datenschutz
Datenschutz als Verhinderung
die Zeit schreibt über das Thema “predictive policing“:
In Kalifornien berechnet die Polizei voraus, wo Verbrechen geschehen werden und wartet dort auf Kriminelle. In Deutschland wäre das verfassungsrechtlich bedenklich. Das statistische Modell wurde eigentlich entwickelt, um vorhersagen zu können, wo es nach einem Erdbeben zu Nachbeben kommen wird. Die Polizei bestückt das Programm nun täglich mit Statistiken über Verbrechen und Verbrecher. Die Software sucht anschließend darin nach Mustern, die immer wieder auftreten. Der hohe Aktualisierungsgrad macht die Vorhersagen über Zeitpunkt und Tatort kommender krimineller Akte sehr viel zuverlässiger als früher.
Doch hat das System selbstverständlich eine Kehrseite: Wenn auch unschuldige Menschen das Gefühl haben, dass sie sich in einer Umwelt bewegen, in der ihr Verhalten vorausberechnet wird, dann hat dieses Wissen höchstwahrscheinlich Auswirkungen auf ihr Verhalten. Sie werden sich also anders benehmen, als wenn sie unbeobachtet wären – wären also nicht mehr frei in ihrer Entscheidung. In Deutschland zumindest wäre das verfassungsrechtlich bedenklich.
Zur Erinnerung: Das Bundesverfassungsgericht hat die Vorratsdatenspeicherung in seinem Urteil vom 2. März 2010auch deshalb für grundgesetzwidrig erklärt, weil “die anlasslose Speicherung von Telekommunikationsverkehrsdaten geeignet” sei, “ein diffus bedrohliches Gefühl des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen kann. ”
Ein solches “diffuses Gefühl des Beobachtetseins” könnte sich auch einstellen, wenn man befürchtet, verdächtigt zu werden, nur weil man aus irgendeinem Grund in Gebieten mit hoher Kriminalitätswahrscheinlichkeit unterwegs ist. Dann meidet man diese Gebiete künftig möglicherweise lieber, selbst wenn man sich nichts hat zu Schulden kommen lassen. Dazu muss man nicht einmal wissen, ob ein Gebiet wirklich ein Ort häufiger Verbrechen ist – für das subjektive Empfinden reicht es, wenn man nur glaubt, an einem solchen Ort zu sein.
Hier werden in meinen Augen zwei Themen verbunden, die nicht zusammengehören. Gestützt wird das mit einem Zitat von Udo Vetter, Betreiber des Lawblog: “Der nächste Schritt dürfte sein, dass auch personenbezogene Daten einbezogen werden, also zum Beispiel die Wohnorte von Verurteilten, möglicherweise sogar Wohn- und Aufenthaltsorte von Personen, gegen die Ermittlungen laufen. Oder Daten aus der Sozialstatistik wie Einkommen, Renten und Arbeitslosigkeit.” Danach kommt auch der Brückenschlag zum Bonitätsscoring.
Ich denke, dass man in diesem Fall deutlich trennen muss. Das eine ist die Statistikauswertung. Das ist das, was früher der Schutzmann von der Ecke ganz von selbst machte. Er wusste, an welchen Stellen sich die Drogenabhängigen treffen, wo es nachts gerne mal eine Kneipenschlägerei gibt und auf welchem Flohmarkt die Hehlerware auftaucht. Hier gibt es per se keinen Personenbezug. Ausgewertet werden Daten zu Orten und Orte haben kein Persönlichkeitsrecht! Ein Beispiel für solche Auswertungen ist die Straßenverkehrsunfallstatistik. Die dort ermittelten Unfallschwerpunkte werden baulich oder durch verstärkte Kontrollen der Polizei zu entschärfen versucht .
Etwas anderes ist die “Rasterfahndung”. Hier werden keine Orte klassifiziert, sondern Personen. Die Personen, die in der Rasterfahndung sind, können ein ernst zu nehmendes Problem bekommen, deswegen ist diese Fahndungsmethode gesetzlich streng reglementiert. Das prominenteste Beispiel für eine beinahe erfolgreiche Rasterfahndung war die Schleyer-Entführung: eines der Verstecke entsprach genau den Raster-Kriterien an Raum und Person. Das Problem war nur, dass der entscheidende (zutreffende) Hinweis in der riesigen Datenmenge unterging.
