LAG Berlin-Brandenburg zum privat mitgenutzten Email Account

Veröffentlicht am von
Kommentar

Das Landgericht Berlin Brandenburg geht in seiner Entscheidung 4 Sa 2132/10 davon aus, dass

  1. der Arbeitgeber auch bei erlaubter privater Nutzung des dienstlichen Email Accounts nicht Telekommunikationsanbieter wird.
  2. der Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitgebers im Rahmen einer Güterabwägung mit den Interessen des Arbeitgebers im Einzelfall ermittelt werden muss

 

In dem Unternehmen besteht eine Betriebsvereinbarung, die die Nutzung des dienstlichen Email Accounts für private Zwecke in geringen Umfang erlaubt, wenn die privaten Emails mit dem Zusatz “privat” im Betreff gekennzeichnet sind. Im Weiteren regelt die Betriebsvereinbarung, unter welchen Voraussetzungen eine Kontrolle, insbesondere eine Inhaltskontrolle der privaten Emails möglich ist.

 

Das Gericht stellt in seinen Entscheidungsgründen fest, dass der Arbeitgeber, der lediglich seinen Arbeitnehmern auch die private Nutzung des dienstlichen Email Accounts gestattet, kein Dienstanbieter im Sinne des Telekommunikationsnetzes ist. Das Gericht begründet diese Auffassung damit, dass der Arbeitgeber werde, Telekommunikationsleistungen geschäftsmäßig erbringe noch an der en Erbringung mitwirke.

 

Das Gericht führt ergänzend aus, dass selbst bei der Annahme der Arbeitgeber sei, Anbieter, § 88 TKG im Sinne des Art. 10 Abs. 1 GG nur die unkörperliche Übermittlung von Informationen an individuelle Empfänger m it Hilfe des Telekommunikationsverkehrs schütze. Nach Auffassung des Gerichts erstrecke sich der Schutzbereich nicht mehr auf die außerhalb des Telekommunikationsvorgangs gespeicherten Inhalte und Umstände der Kommunikation. Nach Auffassung des entscheidenden Gerichts endet der Schutz des Fernmeldegeheimnisses in dem Moment in dem die Mail beim Empfänger angekommen, und damit der Übertragungsvorgang beendet ist. Auch die zu diesem Zeitpunkt gespeicherten Verbindungsdaten werden nicht mehr von Art. 10 GG geschützt. Als Konsequenz dieser Rechtsauffassung unterliegt der Zugriff des Arbeitgebers auf die Datenbestände nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses.

Wie zuverlässig sind Clouddienste

Veröffentlicht am von
Kommentar

Die Cloud ist in aller Munde und wird als die Lösung der lokalen Computerprobleme angepriesen. Leistung und Speicher sind on Demand verfügbar und müssen nicht lokal vorgehalten werden.

Die Idee ist grundsätzlich ja gut, aber zentralisierte Dienste bergen auch die Gefahr einer gewissen Abhängigkeit von Faktoren, die nicht mehr beeinflusst werden können. So hat ein Blitzeinschlag in Irland zu Ausfällen bei mehreren Cloud Diensten sowohl bei Amazon als auch bei Microsoft geführt. Grundsätzlich kann man sicher von hoch performanten und gut abgesicherten Cloud Rechenzentren ausgehen, aber im Ergebnis ist es erheblich schwieriger geworden, die Sicherheit von Systemen persönlich zu prüfen.

Automatisch SSL Verbindung

Veröffentlicht am von
Kommentar

Die neue Firefox Extension HTTPS Everywhere leitet den Nutzer automatisch auf die jeweilige SSL Ausgabe der Webseite weiter. Eine SSL Verbindung verschlüsselt die Kommunikationsverbindung vom Webbrowser bis zum Internetangebot. Z.B. Bankverbindungen werden mit dieser Verschlüsselungsmethode gesichert.

Eine SSL Verbindung kann man z.B. durch ein Schloss in der Adresszeile des Browsers erkennen. Besonders sichere Verbindungen werden zudem durch einen grünen Balken angezeigt.

Es ist immer empfehlenswert auf die SSL Variante einer Webseite zu setzten, da so alle übertragenen Informationen geschützt werden.

Entwicklungen Stiftung Datenschutz

Veröffentlicht am von
Kommentar

Die Frage, wohin die Reise der Stiftung Datenschutz geht, ist sicherlich erlaubt. Diese Frage stellt aktuell die SPD-Fraktion in einer aktuellen Veröffentlichung auf ihrer Webseite: Koalition demonstriert erneut Handlungsunfähigkeit beim Datenschutz.

