Klienteninfo Ausgabe 27 / Jänner 2022

Inhalt:

 

15.01.2022

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Teuflische Sticks - 6 Tips zum Anfassen

Kürzlich erregte eine Meldung Aufsehen: Das FBI warnte vor USB-Sticks, die Schadsoftware am Rechner installieren, sobald sie angesteckt werden. Die Geräte werden an Private und an Firmen als harmlos aussehende Werbegeschenke verschickt und verschlüsseln sofort den gesamten Rechner sowie jene Teile des angeschlossenen Netzwerkes, die gerade zugänglich sind.

Was kann man tun?

Zwar sind die Schädlinge genau genommen keine USB-Sticks, also keine bloßen Speichermedien, sondern kleine Computer, die bloß aussehen, wie USB-Sticks. Deswegen starten sie ihre Schadprogramme auch sofort, wenn sie an einen Computer angeschlossen werden. Die kriminelle Vorgangsweise ist jedoch schon älter und wurde auch mit reinen Speichersticks praktiziert. Da war dann die Schadsoftware in unverdächtig aussehende Files verpackt, die erst geöffnet werden mussten. Als Vorsichtsmaßnahme hat sich folgende Prozedur bewährt:

  1. Seien sie gewarnt, wenn Ihnen USB-Sticks oder ähnlich aussehende Geräte zugeschickt werden. Vorsicht ist insbesondere geboten, wenn Sie USB-Sticks irgendwo im öffentlichen Raum oder vor der Haustüre zufällig finden. Garnicht so selten handelt es sich dabei um absichtlich ausgelegte Köder von Kriminellen. Wenn es für Sie unbedingt erforderlich ist, den Speicherinhalt zu kennen, bitten Sie einen IT-Fachbetrieb um Hilfe. Sofern Sie selbst Hand anlegen wollen, empfiehlt es sich jedenfalls, die eigene Neugier im Zaum zu halten und schrittweise bedachtsam vorzugehen.
  2. Falls Sie es für wichtig halten, den USB-Stick anzustecken, verwenden Sie nur Rechner, die Sie vorher präpariert haben.
  3. Sichern Sie alle Daten und Einstellungen des ausgewählten Rechners auf ein externes Speichermedium. Idealer Weise verwenden Sie einen Kleinrechner oder LapTop, den Sie nicht für den täglichen Gebrauch benötigen.
  4. Trennen Sie alle Internet-Verbindungen vom Rechner und schalten Sie die WLAN-Verbindung des Rechners zu Ihrem Netzwerk ab.
  5. Stecken Sie erst jetzt den Stick an und öffnen Sie die darauf befindlichen Files. Vermeiden Sie es bitte, die Files auf einen anderen Rechner zu kopieren, z.B. um sie ausdrucken zu können.
  6. Manche Schadprogramme sind "Schläfer", die nicht gleich beim ersten Aufruf ihre Wirkung entwickeln, sondern heimtückisch abwarten, ob sie nicht einem Test unterzogen werden. Bleiben Sie daher auch beim zweiten oder dritten Öffnen der Files aufmerksam.

Sollte Ihr Datenbestand durch Schadsoftware allen Vorkehrungen zum Trotz kompromittiert werden, müssen Sie unverzüglich die in der DSGVO und im DSG vorgesehenen Maßnahmen ergreifen. Das betrifft insbesondere die vorgesehenen Melde- und Informationspflichten. Ideato unterstützt Sie gerne dabei.

Quelle:

https://www.derstandard.at/story/2000132412030/fbi-warnt-hacker-verschicken-mit-schadsoftware-infizierte-usb-sticks-an
(10.1.2022)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

DSB: Verwendung von Google-Analytics ist rechtswidrig

Kaum eine Website verzichtet darauf: Die Tracker von Google-Analytics. Kürzlich hat die Datenschutzbehörde in Österreich (DSB) in einem Verfahren gegen den Betreiber einer Website diese Rechtsauffassung von Ideato bestätigt, wonach die Anwendung rechtswidrig ist. Google-Analytics speichert personenbezogene Daten auf Rechnern, auf die US-Behörden Zugriff haben. Weil der EuGH bereits im Juli 2020 entschieden hat, dass die US-Gesetze keinen ausreichenden Rechtsschutz für die Bürger bieten, ist es nicht zulässig, geschützte Daten auf solchen Rechnern zu verarbeiten. Kurz: Die Verwendung von Google-Analytics durch europäische Betreiber von Webseiten ist verboten.

