Big Brother Awards, Informationssicherheit, Datenschutz, der Mensch

Vie­le haben schon von ihnen gehört, aber kei­ne kon­kre­te Vor­stel­lung. Die Big Bro­ther Awards sind eine inter­na­tio­na­le Aus­zeich­nung, die in Deutsch­land gestar­tet und bereits in 19 Län­dern ver­lie­hen wur­de.  Sie wird vom  Digi­tal­cou­ra­ge e.V., einem Ver­ein u.a. für Daten­schutz und Infor­ma­ti­ons­frei­heit seit dem Jahr 2000 jähr­lich aus­ge­rich­tet. Als Nega­tiv­preis zeich­net Ein­rich­tun­gen und Per­so­nen aus, die Pri­vat­sphä­re und Daten­schutz in her­aus­ra­gen­der Wei­se igno­rie­ren und kompromittieren. 

Tra­di­tio­nell fin­den die Big Bro­ther Awards im Stadt­thea­ter Bie­le­feld statt. Die für die­sen Monat — am 30.04.2020 — geplan­te Preis­ver­lei­hung wird aus aktu­el­lem Anlass ver­scho­ben und der Ersatz­ter­min neu bekannt gegeben. 

Umset­zung der Big Bro­ther Awards 

Wer­den etwa Daten ent­ge­gen der ursprüng­li­chen Moti­va­ti­on ihrer Erhe­bung ver­wen­det und gar gehan­delt, so liegt regel­mä­ßig das Feh­len einer Zweck­bin­dung und einer Rechts­grund­la­ge vor, zwei der ele­men­ta­ren For­de­run­gen des gel­ten­den euro­päi­schen Daten­schutz­rechts

Ein Ziel der Aus­zeich­nung ist das Publik­ma­chen von rechts­wid­ri­gen Ambi­tio­nen und Hand­lun­gen, wel­che die Infor­ma­ti­ons­si­cher­heit im wei­te­ren Sin­ne und demo­kra­ti­sche Kri­te­ri­en fahr­läs­sig oder vor­sätz­lich belas­ten. Damit möch­ten die Preis­ver­lei­her die Ver­ur­sa­cher unter Druck set­zen und damit zur Trans­pa­renz ver­an­las­sen. Die vor­aus­sicht­lich von den Preis­trä­gern uner­wünsch­ten Schlag­zei­len sind dabei offi­zi­ell erwünsch­tes Resul­tat der Ver­lei­hung der Big Bro­ther Awards. 

Die Jury hier­zu­lan­de setzt sich aus Ver­tre­tern der Digi­tal­cou­ra­ge e.V., der Deut­schen Ver­ei­ni­gung für Daten­schutz  (DVD), des Forums Infor­ma­ti­ke­rIn­nen für Frie­den und gesell­schaft­li­che Ver­ant­wor­tung  (FIfF), des För­der­ver­eins Infor­ma­ti­ons­tech­nik und Gesell­schaft  (Fitug), des Cha­os Com­pu­ter Clubs  (CCC), der Huma­nis­ti­schen Uni­on  (HU) und der Inter­na­tio­na­len Liga für Men­schen­rech­te  (ILMR) zusam­men. Bei die­sen Orga­ni­sa­tio­nen han­delt es sich nicht — wie ger­ne kol­por­tiert — um (Cyber-) Kri­mi­nel­le, son­dern um Ein­rich­tun­gen, die sich für den Schutz und die Kul­ti­vie­rung die­ser gesetz­lich vor­ge­schrie­be­nen Rech­te ver­pflich­ten. Sehen Sie selbst: 