Mini-Update: Heise-Online mit einem Bericht zu dem Thema
Bildrechte: (c) Andreas Morlok / pixelio.de
Genauso interessant:
0
Staatliches Inkasso by Infoscore
Es wird immer wieder gerne diskutiert, wer der bessere Geldeintreiber ist: Das Inkassobüro oder der Anwalt. Die Inkassobüros versuchen es traditionell es gerne mit dem “lästigen” Weg. Viele Mahnungen, gerne auch mal Anrufe oder Hausbesuche. Der Anwalt mahnt außergerichtlich und kümmert sich dann um die gerichtliche Titulierung und Vollstreckung.
Der Staat ist bei der Frage eigentlich aussen vor. Öffentlich-rechtliche Forderungen werden “beigetrieben”(§ 13 Landesverwaltungsvollstreckungsgesetz – LVwVG BW). Dafür braucht man weder einen Mahnbescheid, Vollstreckungsbescheid oder eine vollstreckbare Ausfertigung des Urteils. Den “Titel” produziert die Behörde einfach selbst. Sie braucht auch keinen Gerichtsvollzieher sondern kann eigene Vollziehungsbeamte beschäftigen, die sich um die Mobiliarpfändung kümmern. Wenn Gerichtsvollzieher beauftragt werden gilt meist Kostenfreiheit. Pfändungs- und Überweisungsbeschlüsse werden auch nicht vom Gericht gemacht, sondern als Bescheid von der Behörde verschickt…
Ach ja, die Möglichkeiten sich zu wehren sind recht knapp – schließlich haben Widerspruch und Anfechtungsklage gegen Vollstreckungsmaßnahmen keine aufschiebende Wirkung (§ 12 LVwVG BW). D.h. auch während der Grundverwaltungsakt noch in der gerichtlichen Überprüfung ist, kann schon vollstreckt werden…
Das ist vermutlich der Traum jedes Gläubigers, der lange auf Antworten vom Vollstreckungsgericht wartet oder dank sinnloser und lediglich auf Zeitgewinn gerichteter Rechtsmittel noch etwas länger auf sein Geld warten muss – im Zweifel bis zur Insolvenz.
Das Land Baden-Würtemberg entwickelt sich gerade in die andere Richtung. Statt der Justizbeitreibung durch die eigene Landesoberkasse soll versucht werden, sich künftig eines Inkassobüros zu bedienen. Den Zuschlag hat die Fa. Infoscore Forderungsmanagement GmbH (IFM) aus Baden-Baden bekommen.
Der Auftrag für Infoscore wirft natürlich eine Frage auf: Dürfen die das? Die Antwort darauf ist erstmal “ja”, da es mit § 9 a Abs. 4-7 Landesjustizkostengesetz eine eindeutige Rechtsgrundlage gibt. Diese geht den allgemeinen datenschutzrechtlichen Regelungen vor (nach denen die Übermittlung von Schuldnerdaten von einer Behörde an ein Inkassobüro vermutlich nicht zulässig wäre) vor.
Diese Regelung enthält auch Vorgaben, was zur Wahrung des Datenschutzes zu gewährleisten ist. Insbesondere muss vor der Abgabe an das Inkassobüro der Schuldner die Möglichkeit gegeben werden, dies durch Zahlung abzuwenden. Dies wirft bei mir doch etliche Fragen auf:
- Von der Unterrichtung kann bei unverhältnissmäßigem Aufwand abgesehen werden? Da zuerst Altforderungen bearbeitet werden sollen, ist davon auszugehen, dass etliche Adressen veraltet sind. Ist dann bereits die Nachforschung schon unverhältnismäßiger Aufwand? Insbesondere da weiter oben im Gesetztestext steht, dass man private Dienstleister zur Adressrecherche einsetzen will.
- Reicht es aus, dass der Hinweis im Kleingedruckten der Rechnung / der Mahnung steht? Es fehlt der sonst im Datenschutzrecht nicht unübliche Hinweis, dass die Information gesondert oder optisch hervorgehoben erfolgen muss.
Die Firma Infoscore bekommt damit übrigens nicht die Rechte der Behörde, es können also lediglich nette/weniger nette Briefe verschickt werden. Der Auftrag an den Gerichtsvollziehr muss dann wieder von der Landesoberkasse kommen. Die Informationen, die Infoscore bekommen kann sind jedoch recht umfangreich:
- Name, Anschrift und Geburtsdatum des Schuldners
- die zur Kennzeichnung der Forderung erforderlichen Angaben (Betrag der Haupt- und Nebenforderung, anordnende Stelle, Geschäftsnummer, Bezeichnung der Sache und Kassenzeichen der Vollstreckungsbehörde)
- Informationen über bisherige Beitreibungsmaßnahmen, soweit dies zur Beitreibung der Forderung erforderlich ist.
