Zeugen Jehovas und die DSGVO

Bei uns zu Hause tauchen die Zeugen Jehovas regelmäßig auf. Ich hatte noch nie mit deren Hausbesuchen Bekanntschaft gemacht, ich hielt das irgendwie immer für eine moderne Legende. Aber meine Frau durfte denen schon ein paar Mal die Tür aufmachen. Neulich kamen statt der zwei Frauen zwei Männer und fragten, ob wir generell keine Besuche von den Missionaren wünschten. Das hat meine Frau so nie gesagt. Wenn ich aber denen begegnet wäre, hätte ich das sicherlich getan, so wie ich das auch immer bei unerwünschten Werbeanrufen tue.

Die beiden Herren bezogen sich auf die Datenschutzgrundverordnung (DSGVO) und meinten, wenn wir gar keine Besuche mehr wünschten, dann müssten sie unsere Daten aufnehmen und speichern, und für diese Speicherung benötigen sie nun unsere Zustimmung. Meine Frau hat uns dann doch auf die „schwarze Liste“ setzen lassen. Ist aber schon komisch, daß jemand, mit dem man nichts zu tun haben möchte, Daten über einen speichert. Die datenschutzrechtlich korrekte Vorgehensweise wäre übrigens, vorher zu fragen, ob man Besuche haben möchte und dann diese Daten zu speichern („Opt-In“). Außerdem müssten sich die Zeugen Jehovas datensparsam verhalten. Sie müssten keine Namen aufnehmen, da in unserem Falle (Einfamilienhaus) die Adresse schon ausreicht um den negativen Missionierungswunsch zu speichern.


Nachtrag 30.08.2018

Bei Golem habe ich noch einen passenden Artikel gefunden.

Rückblick Datenschutzgrundverordnung

Nun ist seit über 6 Wochen die Daten die Datenschutzgrundverordnung (DSGVO) in Kraft. Davor war sie wochenlang das Thema Nummer eins und nun ist es erstaunlich still geworden. Die Welt ist nicht untergegangen. Es gab zwar ein paar zweifelhafte Abmahnungen skrupelloser Geschäftemacher. Die große Abmahnwelle ist wohl glücklicherweise ausgeblieben. Erstaunlich wenn für viele Firmen im Vorfeld nicht direkt die DSGVO das Hauptproblem bedeutete, sondern die Gefahr Abmahnopfer zu werden, da die konkrete Umsetzung einige Unklarheiten offen lässt, und windige Anwälte darin eine gute Einnahmequelle sehen könnten. Daran sieht man doch, dass das deutsche Abmahnwesen völlig krank ist.

Aber zurück zum Datenschutz. Ich habe das Gefühl, dass der Datenschutz jetzt noch häufiger als angeblicher Grund vorgeschoben wird, wenn man etwas nicht machen möchte oder nicht kann. „Datenschutz, sie wissen schon“ ist schon so eine Dauerentschuldigung geworden wie das gute alte „Wir stellen gerade auf SAP um“, womit man wochenlange Handlungsunfähigkeit von Unternehmen verbindet. Viele sind davon schon genervt; auch von den ganzen Hinweisen und Meldungen, die man im Internet wegklicken muss. Leider scheint sich kaum einer dafür zu interessieren, was er da eigentlich wegklickt oder besser gesagt bestätigt. Vielleicht wäre es auch mal klug zu hinterfragen, warum eine Nachrichtenseite Informationen über mich an X verschiedene Trackingunternehmen weitergeben muß. Vielleicht sollte man mal das ganze Modell mit der personalisierten Werbung in die Tonne treten. Das würde dem Datenschutz schon gewaltig helfen und die Seiten würden schneller laden, wenn nicht zig externe, teils obskure, Quellen eingebunden werden.

Eine Internetseite sollte überhaupt schlank aufgebaut sein, mit möglichst wenig Drittquellen, dann fällt die Datenschutzerklärung auch gleich mal wesentlich kürzer aus. Wenn man zu zu vielen Bestätigungklicks gezwungen wird, sollte man den Websitebetreiber mal darauf hinweisen, dass er doch mal lieber die Website datensparsamer umbauen sollte.

