Datenschutz – Seite 6

BWI hat ferner bestimmte physische Sicherheitsmaßnahmen zum Schutz gegen unbefugten Zugriff auf personenbezogene Daten eingerichtet. Alle Serverräume sind durch ein Schlüsselkartensystem geschützt, das Benutzerrechte mit einer zentralen Datenbank abgleicht. Außerdem bleiben diese Serverräume stets verschlossen.

Leider wird nicht erwähnt, was Best Western bei einem Bruch der Sicherheit unternehmen will. So zum Beispiel wenn acht Millionen Kundendaten samt Kreditkartendaten gestohlen werden. So scheint es nicht Politik zu sein, die Kunden direkt auf der Homepage über diesen vermeintlichen Datendiebstahl aufzuklären. Stattdessen findet sich dort nur der Hinweis: „Earn reward points with the Best Western MasterCard“.

Ich war im April Gast in einem Best Western Hotel. Ich bin doch mal gespannt, ob die Hoteliers mich zügig informieren werden. Oder ich frage besser mal selbst nach. Weil: ich würde doch gerne wissen, ob eine Hausdurchsuchung ansteht, weil jemand mit meinen Daten größere Mengen Uran angekauft hat. Oder gar schlimmeres.

Update: Ein Anruf in dem Hotel Best Western City Ost bringt Entwarnung. Das Hotel sei nicht an das internationale Buchungssystem der Best-Western-Kette angeschlossen. Ich hoffe mal, das stimmt auch.

Update 2: Auch Expedia, über die ich das Hotel gebucht hatte, beruhigt mich. Meine Zahlungsdaten wurden demnach gar nicht an das Hotel übermittelt.

Update 3: Nun meldet sich auch die Datenschutzbeauftragte von Best Western bei mir: Der Medienbericht sei unrichtig – statt acht Millionen Kunden weltweit seien weniger als 20 Gäste eines einzelnen Best Western Hotels betroffen, die direkt umgehend informiert worden seien. Und über mich lägen gar keine Daten mehr vor.

Update 4:: In den Kommentaren hat die Pressesprecherin von Best Western ein ausführliches Statement hinterlassen:

Entgegen der Medienberichte kam es nicht zu einem Hackerangriff auf das Best Western Reservierungssystem. Best Western bestätigt vielmehr, dass es zu einem Vorfall in einem einzelnen Hotel in Deutschland gekommen ist, in dem einem Hacker über einen PC-Virus Zugang zu zehn Gästedaten geglückt ist.

Der Autor der Sunday Herald-Story Iain Bruce bleibt hingegen bei seiner Darstellung.

23. August 2008

Neues aus GB

Erst letzte Woche hat ein Berater von Premierminister Gordon Brown bei einer Hard-Drive-Party eine Festplatte mit den Spielschulden des gesamten britischen Kabinetts verloren.

Wen würde es wundern?

27. Mai 200827. Mai 2008

Was hilft gegen Datendiebstahl? Mehr Datenbanken!

Der Vorsitzende des Bundes Deutscher Kriminalbeamter hat eine Erkenntnis:

„Die Telekom-Affäre ist eine Riesenchance für den Datenschutz, die wir nutzen müssen. Es ist doch offensichtlich, dass sensible Kundendaten bei privaten Unternehmen mehr als schlecht aufgehoben sind“, sagte BDK-Vorsitzender Klaus Jansen der Neuen Osnabrücker Zeitung.

Wer würde da nicht zustimmen? Der Lösungsvorschlag für das Dilemma ist hingegen weniger konsensfähig:

Jansen forderte laut dpa, sämtliche Verbindungsdaten in einem Sicherheits-Center unter Aufsicht von Datenschützern zu hinterlegen. Darauf könnten dann sowohl Unternehmen zu Abrechnungszwecken als auch der Staat zur Strafverfolgung streng kontrolliert zugreifen. Technisch sei ein solches Verfahren nach Ansicht von Experten kein Problem, sagte Jansen. „Die heutige Praxis einer sechsmonatigen Speicherung direkt beim Telefonanbieter öffnet Missbrauch Tür und Tor.“

Auf gut Deutsch: Wir verhindern Datenmissbrauch, wenn wir die Daten nicht nur in einer, sondern gleich in zwei Datenbanken speichern. Denn die Telekom hat ja im aktuellen Skandal nicht etwa auf die Vorratsdatenspeicherung zugegriffen, sondern auf die Abrechnungsdaten, die bei einem Telefonprovider nun mal anfallen müssen.