Auf eine Kleine Anfrage antwortete die Bundesregierung zur Stiftung Datenschutz.

Laut dieser Antwort sind die zentralen Ziele der Stiftung Datenschutz:

  1. Entwicklung eines Datenschutzzertifikats
  2. Bildung und Aufklärung

 

Aus Sicht der SICODA GmbH sind die hier beschriebenen Ziele sicherlich sinnvoll, die konkrete Umsetzung sollte aber schnellstmöglich erfolgen und sich den Anforderungen der Praxis anpassen.

Die Entwicklung eines Datenschutzzertifikats ist sicherlich eines der vordringlichsten Themen. Die private Wirtschaft verlangt in verschiedenen Bereichen nach einem solchen Zertifikat. Bei der Entwicklung eines solchen Zertifikats sollte darauf geachtet werden, dass es der betrieblichen Praxis entspricht. Das Zertifikat darf nicht zu einem Luxusgut für einige werden, sondern sollte ein erreichbarer Standard für die private Wirtschaft werden.

Unsere Forderung für die Ausgestaltung der Zertifizierung:

  1. Unternehmenszertifikat:
    Es muss ein Unternehmenszertifikat geben, dass die Einhaltung des Datenschutzrechts und der notwendigen Datensicherheit im gesamten Unternehmen nachweist.

     

  2. Prozesszertifikat:
    Gerade im Bereich Auftragsdatenverarbeitung sollte ein Prozesszertifikat entwickelt werden, das lediglich einzelne Prozesse im Unternehmen zum Inhalt hat und somit ein Mindestmaß an Sicherheit für Auftraggeber bring. Dieses Prozesszertifikat muss so ausgestaltet sein, dass es die nach § 11 BDSG erforderliche Auftragskontrollanforderung erfüllt.

     

  3. Produktzertifikat:
    Als dritte Stütze der Zertifizierung sollte ein Produktzertifikat entwickelt werden, das wie z. B. das ULD-Datenschutzgütesiegel auch, die datenschutzkonforme Einsatzmöglichkeit von Softwareprodukten und Onlineservices nachweist.

Smartphone Standort über WLAN Access Points

Veröffentlicht am von
Kommentar

Immer wieder gerät das Verhalten von verschiedenen Smartphone OS in die Kritik, die zur Bestimmung des Standortes die erreichbaren WLAN Access Points analysiert. So können auch Geräten ohne oder mit deaktiviertem GPS verhältnismäßig genau lokalisiert werden. Zuletzt ist Microsoft in die Kritik geraten, solche Informationen zu erheben und zu verwenden. Die Webseite CNET behauptet, dass Microsoft, anders als andere Anbieter solcher Informationen, diese ungeschützt im Internet zur Verfügung stellt.

Es stellt sich nach deutschem Recht bereits die Frage, inwieweit solche Informationen überhaupt erhoben werden können.

Insgesamt ist allen WLAN Accespoint Betreibern dringend zu raten, die Sichtbarkeit Ihres Routers zu deaktivieren. Wenn die Sichtbarkeit des Routers deaktiviert ist, sind die Statusinformationen des Routers nicht mehr ohne weiteres abfragbar.

Wie sicher sind Logindaten noch

Veröffentlicht am von
Kommentar

Nach berichten des Wallstreet Journal wurde nun ein südkoreanisches Social Network erfolgreich angegriffen. Vor dem Hintergrund dieser aktuellen Meldung und den  IT-Sicherheitsgefahren der Vergangenheit stellt sich immer wieder die Frage, wie sicher Logindaten im Internet sind. User sollten bei der Wahl der Login Daten wie Username, Passwort und Emailadresse immer beachten, dass diese nicht kontrollierbaren Gefahren beim jeweiligen Anbieter ausgesetzt sind.

Die Speicherung des Passwortes z.B. ist eine besonders heikle, vom User aber nicht zu beeinflussende oder kontrollierbare Gefahr. Systeme können Passwörter unter Verwendung von sogenannten Hashfunktionen speichern. Wird die Hashgenerierung dann noch mit einem Salt abgesichert, wird es für mögliche Angreifer annähernd unmöglich sein, das Passwort aus diesem Prüfhash zu erstellen.