Erstaunlicherweise habe ich in den letzten Wochen wenig von den „Daten-sind-das-neue-Öl“-Rufern gehört. Müssten die sich nicht mal langsam Gedanken über ein neues Geschäftsmodell machen?

Facebook

tldr: Ich mag kein Facebook

Ich bin und war nie bei Facebook (FB) angemeldet. Aber trotzdem führt Facebook über mich ein sogenanntes Schattenprofil. Die haben meine E-Mail-Adresse und wissen mit wem ich befreundet bin. Wie sie an die Daten kommen? Schon länger gibt es bei FB die Möglichkeit seine E-Mail-Adressbücher hochzuladen; ich glaube diese Funktion nennt sich „Freundefinder“. Nahezu jeder Messenger hat auch diese unangenehme Eigenschaft. Die Betreiber berufen sich dann immer auf den Nutzer, der in AGB bestätigt hat, dass er die Erlaubnis eines Jeden hat, die Kontaktdaten weiterzuleiten. Tatsächlich dürfte das in mindestens 99,9 % der Fälle nicht stimmen. Mich hat noch nie jemand nach einer Zustimmung gefragt.

Irgendwann bekam ich dann mal eine E-Mail von FB, daß sich jetzt Person A bei Facebook angemeldet hat und mich einlädt auch dort Mitglied zu werden. Und dann stand da noch, daß ich vielleicht auch die Personen B und C kenne. Die seien ebenfalls bei FB. Alle drei kannten mich, sich aber nicht untereinander. Da war klar, daß mehrere Leute ungefragt meine Kontaktadresse an die Datenkrake weitergeleitet haben und FB hat einen Knoten im Netz, von einem User, der nicht registriert ist. Dort zu widersprechen halte ich nicht für aussichtsreich, da ich sicherlich zur Überprüfung meiner Legitimation noch mehr Daten von mir Preis geben muß. Ich glaube nicht daran, daß FB überhaupt irgend etwas löscht, auch wenn sie dazu verpflichtet wären. Diesen Internet-Klitschen traue ich keinen Millimeter.

Ich finde es auch bedenklich, daß FB in unterentwickelten Länder der Bevölkerung kostenlos/preiswert einen Netzzugang anbieten will. Dieser Zugang bezieht sich allerdings nicht auf das Internet, sondern nur auch FB-Inhalte. Mitte/Ende der Neunziger hatten wir schon mal die Situation mit eingeschränkten Diensten. Das war die große Zeit der Onlinedienste. Unternehmen wie Compuserve, AOL oder T-Online waren damals diejenigen, die den Leuten einfach einen Online-Zugang anbieten wollten. Das hat auch zeitweise geklappt. Die Online-Dienste waren ihre eigene Welt und der Zugangsanbieter hatte gleichzeitig die Kontrolle über die Inhalte. Irgendwann begriffen die Leute aber, daß es „da draußen“ noch viel mehr gibt. „Da draußen“ war das richtige Internet. Die User wollten dann auch ins Internet gehen und so schufen die Onlinedienste Tunnel, um das ganze Internet zu erreichen. Dieser Schritt läutete allerdings auch das Ende der Online-Dienste an, da kaum noch Leute die Inhalte des Dienstes abgerufen haben und sie nur noch reiner Zugangsanbieter waren. Andere Anbieter waren auch diesem Gebiet aber deutlich preisgünstiger. So daß AOL und Compuserve irgendwie in der Bedeutungslosigkeit verschwanden. Einzig T-Online konnte sich noch etwas halten, dank des Quasi-Monopols und der Tatsache, daß jeder Telefon-Kunde, ob er nun wollte oder nicht, ein T-Online-Account bekam; sogar wenn man diesem explizit widersprach.

Zurück zu Facebook: Ich kann es auch absolut nicht verstehen, wenn Unternehmen nicht ihre eigene Homepage betreiben, sondern nur eine FB-Seite. Eine eigene Homepage kostet bei vielen Providern und wenige Euro im Monat, inklusive eigener Domain und E-Mail-Adressen. Die Inhalte kann man sich auch recht schnell zusammenklicken. Eigentlich jeder große Anbieter hat so einen Baukasten. Und vor allem finde ich es mehr als ironisch, wenn Unternehmen ihre Homepage wegen der DSGVO schliessen und dann zu Facebook gehen. Wenn denen die DSGVO zu kompliziert ist, wie können sie dann die Nutzungsbedingungen von Facebook verstehen? Die sollen auch nicht denken, daß ja mit FB ein großer Konzern dahintersteht, der bestimmt alles richtig macht und die Nutzer beschützt. FB interessiert sich doch nicht für den einzelnen Nutzer. Denen ist die Dönerbude oder die Änderungsschneiderei im Zweifelsfall so egal.