Die Hervorhebung von mir kennzeichnet, dass Infoscore erfährt, welche Art von Gerichtskosten da beigetrieben werden. D.h. die Mitarbeiter dort wissen z.B., dass Herr Brause ein Strafverfahren hatte. Diese Informationen werden durch eine “schriftliche Verpflichtung des Unternehmens” geschützt. Ob dieses eine Sanktion (z.B. Vertragsstrafe für Infoscore) beinhaltet, ist mir nicht bekannt. Bekannt ist hingegen die Sanktion, wenn ein Behördenmitarbeiter solche Informationen ausplaudert: Freiheitsstrafe bis zu einem Jahr oder Geldstrafe (§ 203 StGB).
Kleine Fußnote am Ende: Der Landesjustizminister, zu dessen Zeiten das eingeführt wurde, war Ullrich Goll von der FDP, einer Partei, die den Schutz der Privatsphäre bisher hochgehalten hat – scheinbar nicht für Mittellose?
Genauso interessant:
0Datenschutz ./. Facebook [Update]
Das ULD hat am Freitag mit der Veröffentlichung einer martialischen Ankündigung das Thema im Netz für das Wochenende gesetzt (beim ersten Entwurf des Artikels gab es bereits acht entsprechende Blogeinträge bei jurablogs.com). Im Kern werden Websitebetreiber darauf hingewiesen, dass sie für die Datenschutzprobleme, die durch die Verbindung der eigenen Webseite mit Facebook entstehen, verantwortlich sind. Insbesondere werden die Websitebetreiber direkt mit einem Bußgeld bedroht!
Die Grunddiskussion ist alt: Facebook ist mit europäischem Datenschutzrecht nicht vereinbar. Während Google sich bemüht, den Datenschützern entgegenzukommen, ist Facebook auf diesem Ohr taub. Der Gedanke des ULD ist, sich an denjenigen zu halten, auf den man auch tatsächlich Druck ausüben kann –und das sind die Websitebetreiber in Deutschland.
Bei aller öffentlichen Empörung kann ich mir vorstellen, dass das ULD damit tatsächlich durchkommen kann:
- Wir leben in einem Rechtsstaat. D.h. bei allem Lamentieren über das veraltete Datenschutzrecht und die Inkompatibilität der Rechtslage mit den modernen Techniken müssen sich Behörden und Gerichte in Deutschland an dieses geltende Recht halten. Auch wenn manche davon ganz überrascht sind.
- Im Bußgeldbereich ist immer auch das Verschulden zu prüfen. Da die Probleme rund um Facebook in der Öffentlichkeit immer wieder und sehr ausdauernd diskutiert wurden, müsste inzwischen jedem Websitebetreiber klar sein, dass da etwas nicht rechtens ist.
- Der für mich interessanteste Teil ist jedoch, dass der Websitebetreiber, der einen “like”-Button einbaut, auch von den Daten profitiert.
- In der Presseinformation wurden ausdrücklich Behörden und Webseiten nach dem Telemediengesetz erwähnt. Gerade bei den großen Telemedien kann man Facebook ziemlich weh tun. Natürlich bringt Facebook den Telemedien viele Besucher und Netzwerkfunktionen, die eine einzelne Seite nicht aufbauen kann. Auf der anderen Seite lebt Facebook von dem Content, der von den Nutzern und den vernetzten Seiten beigesteuert wird.
- Während man bei den angemeldeten Facebooknutzern eventuell noch von einer datenschutzrechtlichen Einwilligung ausgehen kann, fehlt diese auf jeden Fall bei den nicht Facebooknutzern. Facebook sammelt und wertet aber auch Daten dieser Nutzer aus.
Eine informative Analyse bei Telemedicus hat das schöne Fazit “Das Dilemma des Netzes”. Ich persönlich bin ja froh, dass auf dieser Seite bei Facebook Social-Plugin integriert ist. Deswegen kann ich mir in Ruhe Popcorn holen und zusehen, ob diese Diskussion das Datenschutzrecht in Deutschland weiterbringt – oder ob Facebook ein bisschen datenschützender wird.
