Author Archives: Oliver Gönner

RSA Schlüsselpaare mehrfach vorhanden

Posted on by
Reply

Wissenschaftler der Universität Lusanne haben eine Sicherheitsgefahr für RSA Schlüssel ausmachen können. In dem Artikel Ron was wrong, Whit is right stellen die Wissenschaftler die Gefahr dar.

Das RSA Verschlüsselungsverfahren basiert auf dem Grundsatz der Komplexität. Insbesondere die Primfaktorzerlegung stellt in diesem Verfahren die besondere Herausforderung dar. Je größer und Zufällig die Primzahlen um so schwieriger wird die Faktorzerlegung.

Die Forscher der Universität konnten feststellen, dass die Generierung der Schlüsselpaare im für die Verschlüsselung nicht so zufällig erfolgte, wie angenommen. Die wissenschaftler konnten in der Auswertung öffentlicher RSA Schlüssel feststellen, dass es öffentliche Schlüssel gibt, die mehr als einmal existieren. Nachrichten, die mit diesen, mehrfach existenten Schlüsseln verschlüsselt wurden, können auch von Besitzern der dann gleichen geheimen Schlüssel entschlüsselt werden.

Soweit man bei den geringen absoluten Zahlen von Kollisionen von besonders betroffenen Systemen sprechen kann, sind nach Aussage der Forscher Embedded-Geräte besonders betroffen.

Eines der Probleme kann die fehlende Zufälligkeit in der Generierung der Schlüssel sein. Gerade für solche Hardware Geräte ist es schwierig auf einen wirklichen Zufallsalgorithmus zugreifen zu können.

Die Konsequenz für Wirtschaft und Nutzer ist indes nicht ganz klar. Die Mechanismen der Schlüsselgenerierung sind nicht ohne weiteres beeinflussbar. Soweit das System aber Interaktion zur Zufälligkeit eines Schlüssels forder (z.B. Mausbewegung bei der Generierung), sollte diese Gelegeneheit ernsthaft genutzt werden.

EU Datenschutzverordnung – Art. 1 – Gegenstand und Ziel

Posted on by
Reply

Nach dem Entwurfstext soll die Verordnung die Regeln zum Schutz personenbezogener Daten und zum freien Datenverkehr beinhalten. Der Anwendungsbereich der Verordnung deckt sich somit mit dem Anwendungsbereich der alten Richtlinie.

 

Article 1 – Subject matter and objectives

1. This Regulation lays down the rules relating to the protection of individuals with regard to the processing of personal data and the rules relating to the free movement

of personal data.

2. The objectives of this Regulation are:

(a) to protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data; and

(b) to ensure that the free movement of personal data within the Union is neither restricted nor prohibited for reasons connected with the protection of individuals with regard to the processing of personal data.

SICODA Serie – General Data Protection Regulation

Posted on by
Reply

© Jürgen Priewe - Fotolia.com

Die SICODA GmbH wird in der Folgenden Serie zu den neuen Regelungen der General Data Protection Regulation GDPR Stellung nehmen. Die Artikelsammlung soll als erster strukturierter Schritt für die Bewertung und Einschätzung der Neuerungen dienen.

Wie bereits angekündigt, plant die EU Kommission die Vereinheitlichung des Datenschutzes innerhalb Eurpoas: http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_de.pdf

 

Die gesamte Serie finden Sie unter:

http://blog.sicoda.de/index.php/category/eu-rl-vo/eu-datenschutzverordnung/

 

Das aktuelle Proposal in der Version 56 vom 29.11.2911 finden Sie unter:

http://statewatch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf

 

Einwilligung entsprechend der EU Datenschutzverordnung (General Data Protection Regulation Version 56)

Posted on by
Reply

Die SICODA GmbH empfiehlt die Einwilligung als Verarbeitungserlaubnis nur dann einzusetzen, wenn es keine wirtschaftlich adäquate Alternative gibt.