Preis­trä­ger des vori­gen Jahres 

  • In der Kate­go­rie Tech­nik ging der Big Bro­ther Award 2019 an das Euro­päi­sche Insti­tut für Tele­kom­mu­ni­ka­ti­ons­nor­men (ETSI), Abtei­lung „Tech­ni­cal Com­mit­tee CYBER“. Dies betraf For­schun­gen zu einem neu­en geplan­ten Stan­dard „ETS“ (vor­mals “eTLS”) für eine Soll­bruch­stel­le in der Ver­schlüs­se­lung im Inter­net, der es staat­li­chen Behör­den erlaubt, Online­ver­bin­dun­gen zu ent­schlüs­seln. Wäh­rend vie­ler­orts Gerä­te­her­stel­ler die Soll­bruch­stel­le aus­bau­en, forscht man hier an der fina­len Besei­ti­gung von Daten­schutz und Grund­rech­ten aus der Digi­ta­li­sie­rung. Eine wohl­ver­dien­te Preis­ver­lei­hung für den größ­ten bevor­ste­hen­den Rück­schritt der BRD. 
  • In der Kate­go­rie Ver­brau­cher­schutz — „ZEIT“. Das Online-Modul der Zei­tung hat für das so hei­mat­lich und auf­recht klin­gen­de Pro­jekt „Deutsch­land spricht“ Goog­le-Diens­te ein­ge­setzt, über die poli­ti­sche Ansich­ten der „spre­chen­den Deut­schen“ an Ser­ver in den USA über­mit­telt wur­den. Das Nach­fol­ge­pro­jekt von „Deutsch­land spricht“ ließ sich die Zeit anschlie­ßend gleich von Goog­le direkt finan­zie­ren. Eine ech­te Arbeit „am Bür­ger“. Dass „Zeit Online“ zudem Wer­be­tra­cker und Face­book-Pixel ein­setz­te, trug eben­falls zur Preis­ver­lei­hung bei. 
  • Ein beson­de­res Schman­kerl der bereits impli­zit poten­zi­ell rechts­wid­ri­gen Über­wa­chung ist Palan­tir. Der zuge­hö­ri­ge Preis­trä­ger des Big Bro­ther Awards in der Kate­go­rie Behör­den & Ver­wal­tung — der hes­si­sche Innen­mi­nis­ter Peter Beuth. Unter sei­ner Feder­füh­rung kam man mit dem auch bei der CIA geschätz­ten US-Unter­neh­men Palan­tir ins Geschäft. Ein­ge­setzt wird seit­her deren Ana­ly­se­soft­ware mit zuge­hö­ri­gem Zugriff des Unter­neh­mens auf umfang­rei­che Daten­be­stän­de der hes­si­schen Poli­zei von den USA aus. Hof­fent­lich hat man auch an den AV-Ver­trag gedacht 🙂 Die Soft­ware erlaubt es, Mas­sen­da­ten aus exter­nen sowie Poli­zei­quel­len auto­ma­ti­siert zu ana­ly­sie­ren und nach eigens defi­nier­ba­ren Kri­te­ri­en aus­zu­wer­ten. Die DSGVO spricht bei sol­chen Ver­ar­bei­tun­gen u.a. direkt vom Pro­filing und knüpft mit Art. 22 hier­an stren­ge Kri­te­ri­en. Die­ses natur­ge­mäß nur in den Hän­den pro­fes­sio­nel­ler Infor­ma­ti­ker kon­trol­lier­ba­re Instru­ment dürf­te in der all­täg­li­chen Anwen­dung durch mehr oder weni­ger geschul­te Sach­be­ar­bei­ter Aus­wir­kun­gen auf die fak­ti­sche Exis­tenz von Grund­rech­ten, Daten­schutz und Infor­ma­ti­ons­si­cher­heit gene­rell haben. 
  • In Sachen Bio­tech­nik ging der Big Bro­ther Award 2019 an die weit ver­brei­tet bekann­te Fir­ma Ances​try​.com. Per­so­nen, die Fami­li­en­for­schung betrei­ben woll­ten, wur­den auf­ge­for­dert, ihre Spei­chel­pro­ben ein­zu­sen­den. Die dar­aus gewon­ne­nen Gen-Daten wur­den anschlie­ßend von Ances­try an die kom­mer­zi­el­le Phar­ma­for­schung ver­kauft, u.a. Grund­la­ge ver­deck­ter Vater­schafts­test und für poli­zei­li­che gene­ti­sche Rasterungen. 
  • Der Big Bro­ther Award 2019 in der Kate­go­rie Kom­mu­ni­ka­ti­on ging an die Fir­ma Pre­ci­re mit ihrer Sprach­ana­ly­se-Soft­ware, die Aus­wahl von Bewer­bern und die Ana­ly­se der Emo­tio­nen von Anru­fern ermöglicht. 