Um das Konzept von Jansen richtig würdigen zu können, übertragen wir es einfach mal in die physische Welt. Um Bankraub zu verhindern, wird in jeden Tresorraum eine zweite Tür eingebaut, deren Schlüssel bei der Polizei hinterlegt werden muss. Klingt das sinnvoll? Welcher Experte soll diesem Irrwitz eine problemlose Umsetzung prophezeit haben?

Ich gehe mal davon aus, dass Jansen bei seiner Betonung der Rolle des Datenschützers keinen besonderen Wert mehr auf einen kompetenten Richtervorbehalt legt. Wenn die Daten doch schon mal da sind, warum sollten rechtschaffene Diener des Rechtsstaates erst nach einem bürokratischen Hürdenlauf drauf zugreifen können?

7. März 20087. März 2008

Warte, warte nur ein Weilchen

Burkhard Strassmann zweifelt bei Zeit Online an der Notwendigkeit der IT-Sicherheit und sieht besonders beim Datenschutz ein Vermittlungsproblem.

Dass die Sicherheitsbranche wenigstens einen Mann präsentieren kann, der ihre Existenzberechtigung belegt, ist einiges wert. Ansonsten geraten die meisten befragten Aussteller ins Stocken oder ins Geschwafel, wenn man sie konkret nach „dem Bösen“ fragt, das bekämpft werden muss. Das gilt besonders für Datenschützer. Regelmäßig fällt ihnen auf die Frage nach einem Beispiel für Datenmissbrauch nur eine Antwort ein: Es gebe doch das Datenschutzgesetz. Und deshalb den Datenschutz!

Nun – die behördlichen Datenschützer mögen noch nicht ganz im Zeitalter von sozialen Netzwerken angekommen zu sein und sicher sind viele Produkte eher kreativ als nützlich – dennoch sollte man Realist bleiben. Glaubt man den Zahlen in der Wikipedia hat es über 10 Jahre gedauert, bis Spammer die Vorteile des Mailversands erkannten und nutzten. StudiVZ gibt es gut zwei Jahre und schon hat die Bild den Nutzen entdeckt.

19. Januar 200824. Januar 2008

StudiVZ-Mitglieder klaglos oder ahnungslos?

Eben ist folgende Meldung hereingeschwappt.

Die breite Masse von Social-Community-Mitglieder hat gegen die Vermarktung ihrer persönlichen Daten nichts einzuwenden. Es war offenbar nur ein Sturm im Wasserglas, den einige Protestanten Ende vergangenen Jahres gegen die neuen AGB bei der Studentencommunity StudiVZ da auslösten. Die Mehrheit der StudiVZ-Mitglieder macht die neuen Werbestrategie jedoch sang- und klanglos mit.

Zur Realitätskontrolle habe ich mich mal bei StudiVZ eingeloggt. Zwar muss man nun die neuen AGB akzeptieren, über die neue Verwendung der persönlichen Daten erfährt der Nutzer erst nach ausgiebiger Lektüre etwas. Und wie man das Ganze abschaltet, steht auch nicht oben in den FAQ, sondern unten, im Kleingedruckten.

StudiVZ AGB-Einstellungen

Nach 10 Minuten ausführlichen Suchens konnte ich die in erwähnte Option „Einstellungen zur Verwendung meiner Daten“ nicht finden. Weder auf der Startseite, nicht im eigenen User-Profil, auch nicht unter dem Punkt „Privatsphäre“ oder „Datenschutz“.

Erst Google brachte mich weiter: In dem Blog Suchtwolke habe ich eine Klick-für-Klick-Anleitung zum Auffinden der Werbeeinstellungen gefunden:

1. Einloggen

2. Ganz unten in der Leiste, die mit “Presse” beginnt und mit “Verhaltenskodex” endet, auf “Datenschutz” klicken.

3. Dort dann auf [ Datenschutz-Erklärung ] klicken.

4. Ganz unten auf [ Einstellungen zur Verwendung meiner Daten ] klicken.

5. Alle Häckchen ausstellen und die Sache speichern – fertig.

Sprich: Die Einstell-Möglichkeit wurde gezielt versteckt. Wer die Datenschutzerklärung findet, muss erst zwei Seiten nach unten scrollen um dort den ganz kleinen Link auf die Einstellungs-Seite zu finden.

Das Unternehmen glaubt offenbar nicht daran, den User selbst entscheiden zu lassen und baut darauf, dass die Kommunikation auf der Plattform denkbar schlecht ist. Wäre es anders, hätten sie die Optionen schlichtweg in die Privatsphären-Einstellungen integriert oder wenigstens in den FAQ einen Link auf die Einstellmöglichkeiten gesetzt.