Ich weiß auch nicht, was man mit solchen Unternehmen macht. Soll man ihnen die Alternativen aufzeigen oder sie gleich boykottieren, weil sie Kunden und Interessenten zu Nutzung dieser dieser Datenkrake zwingen?

Paypal-Security-Fail

Überall wird vor Phishing-Mails gewarnt; zu Recht. Oft lassen sich echte Mails nur schwer von Phishing-Mails unterscheiden. Die korrekte Ansprache mit Namen ist nur ein Indiz. Allerdings auch kein sicheres. So wurden ja umfangreiche Datensätze bei einem Hack bei Ebay entwendet. Darunter auch meine Daten. Zunächst kam eine E-Mail rein, die recht schlecht gemacht war. Stutzig machte mich aber die korrekte Postanschrift, sogar eine Telefonnummer war dort angegeben. Anhand dieser Telefonnummer konnte ich schließen, daß die Daten von Ebay stammen, da ich dort eine spezielle Rufnummer hinterlegt habe.

Wichtig ist auch immer zu erkennen, wohin die Links führen. Manche E-Mail-Clients zeigen nicht ohne weiteres den korrekten URL an.

Ich bekam ab und zu eine E-Mail, daß ich meine monatliche PayPal-Kontoübersicht abrufen sollte. Ich hielt das eine ganze Zeit für einen Phishingversuch, da die Links weder zu paypal.com noch zu paypal.de führten, sondern zu paypal-communication.com. Diese Mails sind aber doch von Paypal (PP). Das geht in meine Augen gar nicht. Da legt Paypal sich selbst ein Ei. Wenn sogar die eigenen Mails einen Phishing-Verdacht auslösen, weil man sich nicht an einfachste Grundsätze hält, dann behindert man als Unternehmen das erkennen von Phishing-Mails und fördert so den Betrug durch falsche Mails.

Ich habe für mich als zusätzliche Sicherheitsmaßnahme für jeden Anbieter, für jedes Forum, für jede Registrierung eine eigene E-Mail-Adresse. Das ist ein weiteres Hilfsmittel um die Echtheit der E-Mail zu erkennen.

Paypal ist sowieso ein zweifelhafter Laden. Die Idee Zahlungen übers Internet abzuwickeln ist ja gut und wenn Paypal funktioniert, dann geht es auch schnell. Aber muß ein Zahlungsdienstleister, der sogar eine Banklizenz besitzt, die Daten der Kunden großzügig in der Welt verteilen? Einer richtigen Bank hätte man schon längst auf die Füße getreten, wenn die die Zahlungen der Kunden auswerten und die gewonnenen Informationen an Werbekunden verkaufen würde.

Auch sperrt PP gerne mal Nutzer, weil die sich nicht an das US-amerikanische Recht halten, auch wenn die Zahlungen zum Beispiel nur zwischen deutschen Nutzern verschickt werden. Als US-Unternehmen unterwirft es sich den Embargos gegen diverse Länder. Die PP-Nutzer dürfen daher auch nicht gegen diese Vorschriften verstossen. Wenn dann ein Kundenkonto gesperrt wurde, ist auch erst einmal das Geld eingefroren. Ob das rechtlich OK ist, bezweifle ich mal stark. Denn Paypal sperrt gerne und oft Konten, zum Beispiel bei „ungewöhnlichen Aktivitäten“. Das können etwa Zahlungseingänge sein, die es in der Vergangenheit nicht gegeben hat. Wenn man also gerade mal etwas Geld braucht, ein paar Sachen verkauft und die Zahlungen über PP abwickelt, genau dann wird das Konto und das Guthaben gesperrt.