Wei­te­re Stel­lung­nah­men, Inhal­te und die voll­stän­di­ge Sen­dung Preis­ver­lei­hung 2019 fin­den Sie auf der Web­site der Big Bro­ther Awards. 

Mann mit Lupe - Unter Beobachtung

Die RP Online mel­det letz­te Woche, dass es nach eige­nen Tests nach wie vor gro­ße Sicher­heits­lü­cken bei der Gesund­heits­kar­te gibt. Pati­en­ten­da­ten sind nach wie vor nicht sicher, hat deren Über­prü­fung erge­ben. Die Redak­ti­on konn­te mit weni­gen Maus­klicks und eini­gen Anru­fen bei der für den Test aus­ge­wähl­ten Bar­mer GEK ohne Pro­ble­me, Infor­ma­tio­nen über Arzt­be­su­che und Medi­ka­men­ta­tio­nen abfragen.

Wie RP Online berich­tet, ist dies bereits der fünf­te Fall in den letz­ten 20 Mona­ten, in dem es durch das ein­fach struk­tu­rier­te Anmel­de-Ver­fah­ren zu den Online-Ser­vices der Kran­ken­kas­sen (dar­un­ter neben der Bar­mer GEK auch die AOK) zum voll­stän­di­gen Zugriff auf das Ver­si­cher­ten-Pro­fil kom­men kann. Was dazu nötig ist? Es rei­chen Name, Geburts­da­tum, Ver­si­cher­ten­num­mer, eine neu auf den Namen des Ver­si­cher­ten aus­ge­stell­te Email-Adres­se bei einem belie­bi­gen Anbie­ter sowie ein Tele­fo­nat mit der Versicherung.

Doch das ist nicht neu. Bereits 2014 wur­de die­se Vor­ge­hens­wei­se als Schwach­stel­le auf­ge­deckt, die Kran­ken­kas­sen infor­miert. 2015 war der Vor­gang immer noch nach­voll­zieh­bar (sie­he ZDF Videobei­trag). Getan hat sich seit­her wenig bis nichts. Daher ist auch die Bun­des­da­ten­schutz­be­auf­trag­te, Andrea Voß­hoff “not amu­sed”.

 

Gera­de per­so­na­li­sier­te Wer­bung ist nach wie vor ein bewähr­tes Mit­tel, um Kun­den zu gewin­nen. In den let­zten Jah­re wur­den die Aufla­gen  immer stren­ger. Zumeist als Reak­ti­on auf aus­ufern­de Miß­ach­tung bestehen­der gesetz­li­cher Rege­lun­gen durch die Werbetreibenden.

Mit dem Gesetz gegen den unlau­te­ren Wet­tbe­werb (UWG) und den Bes­tim­mungen aus dem Bun­des­daten­schutzge­setz (BDSG) gilt es eini­ges zu beach­ten. Nicht nur, um sich nicht den Unmut der poten­tiellen Käu­fer zuzu­zie­hen, weil deren Rech­te nicht beach­tet wur­den. Die Auf­merk­sam­keit der Lan­des­da­ten­schutz­be­hör­den soll­te man eben­falls zukünf­tig nicht erre­gen. Von dro­hen­den Abmah­n­risiken mal ganz zu schweigen.

Da ist es auch wenig tröst­lich, dass dies nur auf eini­ge schwar­ze Scha­fe unter den Wer­be­treiben­den zurück­zuführen ist. Lei­den müs­sen dar­un­ter alle, die auf Wer­bung ange­wie­sen sind.

Zu allem Über­fluss haben die Daten­schutzbe­hör­den das The­ma nun auch für sich entdeckt!

Es bleibt nicht unbemerkt

Recht­li­che Ver­stö­ße blei­ben nicht unbe­merkt. Denn selbst wenn sich der Betrof­fe­ne nicht direkt bei dem Wer­be­trei­ben­den mel­det, so bleibt immer noch der Weg zur zustän­di­gen Lan­des­da­ten­schutz­be­hör­de offen. Und die­ser Weg wird auch beschritten.