Die Datenschutzerklärungen großer US-Plattformen, wie Google, Facebook (Meta), Amazon, Microsoft u.a. erwecken bei unkritischen Lesern den Eindruck, dass die Bestimmungen auch den Vorgaben der DSGVO entsprechen würden. Das ist unrichtig. "FISA" und der "Cloud-Act" der USA geben den dortigen Behörden die Möglichkeit, auf alle Daten zuzugreifen, die irgendwo auf der Welt von Firmen gespeichert werden, die in den USA einen Sitz haben. Die Annahme, dass ein Serverstandort in Europa die Daten vor dem Zugriff der US-Behörden schützt, ist nicht richtig, soferne es sich um Unternehmen mit einer Präsenz in den USA handelt.

Ausdrücklich abgeraten werden muss davor, die Zustimmung der Besucher einer Website zum Datentransfer in die USA einzuholen. Zwei wichtige Gründe sprechen dagegen:

a) Die Zustimmung ist nur gültig, wenn die Betroffenen umfassend über die negativen Folgen informiert werden. Es ist unsicher, ob das bloße Ankreuzen eines Feldes auf der Website als Zustimmung zu einem extrem weitreichenden Verzicht auf Rechte anzusehen ist.

b) Die Bestimmungen des Kapitels V der DSGVO, wonach mit Zustimmung der Betroffenen Daten z.b. auch in die USA übertragen werden dürften, gelten nur in einzelnen Ausnahmsfällen. Der ständige Betrieb einer Website ist davon nicht gedeckt.

Wenn jemand glaubt, auf Tracker nicht verzichten zu können, muss er zu europäischen Lösungen wechseln. Eine Möglichkeit bietet beispielsweise das Hamburger Unternehmen etracker.

Nachdem insbesondere die DSB in Österreich nun gegen Verantwortliche von Webseiten vorgeht, die Google-Analytics einsetzen, empfiehlt Ideato dringend, diese Praxis so rasch wie möglich einzustellen und auch die Datenschutzerklärungen auf der Website anzupassen.

Quelle:

https://www.derstandard.at/story/2000132495447/behoerde-google-analytics-verstoesst-gegen-die-datenschutzverordnung
(10.1.2022)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Was Datenschutz-Urteile wert sind
Gilt das Recht des Stärkeren?

Die Annahme, dass sich die DSGVO oder die nationalen Datenschutzgesetze auf breiter Front durchsetzen werden, hat sich nach übereinstimmender Ansicht von Fachleuten als Trugschluss erwiesen. Wie auch bei anderen Gesetzen kommt es natürlich beim Datenschutz besonders auf zwei Dinge an: Alle Betroffenen müssen die Regelungen kennen und die Behörden müssen die Einhaltung kontrollieren. Genau dort aber gibt es gravierende Defizite.

Zugegeben: Einfach ist es nicht, sich beim Datenschutzrecht auszukennen, soferne man keine juristische Vorbildung hat oder sich ständig damit beschäftigt. Und so kommt es, dass wichtige Schutzbestimmungen entweder gänzlich unbekannt sind, einfach ignoriert werden oder als unrichtige Schutzbehauptung herhalten müssen, wenn ungeliebte Arbeit vermieden werden soll (z.B. Recherchen und Auskünfte, die angeblich "aus Datenschutzgründen" nicht vorgenommen werden können).