Häufig muß man sich gegenüber PP dann legitimieren. Zumindest früher ging das, wie für US-Unternehmen üblich, über die Telefonrechnung, schließlich kennen die Amis ja nicht so etwas wie Personalausweise.

Ich bin zwar noch bei Paypal, versuche aber ohne diesen Laden auszukommen. Gerade bei Ebay ist das schwierig, da dort auch viele andere Zahlungsarten (etwa Kreditkartenzahlung) über den Dienstleister Paypal abgewickelt werden. Letztens habe ich übrigens eine Bestellung in einem Online-Shop per Vorkasse bezahlt. Am gleichen Tag überwiesen, am nächsten Tag ist das Geld eingangen und die Ware wurde verschickt. Mit PP wäre das auch nicht schneller gegangen.

Der BND darf uns weiterhin alle bespitzeln

Letzte Woche kam es zu einer Gerichtsverhandlung vor dem Bundesverwaltungsgericht. Der Betreiber des weltweit größten Internetknoten DE-CIX hat geklagt, weil er verpflichtet wurde, dem Bundesnachrichtendienst (BND) Zugang zu den durchgeleiteten Daten zu ermöglichen. Das bedeutet nicht nur einen enormen technischen Aufwand, sondern auch einen ungeheuren Grundrechtseingriff. Fast alle Provider sind am DE-CIX angeschlossen, so daß man ausgehen kann, daß ein Großteil des deutschen Internet-Traffics über diesen Knoten geht. Zum überwiegenden Teil Traffic deutscher Nutzer. Nur kurz zur Erinnerung: Der BND ist eigentlich ein Auslandsnachrichtendienst. Die Überwachung im Inland unterliegt gewissen Beschränkungen, die rechtlich fraglich sind. Das anlasslose Massenüberwachung ist in dieser Form sicherlich verfassungswidrig.

Das Bundesverwaltungsgericht hat nach einer nur kurzen Anhörung innerhalb weniger Stunden für diese Überwachungsmaßnahme entschieden. Ich bezweifle mal, daß das Gericht sich überhaupt mit dem Ausmaß der Überwachungsaktion und den technischen Gegebenheiten eingehend beschäftigt hat.

Der DE-CIX-Betreiber hat nun aber schon angekündigt, vor das Bundesverfassungsgericht oder den Europäischen Gerichtshof für Menschenrechte zu ziehen.

Ein paar Worte zur DSGVO

Seit knapp einer Woche ist die Datenschutzgrundverordnung (DSGVO) wirksam. Vor allem kurz vor Schluss wurde es auf allen Seiten hektisch bis panisch. Ja, auch ich hatte damit beruflich zu tun und auch hier im Blog habe ich Anpassungen vorgenommen.

Meine Einschätzung ist das vielleicht kleine Änderungen hie und da notwendig, der grundsätzliche Ansatz ist aber richtig.

Endlich machen sich die Leute mal Gedanken, welche Daten sie haben, woher sie sie haben, warum sie sie haben und was mit diesen geschieht. Eigentlich war das schon vorher notwendig, nun muß das aber dokumentiert werden. Und die Daten müssen auf ein Mindestmaß begrenzt werden.

Wenn ich dann Jammern höre, wie etwa dass ein Sportverein, nun Probleme bekommt, weil er die Mitgliederverwaltung nicht mehr in Google Docs machen kann und Ergebnisse ohne Erlaubnis der Betroffenen nicht mehr im Internet veröffentlichen kann, dann denke ich, daß es auch schon vor der DGSVO nicht in Ordnung war. Hat man etwa den Namen einer Person in einer Suchmaschine eingegeben, so erhielt man dort viele Treffer von Sportergebnisseiten. Die Nutzung von Google Docs hielt ich auch vorher schon für inakzeptabel. Zum einen weil man sich von einem kommerziellen Unternehmen abhängig macht, der seine Dienste von heute auf morgen nach Belieben einschränken oder einstellen kann und zum Anderen weiß man nicht was mit den gespeicherten Daten passiert. Personenbezogene Daten sollte auch ein Verein schützen und nicht jedem x-beliebigen Online-Werbe-Anbieter in den USA vor die Füße werfen.