In einer Pressemit­teilung vom 25.11.2014 des Bay­erischen Lan­desamt für Daten­schutza­uf­sicht heisst es:

“Im Jahr 2013 gin­gen beim BayL­DA zum The­ma unzuläs­sige Wer­bung 162 und im Jahr 2014 bis­her 149 Ein­ga­ben und Beschw­er­den ein. Mehr als zwei Drit­tel die­ser Beschw­er­den stell­ten sich nach Über­prü­fung durch das BayL­DA als begrün­det, d.h. als Daten­schutzver­stoß heraus.”

Feh­len­de oder feh­ler­haf­te Einwilligung

Im Tele­fon­mar­ket­ing wur­den das feh­len­de Vor­liegen einer gülti­gen Ein­willi­gung oder auch die Ruf­num­mern­un­ter­drü­ckung als Grund für das Ein­schrei­ten der Schutz­be­hör­de auf­ge­führt. Eine recht­skon­forme Ein­willi­gung ist jedoch eben­falls Voraus­set­zung für Werbe­maß­nah­men per Email oder SMS.

Oft kon­nten die ange­blich vor­liegen­den Ein­willi­gun­gen  durch das betrof­fene Unter­neh­men nicht schlüs­sig belegt wer­den. Postal­is­che Wer­bung ist weni­ger gro­ßen Aufla­gen unter­wor­den. Jedoch darf der Wider­ruf­sh­in­weis hier (auch) nicht fehlen.

Die unzuäs­sige Nut­zung von Email-Adres­sen und Tele­fon­num­mern für elek­tro­n­is­che Wer­bung sowie die Post­wer­bung trotz aus­drück­lich erk­lärtem Wer­be­wider­spruch stel­len Tat­be­stän­de dar, die mit einem Buß­geld von bis zu 300.000,00 EUR geah­n­det wer­den kön­nen. Und da  hat das UWG sich noch gar nicht mit sei­nen Kon­se­quen­zen zu Wort gemeldet.

Frü­her oder spä­ter krie­gen wir euch

So denkt es sich auch das BayL­DA im Ver­bund mit den übri­gen Lan­des­daten­schutzbe­hör­den. Es heißt in der Pressemit­teilung weiter:

“Nach­dem trotz inten­siver Infor­ma­tion­sar­beit durch alle Daten­schutza­uf­sichts­be­hör­den […] und auch guten Hin­weisen aus den Ver­bän­den der Wer­be­wirtschaft selbst die Zahl der begrün­de­ten Ein­ga­ben und Beschw­er­den wegen unzuläs­siger Wer­bung nicht zurück­ge­gan­gen ist, wird das BayL­DA die in der let­zten Zeit eher zurück­hal­tende Pra­xis der Ahn­dung die­ser Ver­stöße durch Bußgeld­ver­fahren auf­ge­ben und schw­er­punk­t­mäßig in der näch­sten Zeit die „Mis­sach­tung von Wer­be­wider­sprüchen“ und die unzuläs­sige „E‑Mail-Wer­bung zur Neukun­dengewin­nung“ mit Buß­gel­dern sanktionieren.”

Inter­es­sant ist der abschlie­ßen­de Aspekt die­ses State­ments, auf die üblicher­weise vorge­zo­ge­nen Aufla­gen zu Gun­sten von Buß­gel­dern zu ver­zich­ten. Die Behör­de wird bei dem The­ma also kei­nen Spaß mehr ver­ste­hen, hat es den Anschein.

Hil­festel­lung zum recht­skon­for­men Ein­satz per­so­n­en­be­zo­gener Daten gibt das BayL­DA in einem PDF Doku­ment schon seit ger­aumer Zeit (Anwen­dung­sh­in­weise zur Erhe­bung, Ver­ar­beitung und Nut­zung von per­so­n­en­be­zo­ge­nen Daten für werb­li­che Zwe­cke).