Update: Das “U” in ULD steht übrignds für “unabhängiges”, insoweit hat die S-H-Landesregierung auch eine andere Sichtweise:
Die Staatskanzlei Schleswig-Holstein will sich dafür einsetzen, dass Verwaltungen das soziale Netzwerk Facebook weiterhin als Instrument für die Bürgerbeteiligung einsetzen können. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte alle Stellen im Land aufgefordert, ihre Facebook-Fanpages umgehend zu deaktivieren.
Das soziale Netzwerk Facebook ist für die schleswig-holsteinische Landesregierung ein wichtiges Instrument zur Bürgerbeteiligung. „Politische Kommunikation findet heute auch im Internet statt. Daran wollen und werden wir auch in Zukunft festhalten“, erklärte der Chef der Staatskanzlei, Staatssekretär Arne Wulff. „Dieses gemeinsame Gespräch führen wir gerne. Gewünscht hätte ich mir allerdings, wenn wir das vor einer öffentlichen Diskussion getan hätten“, so Wulff. (bs)
Genauso interessant:
1Datenschutz als Buzzword – Über Radiergummis und Sand im Getriebe
Der digitale Radiergummi sollte Datenschutz zum Produkt “Made in Germany” machen. Passend zum politischen Begleitfeuerwerk gibt es ein Produkt unter dem vielsagenden Namen “X-Pire”. An Kritik wurde bereits bei der Vorankündigung nicht gespart. Statt der deutschen Wertarbeit gab es Schlangenöl zu einem ordentlichen Preis.
Soviel zur Funktionsweise:
Weil man nicht kontrollieren kann/will, wo das Bild rumgereicht wird, hält man nicht das Bild unter Verschluss, sondern einen kryptographischen Schlüssel. Wenn man alle Kopien des Bildes wieder einsammeln will, reicht es, den Schlüssel einzukassieren und alle sehen nur noch Schrott.
Soweit die schöne Theorie. In der Praxis funktioniert das natürlich nicht, weil PC’s offene System sind. Ich kann also einfach eine Kopie des Bildes in entschlüsselter Form machen, oder einen Screenshot oder mit der Digitalkamera den Bildschirm fotografieren… Auf der sicheren Seite – bei einem nicht-kooperativen Nutzer – wäre man nur mit einem bereits in der Hardware abgesicherten DRM und einem PC in einer abgeschotteten Umgebung – nur wer will das schon???
Die konkrete Implementierung ist ausserdem handwerklich suboptimal. Die Sicherheit von X-pire basiert darauf, dass der Schlüssel in der Hand des Servers bleibt – damit dieser den wieder einkassieren kann. Dazu wird mittels eines CAPTCHAs getestet, ob der Schlüssel von einem Menschen oder einer Maschine abgerufen wird. Eine durchaus lästige Funktion. Was es bräuchte wäre eine vom Betriebssystem geschützte Funktion, die mit dem Server verschlüsselt kommuniziert.
Also hat ein findiger IT-Professor in nur ~8 Stunden eine Umgehungslösung entwickelt/entwickeln lassen: Man richtet einen Schlüssel-Cache ein. Das hat für den Nutzer den Vorteil, dass er, wenn der Schlüssel schon im Cache ist, kein CAPTCHA lösen muss. Der CACHE-Betreiber lässt bei einem unbekannten Bild den Nutzer das CAPTCHA lösen und kann alle Bilder dauerhaft entschlüsseln – und bekommt die Info,welche Bilder vielleicht “heiß” sein können auf dem Silbertablett serviert.
(k)eine Downloadmöglichkeit von “Steusand”
(Dank Prof. Federrath habe ich z.B. schon über die Untiefen des Patentrechts bei Abhörtechnik amüsiert)
Nachtrag: Die Bewertung von X-Pire bei heise “bitte vergessen“:
Zurück bleiben: Ein durchsichtiger Versuch eines Professors, mit der Verunsicherung der Internet-Nutzer Geld zu verdienen, ein durchsichtiger Versuch einer offensichtlich überforderten Ministerin, mal wieder positive Schlagzeilen zu produzieren – und ein Problem, das es verdient hätte, ernsthaft diskutiert zu werden.
