einigung-zu-daten-gesetz

(1.12.2021)