 

Entsprechend der Version 56 der General Data Protection Regulation soll es künftig genauere Regelungen zur Einwilligung im Datenschutz geben.

Artikel 7 fordert in sechs Punkten:

  1. Die Beweislast für das vorliegen einer Einwilligungserklärung liegt bei der verantwortlichen Stelle.
  2. Soweit eine Erklärung im Rahmen eines schriftlichen Dokumentes abgegeben wird muss die Datenschutzerklärung deutlich hervorgehoben werden.
  3. Der Betroffene kann die Einwilligungserklärung jederzeit mit Wirkung für die Zukunft zurückziehen.
  4. Soweit ein Ungleichverhältnis der Parteien besteht, soll einer Einwilligungserklärung unzulässig sein.
  5. Eine Einwilligung darf nicht die Verarbeitungsgrundlage darstellen soweit
    1. öffentliche Stellen hoheitlicher Aufgaben erfüllen oder
    2. es sich um Datenverarbeitungen aus dem Arbeitsverhältnis handelt.
  6. Die Einwilligung eines Kindes ist nur mit Genehmigung eines Erziehungs- oder Betreuungsberechtigten zulässig.

 

Im Ergebnis wird in dem neuen Art. 7 der Datenschutzverordnung nur gesetzlich festgelegt, was bereits § 4 BDSG geregelt ist. Auch hier wird die freiwillige schriftliche Einwilligung bereits gesetzlich vorgeschrieben.

So weit Art. 7 Abs. 5b auf die Einwilligung im Arbeitsverhältnis eingeht, bleibt abzuwarten, inwieweit diese Regelung mit den geplanten Änderungen des § 32ff BDSG in Einklang zu bringen ist, die jedenfalls in einzelnen aufgezählten Fällen die Einwilligung im Arbeitsverhältnis zu lassen. Art. 8 dieser Verordnung schränkt die Regelungen zur Datenverarbeitung im Arbeitsverhältnis insofern ein, dass hier nationale Gesetze mit besonderen Sicherheitsmaßnahmen für die Betroffenen unter dem Schutzrahmen dieser Datenschutzverordnung bleiben können. Inwieweit diese Erleichterung auch auf Art. 7 anwendbar ist, bleibt abzuwarten.

In den Entscheidungsgründen zu Art. 7 wird ausgeführt dass eine Einwilligung im Arbeitsverhältnis niemals eine gültige Rechtsgrundlage bilden dürfe.

 

EU Datenschutzverordnung – Ziel der Verordnung

Posted on by
Reply

Die Kommission will mit diesem neuen Ansatz ein Rahmenwerk für Datenschutz innerhalb der Europäischen Union bereitstellen. Man ist der Auffassung das die rasende Entwicklung in der Technologie Herausforderungen für den Datenschutz sich bringt. Diesen Herausforderungen soll sich eine neue Verordnung zum Datenschutz stellen. Man ist der Auffassung, dass das fehlende Vertrauen die online Entwicklung hemmt und durch geeignete gesetzgeberische Vorgaben gefördert werden kann.

Art. 8 der Grundrechtscharta garantiert den Schutz personenbezogener Daten. Der aktuelle gesetzgeberische Rahmen bietet keine ausreichende Sicherheit in der Implementierung des Datenschutzes innerhalb der einzelnen europäischen Staaten.

Daher vertritt die EU-Kommission zur Zeit die Auffassung, dass eine Harmonisierung des Datenschutzrechts innerhalb Europas nur mit einer Datenschutzverordnung erreicht werden kann. Im Unterschied zu Richtlinien sind für Ordnungen der Europäischen Union direkt anwendbares nationales Recht und müssen nicht mehr durch eigene nationale Gesetze umgesetzt werden. Die EU Datenschutzrichtlinie 95/46 wurde mit dem Bundesdatenschutzgesetz 2001 von der Bundesregierung in nationales Recht der Bundesrepublik überführt.