Sie kön­nen aber auch ein­fach Ihren Daten­schutzbeauf­tragten fra­gen. Die­ser hilft Ihnen auch beim Erstel­len rechts­gültiger Ein­willi­gun­gen. Unan­genehm ist näm­lich, dass Sie alle Daten löschen müs­sen, die Sie über eine ungül­ti­ge (also fehler­haft for­mulierte und gestal­tete) Ein­willi­gung an sich genom­men haben. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Spre­chen Sie uns an

Neu­er Online Check nicht iden­tisch mit BSI

Bereits zwei Mal die­ses Jahr stell­te das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik ein Online Prüf-Tool zur Ver­fü­gung. Mit­tels die­ses Tools konn­ten Nut­zer tes­ten, inwie­weit ihre Email-Adresse(n) in Ver­bin­dung mit Web­log­ins bereits aktiv miß­braucht wurde(n). Mil­lio­nen Anwen­der haben die­ses Tool bis­her genutzt.

Eine etwas ande­re Daten­ba­sis bie­tet nun das HPI der Uni­ver­si­tät Pots­dam. Deren Tool prüft ein­schlä­gi­ge Foren und Boards, ob dort Email-Adres­se und /​ oder wei­te­re per­so­nen­be­zo­ge­ne Anga­ben inklu­si­ve Pass­wort öffent­lich zum Miß­brauch zur Ver­fü­gung gestellt wer­den. Zur Zeit umfasst die Daten­bank 171 Mil­lio­nen Einträge.

Nach Ein­ga­be einer Email-Adres­se erhält der Nut­zer zeit­nah eine Email mit genau­er Anga­be der kom­pro­mit­tier­ten Daten. Wenn kein Ein­trag gefun­den wur­de, wird kei­ne Email ver­sandt. Das bedeu­tet jedoch nicht, dass die­se Daten nicht ander­wei­tig bekannt sind und miß­braucht werden.

Top 10 der unsi­che­ren Passwörter

Obwohl die Tat­sa­che hin­läng­lich bekannt ist, wie ein eini­ger­ma­ßen siche­res Pass­wort aus­se­hen soll­te, fin­den sich in der Top 10 der Sta­tis­tik alte Bekann­te wie “123456”, “pass­word” und “qwertz” wie­der. Details über unsi­che­re Pass­wör­ter und Hil­fe­stel­lun­gen zu merk­ba­ren siche­ren Pass­wör­tern fin­den Sie hier im a.s.k. Daten­schutz-Blog

Zum Online Check des HPI: https://​sec​.hpi​.uni​-pots​dam​.de/​l​e​a​k​-​c​h​e​c​k​e​r​/​s​e​a​rch

Es lohnt sich, nicht nur alle pri­va­ten Email Adres­sen zu prü­fen, son­dern auch die geschäft­li­chen Daten einzubeziehen.

Erneut haben Hacker Email­adres­sen und dazu­ge­hö­ri­ge Pass­wör­ter geknackt. Die­ses Mal sind cir­ka 18 Mil­lio­nen Daten­sät­ze, dar­un­ter unge­fähr 3 Mil­lio­nen deut­sche Nut­zer betrof­fen sein.

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik BSI hat erneut eine Web­sei­te zur kom­for­ta­blen Online-Prü­fung ins Netz gestellt. Den Online Test fin­den Sie unter

Auf die­ser Web­sei­te fin­den Sie unter “Häu­fi­ge Fra­gen” wei­te­re Hin­ter­grund­in­for­ma­tio­nen, Tipps zur Absi­che­rung Ihrer IT Gerä­te, der Aus­wahl eines siche­ren Pass­worts sowie Anlei­tun­gen zum Ändern und /​ oder Zurück­set­zen Ihrer Pass­wör­ter bei zahl­rei­chen betrof­fe­nen Webmail-Anbietern.

Betrof­fe­ne Nut­zer der Unter­neh­men Deut­sche Tele­kom /​ T‑Online, Free­n­et, gmx​.de, Kabel Deutsch­land, Voda­fone, und web​.de wer­den direkt über die­se Dienst­leis­ter im Rah­men ihrer bestehen­den Kun­den­be­zie­hun­gen infor­miert, wenn Sie betrof­fen sind. Für alle ande­ren emp­fiehlt sich der Online Test.