Vor allem alte Systeme speichern das Passwort im Klartext. Der User kann solche Systeme nur daran erkennen, dass diese bei Passwortverlust das Originalpasswort zusenden können. Wäre ein Prüfhash gespeichert, wäre das Passwort auch dem Betreiber nicht bekannt und er müsste einen Rücksetzlink versenden.

Eine Gefahr dieser Klartext Passworte ist, dass bei einem oft verwendeten Username der Angreifer zudem eines der verwendeten Passworte kennt und sich so in anderen Systemen, schlimmstenfalls im Firmennetz, anmelden kann.

Als Schutz kann man hier nur empfehlen niemals das gleiche Passwort zweimal zu verwenden.

Klarnamen in Sozialen Netzen

Veröffentlicht am von
1

Nachdem Google den Klarnamenzwang für seinen Plus Dienst mit einer gewissen Nachhaltigkeit fordert, stellt sich natürlich die Frage, ob es nicht sinnvoller wäre insgesamt auf den Klarnamen zu verzichten.

Auch die Nutzung von Pseudonymen ist nur schwierig durchzuhalten, da die Repersonalisierung über starke Personensuchmaschinen immer wieder möglich wird.

Im Ergebnis müsste so für jede Anwendung ein eigenes Pseudonym gesucht werden und selbst dann wäre das Pseudonym nur bedingt geschützt.

Im Ergebnis sollten sich Nutzer viel mehr fragen, für wen sie welche Informationen zu ihrem privaten Leben preisgeben.

EU Kommission drängt auf Umsetzung der TK Richtlinie

Veröffentlicht am von
Kommentar

Die EU Kommission ermahnt insgesamt 20 Mitgliedsstaaten zur Umsetzung der TK Richtlinie [Digitale Agenda: Kommission ermahnt 20 Mitgliedstaaten wegen verspäteter Umsetzung der der EU-Telekommunikationsvorschriften]. Im Rahmen der Umsetzung der TK Richtline werden neben anderen verbraucherschützenden Vorschriften Regelungen im Mediendatenschutz vorgeschrieben. Besonders die neuen Anforderungen zur Verwendung von Cookies stößt auf breiten Widerstand.

Eine mögliche Umsetzung des geforderten Cookie Opt – In zeigt der englische Beaftragte für Datenschutz auf seiner Webseite http://www.ico.gov.uk/. Hier wird mustergültig die Einwilligung in das Setzen eines Langzeitcookies vorgeführt.

Interessant wäre natürlich auch, wieviele Nutzer dem Cookie zustimmen. Die Bundesregierung hat sich indes im Januar noch für ein weiteres Abwarten im Hinblick auf die Entwicklung des Cookie Opt In entschieden. Im Raum steht z.B. die Selbstverpflichtung der Wirtschaft zur Gestaltung der Aufklärung und Verwendung von Cookies.

Datenschutz bremst ELENA aus

Veröffentlicht am von
Kommentar

Nach aktuellen Informationen wird das vor einem Jahr eingeführte Verfahren zur elektronischen Abrechnung von Sozialleistungen ELENA wieder eingestellt.

Datenschützer haben auf die Problematik schon vor Beginn des Verfahrens hingewiesen.

Jetzt hat sich die Bundesregierung der IT Anforderungen an große Datenbanken angenommen und hat erkannt, dass ohne die Einführung einer elektronischen Signatur eine sichere Datenverarbeitung nicht möglich ist.

 

Angriff auf Kundendaten

Veröffentlicht am von
Kommentar

Der neuerlich gemeldete Angriff auf die Kundendaten der Sammelbidlertauschplattform der Webseite REWE.de zeigt, dass sich der Nutzer nicht auf die Sicherheit der IT-Sysetme verlassen kann. Auch professionell betriebene Systeme sind der Gefahr des Datendiebstahls ausgesetzt. Gerade vor dem Hintergrund eines solchen Datendiebstahls ist die Frage der Passwortverwaltung umso wichtigter. Wenn jetzt Nutzer das Passwort dieser Plattform auf anderen Plattformen nutzen, besteht die Gefahr, dass sich Angreifer hier auch unter fremden Profil anmelden können.

 

Auch hier ist es ratsam sogeannnte Passwort Safes einzusetzen, die es dem Nutzer möglich machen, für jedes Webangebot ein eigenes Passwort zu verwenden. Nur so kann der drohenden Schaden bei einem Passwortverlust klein gehalten werden.