Cookies und das TKG

Posted on by
Reply

Die Bundesregierung vertagt die Entscheidung über eine Ausgestaltung Regelung zur Verwendbarkeit von Cookies.

Entwurf:

“Einzelfragen der Umsetzung der Änderung von Art.
5 Abs. 3 der Richtlinie 2002/58/EG sind derzeit Gegenstand umfangreicher Konsultationen auf europäischer Ebene, die auch Selbstregulierungsansätze  der betroffenen Werbewirtschaft umfassen. Das Ergebnis dieses Prozesses wird vor einer Entscheidung über weitergehenden gesetzgeberischen Handlungsbedarf zunächst abgewartet. ”

 

Auf Grund obiger Richtline müßte nach aktuellem Stand für jedes Cookie eine Einwilligung durch den Nutzer erteilt werden.

Die praktischen Auswirkunge einer solchen Regelung könnte in einer wahren Pop Up Flut enden. Zudem ist nicht klar inwieweit das Kopplungsverbot, dass mit Gesetzesänderung aus dem TMG in das BDSG gewandert ist, weiterhin für die Nutzung von Telemedien besteht. In der alten TMG Regelung war klar, dass Mediendienste nicht an Einwilligungen in Datenverarbeitungen gekoppelt werden durften. Die neue BDSG Regelung die ausweislich der Gesetzesbegründung auch für das TMG als Lex Generalis gelten soll, bezieht sich im Hinblick auf das Kopplungsverbot allerdings nur auf das Verbot der Kopplung von Einwilligung in eine Datenverarbeitung mit einen Vertragsschluss.

 

Im Extremfall könnte also Webseitenbetreiber die Nutzung ihrer Webseite von der Einwilligung in das Setzen von Cookies abhängig machen.
Da in dieser Frage noch keine Rechstprechung exisitert, bleibt die Rechtslage unklar.

 

Personenbezug von IP Adressen

Posted on by
Reply

Der Personenbezug von IP Adressen wird von Aufsichtsbehörden generell angenommen. Dieser Auffassung ist auch das Amtsgericht Berlin gefolgt.

Das Oberlandesgericht Hamburg stellt diese seit langem geltnende Prämisse jetzt in Frage. In der Entscheidung 5W126/10 äußern sich die Richter bezüglich des generellen Personenbezugs von IP Adressen sehr kritisch.

“Dass das Ermitteln der IP-Adressen nach deutschem Datenschutzrecht rechtswidrig sein könnte, ist nicht ersichtlich, da bei den ermittelten IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden kann. Der Personenbezug wird erst durch die seitens der Staatsanwaltschaft nach §§ 161 Abs. 1 S. 1 und 163 StPO angeforderte oder gem. § 101 Abs. 9 UrhG gerichtlich angeordnete Auskunft des Providers ermöglicht. Das Erteilen derartiger Auskünfte hat der BGH in der vorerwähnten Entscheidung „Sommer unseres Lebens“ (dort. Tz. 29) ausdrücklich als rechtmäßig angesehen.”

Mit dieser Oberlandesgerichtsrechtsprechung kann nicht uneingeschränkt an der bisherigen Prämisse festgehalten werden.

Der Gesetztgeber ist hier gefragt, in der anstehenden Änderung des TMG eine endgültige Entscheidung in der Frage des Personenbezugs von IP Adressen zu treffen.

Facebook Like Button ist nicht wettbewerbswidrig

Posted on by
Reply

Laut einer Meldung von Golem.de hat das Landgericht Berlin die Verwendung des Facebook Like Buttons nicht als wettbewerbswidrig angesehen.

Diese Entscheidung sollte aus Datenschutzssicht nicht falsch verstanden werden. Der Facebook Like Button ist weiterhin zumindest problematisch wenn nicht sogar gänzlich unzulässig.