Dass die Strategie funktioniert, ist dennoch deprimierend. Vielleicht auch für die Werbekundschaft – wer auf solche Tricks reinfält, wird nie zum zahlungskräftigen Kunden werden.

22. Oktober 200723. Oktober 2007

GEZ, die Daten-Versager

Dass die GEZ mit umstrittenen Methoden Daten sammelt, ist eine Binsenweisheit. Aber so richtig gut im Datenabgleich scheinen sie nicht zu sein. Denn in letzter Zeit bekomme ich wieder diese netten grünen Briefe, dass ich doch bitte meine Rundfunkgeräte anmelden soll – dabei zahle ich bereits brav die Rundfunkgebühren.

Aber die GEZ hat meine Anschrift eben nochmal aus einer Datenbank gefischt – mit einer anderen Hausnummer, die zum gleichen Briefkasten führt. Die gleichen Anschriften-Variante finde ich sonst nur bei zwielichtigen Kreditkarten-Angeboten, die ich manchmal aus dem Briefkasten fische.

15. Oktober 200716. Oktober 2007

PR per Strafanzeige

Ein paar Datenschützer gehen in ein Schwimmbad und protestieren mit bunten Wasserbällen gegen missliebige neue Dauerkarten. Langweilig. Mit viel Glück käme man damit in den Lokalteil einer Zeitung – wenn der Fotograf grade nichts anderes zu tun hatte.

Es sei denn, das Schwimmbad stellt Strafanzeige. Ein klassisches Eigentor.

15. Oktober 200715. Oktober 2007

Hey, von der Leyen

Nach dem üblichen Wochenendpolitauflauf hat Bundesfamilienministerin Ursula von der Leyen ihren Vorschlag ad acta gelegt, Kinder als halbamtliche Testkäufer einzusetzen. Ich weiß nicht, ob ich darüber glücklich sein soll. Schließlich wäre es die perfekte Ausbildung der Kinder gewesen, um sie auf den Präventionsstaat vorzubereiten, an dem wir alle so eifrig arbeiten. Misstrauen ist die Devise. Und Wachsamkeit!

Aber sehr verehrte Frau Bundesministerin, ich habe einen Alternativ-Vorschlag. Statt gefährdete Jugendliche in den gefährlichen Einzelhandel zu schicken, soll doch der Einzelhandel zeigen, wie sehr er sich um die Jugendlichen sorgt. Die Mittel sind schon vorhanden: Fast jeder Supermarkt ist inzwischen videoüberwacht: wenn die Kameras nicht gerade auf der Suche nach Ladendieben sind, so schauen sie den eigenen Mitarbeitern auf die Finger. Alles, was nun nötig ist: eine gesetzliche Pflicht, diese Videobänder auf Anforderung den Jugendschutzbehörden zu übergeben. Wenn ein 15jähriger Bier kauft, wird das ja auf den Bändern zu sehen sein.

Wie gesagt: die Kameras sind schon in den Läden vorhanden, sie brauchen nur eine kleine (Grund)Gesetzesnovelle, um den Zugriff in rechtsstaatliche Bahnen zu lenken. Am besten ist es, man fragt die Ladenbesitzer gar nicht vor der Überprüfung – sie könnten belastendes Material beseitigen. Dank Breitbandanschlüssen ist das aber kein Problem: die Kameras bekommen eine Internetschnittstelle und die Behörden das geheime Passwort. Die Experten der Deutschen Bahn AG werden sicher gerne helfen, die kennen sich aus mit Überwachungskameras. Auch die Frage der Identifizierung Minderjähriger auf den Videobändern ist schon in Arbeit. Die Antwort lautet: Schülerregister. In jeder Schülerakte sollte es ein Foto geben, das ihn biometrisch kenntlich macht. Der Nutzen einer solchen Datei wäre ressortübergreifend. Ausreißer könnten schnell gefunden werden. Und nach dem nächsten Bombenanschlag haben wir schnell eine Bilderdatei mit sämtlichen Käufern von Nägeln.

Aber lieber Frau von der Leyen, warten Sie noch etwas ab. So praktisch und folgerichtig mein Vorschlag auch sein mag – er ist nicht politisch durchsetzbar. Noch nicht. Warten Sie ab, so lange es ihre Amtszeit erlaubt. In einem Jahr haben wir uns mit Vorratsdatenspeicherung und Co abgefunden, dann ist der nächste Schritt gar nicht so schwer.

M	D	M	D	F	S	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

Schlagwort: Datenschutz

Best Western: Wo sind meine Daten?