Archiv der Kategorie: Datenschutz

Eine Mail an den BND

Veröffentlicht am von
21

Ein Artikel bei Netzpolitik brachte mich darauf, dass ich mich doch mal um den Datenschutz meiner höchstpersönlichen Daten kümmern sollte. Ich glaube ja nicht, dass da schnell etwas passieren wird, aber ich habe das verdammt Recht auf meiner Seite. Und ich bin nicht geneigt mir Unrecht gefallen zu lassen.

To:  zentrale@bundesnachrichtendienst.de
CC: poststelle@bfdi.bund.de, clemens.binninger@bundestag.de
Subject: Überwachung meine Internetverkehrs

Sehr geehrte Damen und Herren,

den Medien musste ich entnehmen, dass Sie als Merkmal für „nicht zu überwachenden Internetverkehr deutscher Staatsbürger“ allein die Verwendung der Topleveldomain „.de“ definieren. Dies nutzt mir, als in Deutschland lebender Bundesdeutscher Staatsbürger und Nutzer einer „.net“-Topleveldomain, leider nichts. Aufgrund ihres definierten Aufgabenbereich (Auslandsaufklärung) gehört die Überwachung deutscher Staatsbürger (also auch mir) NICHT zu ihrem Aufgabenbereich.

Als Besitzer der Domain „$DOMAIN.net“ (von Ihnen über das Tool „whois“ prüfbar), möchte ich Sie also auffordern, den von und zu meiner privat betriebenen Domain laufenden Internetverkehr aus ihren Überwachungsmaßnahmen auszuklammern.

Außerdem möchte ich Sie auffordern, die von mir genutzten Mailadressen h$Username@$DOMAIN.net(meine Firmenmailadresse bei einem in Deutschland ansässigen, deutschen Unternehmen, der $FIRMA GmbH) sowie $USERNAME@gmail.com (eine weitere, von mir genutzte Mailadresse) ebenfalls aus ihren Überwachungsmaßnahmen auszuklammern.

Ich bitte Sie
1) den Eingang dieser Aufforderung sowie
2) die Umsetzung der Maßnahmen
schriftlich zu bestätigen

Mit freundlichen Grüßen

$Name
$Anschrift

CC: – Die Bundesdatenschutzbeauftragte
CC: – Clemens Binninger, Vorsitzender des Parlamentarischen Kontrollgremiums

 

Sichere Cloud-Anbieter in Deutschland

Veröffentlicht am von
1

Keine Bange, hier kommt nun keine Werbung, nur eine Warnung. Jüngst stolperte ich wieder über einen Artikel – diesmal in der Channelpartner – in dem die wunderbaren Dienstleistungen von „Cloud“-Anbietern aus den USA gepriesen werden. Auch geht hier zum Beispiel Amazon voll auf einen Aspekt in Sachen Datensicherheit ein:

Amazon weiß indes ganz genau, dass der Erfolg im B2B-Geschäft mit der Sicherheit der Daten steht und fällt. AWS-Chef-Vordenker Werner Vogels betonte in seiner Eröffnungsrede mehrfach und ausführlich, wie wichtig es der Company ist, dass Kundendaten vor fremden Zugriffen geschützt sind. Dazu hat der Betreiber in den AWS-Diensten mehrere Security-Schranken etwa zur Verschlüsselung eingebaut. Die Betonung der Datensicherheit zielte eindeutig auf die Befindlichkeiten der deutschen Anwender, die durch die Snowden-Enthüllungen in ihrer Skepsis bestätigt wurde. „Wir waren nie Teil von PRISM“, versuchte Vogels das deutsche Publikum zu beruhigen.

Problematisch ist nur: Selbst ohne NSA und Prism, sind deutsche Daten bei Amazon & Co nicht sicher. Schon vor 3 Jahren konnte man auf ZDNET lesen, dass nicht nur die NSA – ohne richterlichen Beschluss – Zugriff auf jegliche Daten erlangen kann:

At the Office 365 launch, Microsoft U.K.’s managing director Gordon Frazer, gave the first admission that cloud data, regardless of where it is in the world, is not protected against the Patriot Act Act.

Für deutsche Unternehmen heißt dies: Finger weg von Datenservices von US-Unternehmen. Es ist egal, ob der Server in Deutschland, Irland oder Kalifornien steht. US-Behörden haben über die US-Mutter immer Zugriff auf die Daten. Dabei muss man nicht einmal an das Bundesdatenschutzgesetz denken. Noch bedenklich sollte für Unternehmen die Möglichkeit der Wirtschaftsspionage sein. Denn gerade im Bereich Mittelstand gibt es sicher viele schützenswerte kleine Schmankerl der Ingenieurkunst. Aber auch auf internationalem Märkten agierende Firmen sollten sich in Acht nehmen, denn nur zu schnell ist nach einem kurzen Blick auf das Angebot eine etwas günstigeres Wettbewerbsangebot eines US-Unternehmens vorgelegt..

Interessant ist die Frage, wie es um deutsche Unternehmen steht, die eine US-Niederlassung haben. Ich würde z.B. zu gern erfahren, wie die T-Mobile USA sich verhält, wenn dort US-Behörden versuchen Zugang zu Daten auf deutschen Servern zu erzwingen. Sind Daten auf deutschen Telekom-Servern dann wirklich noch vor dem Zugriff sicher?