Genauso interessant:
1GDV – HIS
Zwei Abkürzungen für recht harmlose Namen “Hinweis- und Informationssystem des Gesamtverbandes der Deutschen Versicherungswirtschaft”. Für den der “drin” ist in der Regel aber kein Vergnügen.
Als erster Schritt zur Verbesserung der Datenschutzsituation soll diese Datenbank künftig extern betrieben werden, von Arvato Infoscore (Quelle).
Update 08/2011:
Inzwischen stehe ich auch in diesem System. Mal gespannt, wie die auf die Anforderung einer Eigenauskunft reagieren …
Genauso interessant:
0
Geht schon, aber nicht so…
st eine von mir gerne gegebene Antwort auf die Frage “Geht das rechtlich gesehen”. Meist kommt danach eine Detailverbesserung, z.B. dass die elektronische Übermittlung noch verschlüsselt werden muss oder ein bestimmter Vertrag (z.B. über Datenverarbeitung im Auftrag) schriftlich gemacht wird oder ähnliches.
So ähnlich sehe ich auch die Antwort des BVerfG zur Vorratsdatenspeicherung. Die Grundaussage lautet: Es geht! Man darf die Verbindungsdaten auf Vorrat speichern. Man darf ermitteln, wer hinter einer bestimmten IP-Adresse steht. Und ja, man darf diese Daten auch tatsächlich nutzen.
Aber so nicht! Nicht mit einer “Scharniernorm”, die die Datennutzung für alles und nichts ermöglicht. Nicht ohne Vorgaben wie man denn die Sicherheit der Daten gewährleistet. Und schon gar nicht in der Wolke von Geheimhaltung.
Insgesamt eine schallende Ohrfeige. Aber nicht für unanständiges Verhalten, sondern schlicht für handwerkliche Schlechtleistung.
Ich denke das “die Bürgerrechte” dennoch gewonnen haben. Das BVerfG hat klar gemacht, dass Grundrechte kein Spielzeug sind, dass der Grundrechtseingriff sorgfältig abgewogen werden muss, auch bei Art. 10 GG der gemeinhin als Schatten seiner selbst gesehen wird
Auch dass man im Vorfeld wirksame Schranken einbauen muss und nicht alles auf später im Betrieb vertagen darf. Alles positive Entwicklungen. Und als “Awarness-Kampagne” ist die aktuelle Berichterstattung unbezahlbar.
Nur ein kleiner Nebeneffekt ist, das die politische Diskussion wieder eröffnet ist- ob bei den geänderten Vorzeichen (Regierungsparteien) etwas anderes rauskommt wird sich zeigen.
Das kein Recht auf ein anonymes Internet besteht ist kein wirklicher Weltuntergang. Ganz früher (irre teure Dial-In-Wählverbindungen oder Netze von Uni’s oder Großfirmen) war das nicht anders. Die Gewisse Anonymität kam erst mit den Flatrates auf – und dem hat die Politik gegengesteuert – dauerte halt etwas länger. Aber wie sieht es denn mit der Anonymität im Offline-öffentlichen raum aus? Bei Demonstrationen gilt das Vermummungsverbot. Bei besonders schweren Straftaten kann ein aufgenommenes Bild/Phantombild/Personenbeschreibung veröffentlicht werden…
Genauso interessant:
0Schade um die Postbank
Ich stamme aus einer “ländlichen” Region – der Vernetzungsgrad innerhalb des Ortes ist da recht hoch.
Man kennt sich halt untereinander und tauscht sich auch aus. Ortsansässige Banken gibt es nur zwei, eine Volksbank und eine Sparkasse – und halt die Postbank in Form der Filiale (heute Agentur). Die Postbank wurde gerne empfohlen, wenn ein Selbständiger (der natürlich eine Hausbank vor Ort braucht) sein privates Konto strikt trennen wollte. Weil die Postbank halt nicht in die üblichen Netzwerke eingebunden war.
Das ausgerechnet da jetzt freiberufliche Vertriebler freien Zugriff haben dürfte gerade diese Klientel ziemlich verschrecken…
Im Hinterkopf hatte ich noch, dass die Postbank auch den Zahlungsverkehr für andere Banken abwickelt. Inzwischen habe ich aber nachgelesen, dass die Deutsche Bank, Dresdner Bank und HVB zusammen mit der Postbank die Abwicklung durchführen – in einer eigenen Tochterfirma. Bleibt zu hoffen, dass diese es mit dem Datenschutz (und der Mandantentrennung) ernst meint.
Kommentare