Bei den Behörden gibt es zuwenig Personal für die systematische Kontrolle. Und zusätzlich scheinen sie oft die Mühe der Auseinandersetzung mit den großen internationalen Unternehmen zu scheuen, weil die Gegner meistens die besten Anwälte im Land aufbieten können. Die Verteidigung der eigenen Rechtsansicht ist unter diesen Bedingungen nicht gerade einfach.

Was die Behörden anlangt scheint sich aber gerade der Beginn einer Wende abzuzeichnen: Immer häufiger wird von Sanktionen gegen Google, Facebook, Amazon u.a. aus der gesamten EU berichtet. Und auch bei der Kontrolle der Anwender dürften die Datenschutzbehörden gerade dabei sein, deutlich aktiver zu werden, als in der Vergangenheit. Den Eindruck bekommt man, wenn man sich beispielsweise vor Augen hält, dass in Österreich gerade gegen die Verwendung von Google-Analytics vorgegangen wird oder in Bayern die Verwendung des beliebten Werkzeugs "mailchimp" eines US-Anbieters sanktioniert wurde.

Die Annahme, dass beim Datenschutz bloß das Recht des Stärkeren gilt oder eh alles wurscht ist, schien bisher nicht unberechtigt. Sie dürfte allerdings in Zukunft deutlich weniger verläßlich werden.

Quellen:

https://orf.at/stories/3243496/
(14.1.2022)

https://www.derstandard.at/story/2000132495447/behoerde-google-analytics-verstoesst-gegen-die-datenschutzverordnung
(13.1.2022)

https://orf.at/stories/3242711/
(6.1.2022)

https://www.derstandard.at/story/2000132349640/millionenstrafe-fuer-google-und-facebook-wegen-cookies-in-frankreich
(7.1.2022)

https://orf.at/#/stories/3240833/
(20.12.2021)

https://www.derstandard.at/story/2000132040488/datenschuetzer-schrems-facebook-ignoriert-mehrere-eugh-urteile
(21.12.2021)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Cookies - Sind wir bald hilflos ausgeliefert?

Google und Apple planen in einem nächsten Schritt auf die Verwendung von Cookies zu verzichten. Beide Unternehmen tun das nicht, weil sie plötzlich ein Herz für den Datenschutz entdeckt haben. Aber findige Techniker sind auf Möglichkeiten gestoßen, wie sie Informationen, die für die Werbewirtschaft interessant sind, sammeln können, ohne rechtliche Schranken überwinden oder die User um Zustimmung bitten zu müssen. Einfach gesagt: Man kann auch ohne Cookies feststellen, wer welche Reise bucht und ihm dafür die passende Bekleidungswerbung unterjubeln. Die Browser Chrome und Safari werden bereits technisch umgestellt und künftig so funktionieren, dass sie keine Cookies mehr zulassen.

Die Werbewirtschaft, freilich, tobt. Zu Recht geht sie davon aus, dass Google & Co in Zukunft ein Monopol für relevante Informationen besitzen werden. Für die betroffenen Nutzer lautet die Botschaft: Ihr seid zwar die nervigen Cookie-Banner los, gegen die Spionage durch den "Großen Bruder" könnt ihr euch aber bald überhaupt nicht mehr zur Wehr setzen.

Diese Dystopie berücksichtigt allerdings nicht, dass Menschen, denen der Datenschutz ein Anliegen ist, auch nicht untätig bleiben werden. Erfahrungsgemäß ist damit zu rechnen, dass bald technische Möglichkeiten zur Verfügung stehen, mit denen man die rabiate und überhebliche Datensammlerei großer Konzerne wenigstens empfindlich stören kann. Erste Ansätze dazu sind bereits erkennbar. An die Adresse der Gesetzgeber und der Datenschutzbehörden in der EU ist diese Botschaft zu richten: Die weltweite Internetwirtschaft fühlt sich nicht durch fromme Aufrufe an die Einhaltung von Vorschriften gebunden. Sie reagiert nur auf konsequente und energische Durchsetzung bestehender Regeln. Das sollte man bei der Rechtsanwendung jedenfalls berücksichtigen.