Es gibt Alternativen, auch moderne Alternativen, die den Papierkram verringern. Man kann etwa Nextcloud nutzen, dafür gibt es auch Office-Apps. Wenn man dafür eine eigene Hardware aufsetzt oder mietet, erhält auch kein Dritter Zugriff auf die Daten. Die Administration kostet zwar auch Zeit, aber wenn das zu viel ist, hat man ja auch immer noch die analoge Lösung. Und dort würde auch keiner die Mitgliedslisten etwa an Bertelsmann weitergeben.

Ich habe nur das Gefühl, daß die DSGVO für Internetriesen wie Google, Facebook, Apple und Microsoft eher ein geringes Problem darstellt. Sie sammeln weiter fleißig Daten und erklären dann dass sie das müssen, das sei ja schließlich ihr Geschäftszweck. Eine Datenschutzerklärung soll auch einfach und kurz sein, nur wird diese bei den Datenvermarktern wieder so umfangreich aussehen, weil sie die Daten halt so oft weiterreichen, daß am Ende doch wieder kaum jemand die Datenschutzerklärungen lesen wird.

Auch auf der anderen Seiten sehe ich noch Probleme mit der DSGVO. Dem privaten Webseitenbetreiber fehlen einfach Erklärungen und Handreichungen, wie er seine Website DSGVO-konform aufsetzt. Hier könnten die Provider Hilfestellung leisten. Allerdings traut sich aktuell niemand verbindliche Aussagen zu treffen, da unklar ist, die Gerichte im Zweifelsfall die Rechtslage auslegen. Der kleine Website-Betreiber sollte sich meiner Meinung davon ausgehen, daß die Rechtslage auch ihn voll betrifft.

Schon in der Vergangenheit haben deutsche Gerichte stets zu Lasten von Privatmenschen im Internet entschieden. Oft wurden sie als gewerblich eingestuft, was zu besonderen Verpflichtungen führt, ob nun auf der Homepage oder etwa beim Verkauf  alter Sachen bei Ebay. Dabei ging es meistens nicht um den Schutz von zum Beispiel Verbraucherrechten, sondern vor allem um Abzocke durch Abmahner und im Falle von Ebay um die Versteuerung von kleineren Verkaufserlösen.

Im Zweifelsfall lieber etwas mehr machen und wenig Angriffsfläche bieten.

Übrigens: Es gibt einen sehr guten Dokumentarfilm über die Entstehung der DSGVO: Democracy – Im Rausch der Daten (noch bis 24.06.2018 in der Arte Mediathek verfügbar). In diesem Film wird vor allem Jan-Philipp Albrecht begleitet, der Entstehungsprozeß geführt hat. Man kann gut sehen, wie die Europäische Gesetzgebung funktioniert und vor allem wie von allen möglichen Seiten Einfluss auf die Entscheider genommen wird.

Unkontrollierte Onlinewerbung

Beim Thema Onlinewerbung erwähnen die Kritiker auch immer wieder daß, über Werbebanner auch Schadcode auf Rechnern eingeschleust werden kann. Die Betreiber der Seiten, die Werbung schalten, reden sich dann immer damit raus, daß die Werbung ja nicht von ihnen kommen, sondern von den Anzeigenvermarktern und die seien in der Pflicht Anzeigen auf Schadcode zu prüfen.

In der Praxis ist in der Kette aber nicht nur ein Vermarkter enthalten, sondern gleich eine ganze handvoll. Der Seitenbetreiber bindet beispielsweise ein Werbenetzwerk ein. Die wird geguckt, welche Trackinginformationen über den Besucher vorliegen oder ermittelt werden können und damit startet eine ganze Kaskade. Nun wird wird der Werbeplatz innerhalb von Sekunden „versteigert“, oft über mehrere Ebenen. Derjenige der den besten Preis bietet, bekommt den Werbeplatz und darf den Code platzieren.

Man muß sich das mal auf die Offline-Welt übersetzt vorstellen. Beim Kauf einer Zeitschrift telefoniert der Kioskbetreiber wild in der Gegend rum, um zu sagen, dass eine bestimmte Person dabei ist ein Magazin zu kaufen. Er teilt den Werbeanbietern alle möglichen Daten mit (Alter, Geschlecht, Kleidung, Aussehen, Zahlungsweise, andere Produkte die gleichzeitig gekauft werden). Vielleicht kennt der Kioskbesitzer den Käufer aber auch schon von früheren Einkäufen, dann teilt er auch das telefonisch mit. Am Ende klebt er die Anzeigen in die Zeitschrift, für die das meiste Geld geboten wurde. Der Herausgeber der Zeitschrift weiß nichts davon, in welchem Werbeumfeld nun seine Artikel präsentiert werden.