Das Landgericht hat in seiner Entscheidung lediglich über die wettbewerbsrechtliche Komponente entschieden und ist zu dem Ergebnis gekommen, dass es durch die Verwendung des Buttons nicht zu einem Wettbewerbsvorteil kommt.

Das Gericht erkennt richtiger Weise, dass Datenschutzrechte grundsätzlich nicht die Wettbewerber schützten sollten, es verkennt in dieser Entscheidung aber den Wettbewerbsvorteil, den positive Bewertungen einer Seite oder eines Angebots darstellen. Dieser Vorteil wird unter Missachtung von geltendem Medienrecht erlangt.

 

Weiterhin muss die Zulässigkeit des Facebook Like Buttons hinterfragt werden.

Framework für RFID Anwendungen

Posted on by
Reply

Die Art. 29 Datenschutzgruppe hat in ihrem Workingpaper 180 Stellung genommen zum Einsatz von RFID Technik. Das zur Zeit nur in der englischen Version erhältliche Workingpaper “Opinion 9/2011 on the revised Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications
Vor der Einführung von RFID Technik sollen die datenschutzrelevanten Persönlichkeitsbeeinträchtigungen in geeigneter Weise geprüft und bewertet werden. Die Prüfberichte sollen für Berechtigte verfügbar sein und somit eine Transparenz des Verfahrens sicherstellen.

 

Das Analyseverfahren soll in zwei Schritten erfolgen. In einer ersten Phase soll ermittelt werden wie umfangreich die Prüfung der Eingriffe in Persönlichkeitsrechte ist. Soweit tatsächlich personenbezogene Daten verarbeitet werden, ist eine umfassende Prüfung der Rechte der Betroffenen erforderlich.
Im Rahmen der Risikoanalyse sollen folgende Punkte behandelt werden:

  1. Charakteriesierung der Datenverarbeitungen mit Datentypen, Datenflüsse, verwendete Technik, Speicherung und Transfer von Daten
  2. Risikoanalyse der Verletzung von Persönlichkeitsrechten bei Verlust von Vertraulichkeit im System
  3. Kontrollmechnismen, die die vorherigen Risiken minieren.
  4. Maßnahmen zur Sicherung der Persönlichkeitsrechte der Betroffenen. 

 

Die von der Art. 29 Gruppe zusammengestellt Anforderung waren im Prinzip so auch schon über die Notwendigkeit einer Vorabkontrolle nach § 4d Abs. 5 BDSG im deutschen Recht verankert. In der Praxis wurde insbesondere die Risikoanalyse bisher nicht mit der erforderlichen Ernsthaftigkeit betrieben.

 

Bundestag: TKG-Novelle 2011 beschlossen

Posted on by
Reply

Der Deutsche Bundestag hat am 27. Oktober 2011 die Novelle zum Telekommunikationsgesetz (TKG) beschlossen.

Eine der wesentlichen Regelungsfelder war die Speicherung der Verkehrsdaten. Dementsprechend ist der Antrag auf Netzneutralität gescheitert. die bisherige Regelung zur so genannten Vorratsdatenspeicherung der Paragraphen 113 a und 113 b TKG wurden vom Bundesverfassungsgericht im März 2010 als nichtig erklärt. Da die gesetzliche Regelungen aufgrund des Urteils des Bundesverfassungsgerichts nichtig sind, hat der Gesetzgeber keine Notwendigkeit gesehen die Paragraphen aus dem Gesetz zu streichen.

Der Bundestag hat auch darauf verzichtet die EU-Richtlinie 2009/136/EG zum online Recht umzusetzen. Hiermit besteht für Unternehmen in der Bundesrepublik weiterhin eine Rechtsunsicherheit Im Hinblick auf den Onlinehandel. Einzelne Aufsichtsbehörden im Datenschutz vertreten die Auffassung das besagte EU Richtlinie direkt anwendbar sein. Diese horizontale Bindungswirkung EU Richtlinien ist in der rechtlichen Praxis stark umstritten.