Quellen:

https://www.faz.net/aktuell/politik/inland/datenschutz-was-hilft-gegen-die-cookies-im-internet-17597957-p3.html
(1.11.2021)

https://www.sueddeutsche.de/wirtschaft/cookies-internet-datenschutz-identitaet-1.5479567
(5.12.2021)

https://orf.at/stories/3242711/
(6.1.2022)

https://www.derstandard.at/story/2000132349640/millionenstrafe-fuer-google-und-facebook-wegen-cookies-in-frankreich
(7.1.2022)

https://www.sueddeutsche.de/wirtschaft/cookies-internet-datenschutz-identitaet-1.5479567?utm_source=pocket-newtab-global-de-DE
(8.12.2021)

https://www.derstandard.at/story/2000132424461/europaeische-netzanbieter-laufen-gegen-neues-privacy-feature-von-apple-sturm
(11.1.2022)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Niederlage für "Lernsieg"

Wie immer man dazu stehen mag: Aus dem Versuch, mittels einer App ungeliebte Lehrer öffentlich anzuprangern, wird wenigstens vorerst einmal nichts. Der begeisterte jugendliche "Erfinder" der Anwendung und seine Sponsoren wurden vom Oberlandesgericht (OLG) Wien eingebremst. Bis Weihnachten 2021 musste die Verarbeitung der Daten des Lehrers, der die Klage eingebracht hatte (und damit auch die Daten aller anderen Lehrer) beendet, das heißt gelöscht sein. Lernsieg erlitt eine krachende Niederlage.

Aufmerksamkeit erregte das Vorhaben des Gerade-erst-ex-Schülers Benjamin Hadrigan bereits 2019: Er verlautbarte, mittels einer Plattform Lehrer quer über alle österreichischen Schulen bewerten zu lassen, so, wie man Restaurants, Hotels oder Ärzte bewerten kann. Klarer Weise sind solche Lehrerbewertungen besonders emotionsgetrieben. Dass sie immer eine sachliche Grundlage haben, ist keineswegs gesichert. Daher sind auch die Berufsgruppenvertretungen der Lehrer sofort und mit allen juristischen Mitteln gegen Hadrigan und seine Investoren vorgegangen.

Anfänglich hatten sie wenig Erfolg. Die Datenschutzbehörde, das Landesverwaltungsgericht und das Bundesverwaltungsgericht, die die Angelegenheiten unter ausschließlich datenschutzrechtlichen Aspekten prüften, erkannten keine Rechtswidrigkeiten. Das OLG Wien hingegen stellte weitergehende Überlegungen an. Von der Meinungsfreiheit erfasst wäre nur eine Beurteilung, die auf eigener, persönlicher Erfahrung beruht. Ein Zitat aus dem Urteil:

"Die beklagten Parteien sind gegenüber der klagenden Partei schuldig, ab sofort die Verarbeitung personenbezogener Daten der klagenden Partei in der App „Lernsieg“ oder in ähnlichen Applikationen im Internet, insbesondere dadurch, dass Daten zur Person der klagenden Partei dort aufgenommen und mit einer Möglichkeit zur Bewertung der klagenden Partei als Lehrer der Berufsschule 1 – Wels verknüpft werden, sowie auch jegliche ähnliche derartige Handlungen zu unterlassen, es sei denn, dass dabei sichergestellt wird, dass die klagende Partei nur von Personen bewertet wird, die die klagende Partei unterrichtet hat." (Anm: Zitiert nach "brutkasten.com")

Dass Hadrigan der Entscheidung verständnislos gegenüber steht, ist nachvollziehbar, aber mit seinem Alter und der fehlenden juristischen Ausbildung erklärbar. Das OLG Wien beruft sich nämlich in seiner Urteilsbegründung ausdrücklich auf die DSGVO und den dort angeführten Schutz der Meinungsfreiheit. Aber - und das ist wichtig - die Grenze der Meinungsfreiheit wurde vom Gericht gezogen, wo Sachargumente leicht durch Stimmungsmache ersetzt werden können. Vielleicht wäre die Entscheidung für den jungen Hadrigan und seine Unterstützer verständlicher gewesen, hätte sich das Gericht auf andere Rechtsmaterien berufen, kraft derer die Meinungsfreiheit in den gesetzlichen Grenzen gewährleistet ist. So aber bleibt beim Unterlegenen der fälschliche Eindruck, unterschiedliche Gerichte würden in der gleichen Sache in unterschiedlichen Rechtszügen unter Berufung auf die gleiche Rechtsgrundlage unterschiedlich urteilen - was aber so nicht richtig ist.