Unmöglich? In der Kohlenstoffwelt ja, aber online ist das gang und gäbe.

Datenschutz bei Autos

Letztes Jahr musste unser Familienauto durch ein neues ersetzt werden. Das „neue“ war ein gebrauchter Opel aus dem Jahr 2011.

Die Autos werden ja immer moderner und enthalten jede Menge Elektronik, die mittlerweile weit über die reine Fehlerprotokollierung hinaus geht. Dementsprechend gibt es auch eine Datenschutzerklärung im Handbuch.

Zur Dokumentation stelle ich diese Erklärung hier mal online.

Aufzeichnung und Datenschutz der  Fahrzeugdaten

Ereignisdatenschreiber

Das Fahrzeug verfügt über eine Reihe intelligenter Systeme zur Aufzeichnung und Überwachung bestimmter Fahrzeugdaten. Im normalen Betrieb werden bestimmte Daten aufgezeichnet, um die Instandsetzung erkannter Funktionsstörungen zu unterstützen. Weitere Daten werden nur bei einem Unfall bzw. Beinahe-Unfall aufgezeichnet. Dies erfolgt durch Steuergeräte in den Fahrzeugsystemen. die über eine Datenaufzeichnungsfunktion verfügen, beispielsweise das Airbagsteuergerät

Das System kann Diagnosedaten zum Zustand des Fahrzeugs (z.B. den Ölstand oder Kilometerstand) und zum Betrieb (z. B. Motordrehzahl, Bremsanwendung und Verwendung der Sicherheitsgurte) aufzeichnen.

OK, so weit noch nicht schlimm. Es wird nur im im Fahrzeug aufgezeichnet. Eine Weitergabe der Daten findet hier noch nicht statt.

Zum Auslesen dieser Daten werden bestimmte Geräte und Zugriff auf das Fahrzeug benötigt bestimmte Diagnosedaten werden elektronisch in globale Opel-Systeme eingespeist, wenn das Fahrzeug bei einem Servicepartner gewartet wird. Dies dient  dem Aufzeichnen des Serviceverlaufs des Fahrzeugs. Anhand dieser Daten kann Ihnen Ihr Servicepartner bei jedem Werkstattbesuch effiziente Wartungs- und Instandsetzungsarbeiten anbieten, die auf Ihr Fahrzeug abgestimmt sind.

So, hier gleich der erste großen Klopper. Die Daten werden also einfach so in ominöses globales Opel-Netz eingespeist, sobald ich in die Werkstatt fahre. Kein Widerspruchsrecht? Keine Informationen wo genau die Daten gespeichert werden? Haben die schon mal irgendwas von Datenschutz gehört?

Der Hersteller greift nur unter folgenden Bedingungen auf die fahrerbezogenen Daten zu einem Unfall zu bzw. gibt diese an andere weiter:

  • bei Zustimmung des Fahrzeughalters bzw bei einem geleasten Fahrzeug des Leasingnehmers
  • bei einer offiziellen Anfrage der Polizei oder einer ähnlichen Behörde
  • im Rahmen der Verteidigung des Herstellers bei Gerichtsverfahren
  • wenn gesetzlich vorgeschrieben

Eh, wie? Moment! Die Polizei bekommt die Daten einfach so? Braucht sie dafür nicht wie üblich einen richterlichen Beschluss? Gibt es einen speziellen Deal zwischen Opel und der Polizei?

Und dann darf Opel die Daten verwenden, wenn sie sich vor Gericht verteidigen wollen? Also auch etwa, wenn ich Opel verklage, und denen sage, das Auto sei kaputt und dann liefern die Daten aus MEINEM Fahrzeug, die belegen, dass ich aber auch nicht immer ganz sachte gefahren bin? MEIN Auto liefert Beweise GEGEN MICH? wie krank ist das denn?