Was also sollte man beachten, wenn man Daten wirklich vor dem Zugriff vor US-Behörden verarbeiten möchte?

  1. Keine Daten bei US-Unternehmen hosten (auch wenn der Server in Wuppertal steht)
  2. Sicherheitshalber auch sehr genau überdenken, ob man seine Daten bei deutschen Firmen mit US-Töchtern verarbeiten lässt.

Immer dran denken: Wenn die Daten erstmal draußen sind, bekommt man sie nie wieder rein. Und auf die deutsche Politik kann man sich leider nicht verlassen.

Betrogene Spammer mit Hilfe der Landesdatenschutzbeauftragten „jagen“

Veröffentlicht am von
Antworten

Ich hasse Spammer – und gegen die meisten ist man juristisch machtlos, da man keine Handhabe gegen Spammer im Ausland hat. Bei ausländischen Spammern hilft nur die technische Eindämmung der Auslieferung durch – vorsichtige! – technische Maßnahmen.

Gegen Spammer aus Deutschland allerdings hat man rechtliche Möglichkeiten und behilflich sind hierbei die Landesdatenschutzbeauftragten. Das zeigt auch mein aktueller Problemfall mit der Firma Domainprofi GmbH in Osnabrück. Am 10.04.2014 sandte mir die Firma Domainprofi GmbH eine Briefwerbung mit dem Angebot diverse „Top Domains“ zu zum „Sonderpreis“ an. Zu diesem zweck sandte mir die Firma Domainprofi GmbH ein Werbeschreiben an eine Postanschrift, unter der ich seit ca. 14 Jahren nicht mehr erreichbar bin. Hinzu kommt, dass die Adresse in gewisser Hinsicht recht speziell war – ich habe sie NIEMALS „öffentlich“ genutzt. Sie war nur in einer (öffentlich recherchier-, aber nicht verwertbaren) Datenbank eines Domainregistrars (RIPE) enthalten. 

Wie also kommt die Firma Domainprofi GmbH dazu, mich mit derart alten Adressdaten per Briefpost zu bespammen? Mein Standardanschreiben für Spammer

Sehr geehrte Damen und Herren,

Bezug nehmend auf ihre Briefpost vom 10.04.2014 an die Anschrift:

$Name
$Strasse
$PLZ $Stadt

fordere ich Sie hiermit auf, mir auf Grundlage des §34 Bundesdatenschutzgesetz, mitzuteilen:

1) Die Quelle, aus der Sie meine personenbezogenen Daten bezogen haben,
2) Die Art und den Umfang der über mich gespeicherten personenbezogenen
    Daten
3) Etwaige Stellen, an welche Sie die Daten bereits weitergegeben
    haben(könnten)
4) Den Zweck der Speicherung

5) Ich fordere ich Sie auf - nachdem Sie ALLE oben genannten Punkte recherchiert und beantwortet haben - meine bei
   Ihnen vorliegenden personenbezogenen Daten zu löschen.


Ich setze Ihnen für Obiges eine Frist bis zum $Frist.

wurde kurz und knapp mit „Ist eine Firma, das BDSG greift nicht“ beantwortet. Diese Aussage ist sachlich falsch. Beschrieben habe ich meine Erwiderung bereits hier bei Google+ – ich spare euch hier die Wiederholung des Textes. Kurz: Die Firma irrt massiv, auch Firmen können unter gewissen Umständen unter das BDSG fallen.

Nachdem meine Klarstellung mit der nochmaligen Aufforderung um Klärung an die Firma Domainprofi GmbH unbeantwortet blieb, schaltete ich den Landesdatenschutzbeauftragten des Lande Niedersachsen ein. Seine Antwort war kurz und knapp:

Der Landesbeauftragte für den Datenschutz Niedersachsen

Sehr geehrter Herr Köpke,

Das Unternehmen DomainProfi GmbH, Osnabrück, hat den Adressdatensatz der $FIRMA aus der Firmendatenbank Marketing1 www DOT marketing1 DOT net/de (Link von mir entfernt) erhalten.

Der Adressdatensatz ist von der DomainProfi GmbH nicht an Dritte übermittelt und gelöscht worden.

Mit freundlichen Grüßen 
Im Auftrage

$Bearbeiter

Wir lernen: Die Steuergelder, die uns die Datenschutzbeauftragten von Bund und Ländern kosten, sind (zumindest teilweise) sehr gut angelegt. Nach knapp 14 Tagen hat mir der freundliche Datenschutzbeauftragte eine befriedigende Antwort gesandt. Ich gehe davon aus, dass die Firma Domainprofi GmbH die Daten tatsächlich gelöscht hat (sonst kämen die wohl in „Teufels Küche“). Eine besondere Freude ist es mir, zu wissen dass Domainprofi GmbH von einem Adressverkäufer übers Ohr gehauen wurde, da sie wohl asbach-uralte Datensätze gekauft haben. Geschieht ihnen recht. Schon der Versuch zu spammen soll schmerzhaft sein.