Tatsächlich erkennt das OLG Wien zu Recht, dass "Lernsieg" ausdrücklich kein datenschutzrechtliches Problem darstellt. Problematisch sei hingegen die Möglichkeit, dass Bewertungen eines Lehrers von jederman, also auch von Personen vorgenommen werden können, die den Betroffenen nicht persönlich kennen. Diese Kritik richtet sich an die Struktur des Bewertungssystems, das keinen Schutz vor Missbrauch bietet.

Noch wurde der Text des Urteils nicht zur Gänze veröffentlicht, womit auch die Passagen der Begründung nicht bekannt sind, in denen die Rechtsgrundlagen für die Entscheidung angeführt sind. Gerade diese haben aber sicherlich auch für andere Bewertungs-Plattformen Bedeutung, sofern auch dort die Möglichkeit besteht, dass Betroffene von Personen bewertet werden, denen für diese Bewertung jede vernünftige Grundlage fehlt.

Quellen:

https://wien.orf.at/stories/3133428/
(7.12.2021)

https://www.tt.com/artikel/30807807/olg-untersagt-lehrerbewertungs-app-nutzung-von-lehrerdaten
(7.12.2021)

https://brutkasten.com/nach-olg-urteil-lernsieg-kaempft-mit-spendenaufruf-ums-ueberleben/
(7.12.2021)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Kurios: Genervter Kunde der Air France "kapert" herrenlose Domain

Merkwürdiger geht's wohl nimmer: Ein Kunde von Air France, der eine Reklamation anbringen wollte, hatte sich des von Air France angebotenen Web-Formulars bedient. Allein - nach dem Absenden des ausgefüllten Formulars erhielt er die Fehlermeldung "no such domain". Nachdem auch die Versuche des Mannes, mit Air France telefonisch Kontakt aufzunehmen, ergebnislos blieben, forschte er nach. Und tatsächlich: Das Online-Formular versandte die Nachrichten an eine nicht registrierte Domain. In seinem gerechten Zorn meldete der Mann auf den von Air France verwendeten Domain Name im eigenen Namen eine Domain an - und siehe da: Seit diesem Zeitpunkt landen alle Beschwerdeschreiben an Air France bei ihm.

Um sich nicht strafbar zu machen stellte der findige Mann eine automatische Weiterleitung für die Mails ein und schickt sie als Beweisstücke für andauernde, laufende Datenschutzverletzungen an die französische Datenschutzbehörde. Es wäre ein Leichtes für Air France, einfach im Webformular die programmierte Adresse zu ändern. Allein dort scheint niemand Interesse an der Sache zu haben.

Jubel über David, der einen Sieg über Goliath errungen hat, könnte allerdings zu früh losbrechen. Die Behörde wird nämlich abwägen müssen, was schwerer wiegt: die Schlamperei und Ignoranz von Air France, die sehenden Auges duldet, dass tausende Personen ihre Bankdaten, Wohnadressen, Fluginformationen etc. in das Postfach eines Unbefugten leiten; oder die (verständliche) Dreistigkeit eines Dritten, der in eine fehlerhafte Kommunikation "eindringt", die nicht für ihn bestimmt ist. Beide Ansichten hätten etwas für sich und wären juristisch argumentierbar. Der Ausgang der Sache wird jedenfalls spannend.

Quelle:

https://futurezone.at/amp/digital-life/air-france-kunde-genervt-warteschleife-rueckerstattung-storno-domain/401831911
(6.12.2021)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!