Zusätzlich kann der Hersteller die gesammelten oder erhaltenen Diagnosedaten wie folgt nutzen:

  • für Forschungszwecke beim Hersteller
  • zur Weitergabe für Forschungszwecke, wenn die Vertraulichkeit gewährleistet und der Bedarf nachgewiesen ist
  • zur Weitergabe zusammengefasster und anonymisierter Daten für Forschungszwecke bei anderen Organisationen

Auch hier kein Widerspruchsrecht!

Hochfrequenz-Identifizierung (RFID)

Die RFID-Technik wird in einigen Fahrzeugen für Funktionen wie Reifendrucküberwachung und Zündanlagensicherheit eingesetzt. Außerdem kommt sie in Komfortanwendungen wie Funkfernbedienungen zum Ver- bzw. Entriegeln der Türen und zum Starten sowie in eingebauten Sendern zum Öffnen von Garagentoren zum Einsatz. Die in Opel-Fahrzeugen eingesetzte RFID-Technik verwendet und speichert keine personenbezogenen Daten und ist auch mit keinem  anderen Opel-System, das personenbezogene Daten enthält, verbunden.

Hier wären genauere Informationen nötig. Eine RFID-Kennung ist meist eindeutig und stellt somit, genau wie das Kfz-Kennzeichen, ein personenbezogenes Datum dar. Außerdem lässt es sich unbemerkt automatisch auslesen.

Wie das ganze in aktuellen und höherpreisigen Autos aussieht, daran mag ich gar nicht denken. Die haben ja oft ein Mobilfunkmodul integriert, über das auch während des Betriebes Daten an alle möglichen Stellen verschickt werden können.

Generell halte ich, als juristischer Laie, eine Vereinbarung irgendwo im Handbuch für nicht rechtskräftig. Vielleicht mag der Neuwagenkäufer explizit eine entsprechende Datennutzungsvereinbarung unterschrieben haben, ich als Gebrauchtwagenkäufer jedenfalls nicht, obwohl das Fahrzeug bei einem offiziellen Opelhändler gekauft wurde. Und wenn, könnte man die Zustimmung auch verweigern?

Es ist echt dreist, was sich die Autohersteller so rausnehmen. Wie schon gesagt, ich zweifle, dass das Ganze überhaupt vor einem Gericht standhält. Aber im Hause Opel wird sich sicherlich mindestens ein Jurist diese Datenschutzhinweise angesehen haben. Und der hat das einfach so durchgewinkt?

Datenschutz auf der Tagesordnung

Es erstaunt mich immer noch wie der Skandal um Facebook und Cambridge Analytica solch hohe Wellen schlägt. Alle Datenschützer predigen seit Jahren, was man alles mit persönlichen Daten anstellen kann. Aber jahrelang hat sich kaum Einer dafür interessiert. Daran konnte auch die Piratenpartei nichts ändern. Man konnte als datenschutzaffiner Mensch reden und reden, man konnte niemanden überzeigen. Es kam dann natürlich auch immer das Totschlagargument „Man habe ja nichts zu verbergen“. Noch vor einiger Zeit stellten sich Politiker hin und behaupteten, Datenschutz sei Täterschutz. Auch im Bundestagswahlkampf war das überhaupt kein Thema. Und nun ist es aktuell DAS Tagesthema.

Ich finde es gut, daß jetzt die massenhafte Datensammlung durch private Unternehmen hinterfragt wird. Das hätte eigentlich schon viel früher passieren müssen. Ich hoffe, daß man nun größere Teile der Bevölkerung für dieses Thema dauerhaft sensibilisieren kann und Datenschützer nicht als Aluhutträger diskreditiert werden.

Upload-Filter

Vor zwei Wochen gab in der Heise-Show einen sehens-/hörenswerten Beitrag über die von der EU geplanten Upload-Filter. Mit diesem Filter sollen Diensteanbieter verpflichtet werden, hochgeladene Inhalte zu prüfen, ob sie eventuell Rechte Dritter verletzen oder strafrechtlich relevant sind.

Der Heise-Beitrag ist auch deshalb empfehlenswert, da dort auch die rechtlichen Hintergründe gesprochen wird und man wieder einmal mehr versteht, wie die EU funktioniert.