Schlagwort-Archive: Datenschutz

Haufe Lexware und die Frage was bitte ist Datenschutz und Kundenzufriedenheit

Ich bin seit nunmehr 10 Jahren ein zufriedener Nutzer der Steuersoftware Taxman von der Haufe-Lexware GmbH & Co KG. Schon vor 10 Jahren war ich daher auch gerne bereit mein gekauftes Produkt online zu registrieren (heute macht man solche Fehler nicht mehr so einfach…). Die Registrierung führe seinerzeit dazu, dass ich im Folgejahr Post von Lexware in meinem Briefkasten finden durfte in welchem sich ein Produktupdate nebst Rechnung befand. Schon damals fand ich das nicht lustig, da ich das nie bestellt hatte und zum anderen da das Produkt im Versandhandel (und jedem anderen Geschäft) signifikant günstiger war. Ich habe also das Produkt schon seinerzeit zurück gesendet und darum gebeten diesen “Service” für mich einzustellen. Diese Aktion entwickelte sich leider zu einer “und täglich grüßt das Murmeltier” Aktion. Jedes Jahr erhielt ich das Update, schickte es zurück und forderte Lexware dazu auf alle meine personenbezogenen Daten zu löschen und diese Löschung zu bestätigen.

Eine Bestätigung habe ich bis heute nicht erhalten und jedes Jahr aufs Neue erhalte ich einen Anruf meiner Eltern, dass Post für mich bei Ihnen bereit liegt… Anfang dieses Jahres wollte ich dem ganzen dann mit folgendem Fax ein Ende setzen:

image_thumb13-9938262

Anfangs schien das auch zu funktionieren. Schon nach wenigen Tagen wurde ich von einer Mitarbeiterin von Lexware angerufen die mir versuchte zu erklären wie es dazu kommen konnte. Jedem Datenschützer wäre es bei den Erklärungsversuchen vermutlich schlecht geworden. Ihre Primäre These war beruhte nämlich auf der Tatsache, dass mein Bruder ebenfalls Taxman gekauft habe (ist richtig), an der gleichen Anschrift wohnt (ok, ich wohne da schon lange nicht mehr – aber OK) und deshalb die Daten VERKNÜPFT wurden – dabei muss wohl ein Fehler aufgetreten sein. Meinen Ausführungen, bezüglich der dabei vorliegenden offensichtlichen Fehlern konnte die Dame wohl nicht folgen. Sie sicherte mir jedoch zum Ende des Gesprächs zu, dass alle meine angeforderten Auskünfte bereits auf ihrem Schreibtisch lägen und noch heute zu mir geschickt werden…

… das war vor ca. 5 Monaten. Nachdem bis heute nichts bei mir angekommen ist habe ich nun damit begonnen meine Ankündigungen umzusetzen. Letzte Woche ging meine “Anzeige” bei dem Landesdatenschutzbeauftragten von BaWü (Lexware hat seinen Firmensitz in Freiburg) ein. Sollte dies zusammen mit diesem Beitrag nicht fruchten werde ich den letzten mir bekannten Weg einschlagen und zum einen eine Auskunftsklage einreichen und zum anderen auf Unterlassung klagen.

Jedem der ähnliche Probleme hat (egal mit welchen Firmen) rate ich von seinem Auskunftsrecht nach BDSG gebrauch zu machen. Das Gesetzt räumt jedem Bürger dabei sehr umfassende Rechte ein. Am einfachsten geht das mit einem Absatz wie zum Beispiel folgendem:

Hiermit fordere ich Sie auf mir im Rahmen des § 34 BDSG nachfolgende Auskünfte zu erteilen:
1. mir unentgeltlich Auskunft zu erteilen, welche Daten über mich bei Ihnen gespeichert sind und zu welchem Zweck (§ 34 I-III BDSG i.V.m. § 6 II, § 28 Abs. 4),
2. mir mitzuteilen, aus welcher Quelle Sie diese Daten erhalten haben (§34 I Nr.1 BDSG),
3. sofern eine Weitergabe stattfand, mir alle weiteren Empfänger meiner Daten zu nennen (§34 I Nr.2 BDSG),
4. sofort sämtliche über mich bei Ihnen gespeicherte Daten aus Ihren Beständen zu löschen (§35 II BDSG),
5. mir eine Kopie Ihres öffentlichen Verfahrensverzeichnisses nach $ 4e BDSG zu übersenden.
Eine weitere Zusendung von unerwünschter Werbung / Produktproben an meine Person, sei es per Post, Email etc., untersage ich hiermit. Einer Weitergabe meiner Daten an andere widerspreche ich und widerrufe eine eventuelle vorher erteilte Zustimmung mit sofortiger Wirkung.
Für die Erledigung setze ich eine Frist auf den dd.mm.YYYY. Nach fruchtlosem Ablauf der Frist sehe ich mich leider gezwungen, ohne weitere Kontaktaufnahme, die für Sie zuständige Aufsichtsbehörde gem. § 38 BDSG einzuschalten.

Zugeschnittene Werbung

es ist echt erschreckend wie “gut” Google & Co zwischenzeitlich darin ist Werbung auf Webseiten zu platzieren. Ich habe heute morgen nach einem neuen Badezimmerschrank gesucht und war daher mit Hilfe von Google auf einigen Webseiten unterwegs und habe mir deren Angebote angeschaut. Jetzt (fünf Stunden danach) wollte ich etwas für C# nachlesen und bin dabei auf folgende Webseite gekommen:

image_thumb1-7156928

Das wirklich erschreckende an dieser Seite ist dabei die dort auftauchende Werbung. Bei den angezeigten Shops und Produkten handelt es sich um Produkte die ich genau in diesen Shops auch angeschaut habe. Da hat meine Suchmaschine wohl sehr schnell “gelernt” und meine IP mit den Suchworten verküpft… Ok, die Suchmaschine hat übersehen, dass ich bereits fündig geworden bin und schon bestellt habe ;-).

schnüffeln, spionieren und profilen einfach gemacht mit Maltego

Ich hatte das Vergnügen in den letzten Tagen auf der IT-Defense sein zu dürfen. Einer der Vorträge handelte dabei auch von dem Tool “Maltego”. Dieses Tool macht es jedem Benutzer sehr einfach Informationen über Personen etc. zu sammeln und zu verknüpfen. Es werden dabei sehr viele Quellen aus dem Internet verbunden bzw. durchsucht. Dazu gehören u. a. Whois, google, Facebook, PGP.

Um das ganze etwas anschaulicher zu machen hier mal ein paar Bildschrimdrucke:

image_thumb-6592618

Nach kurzer Zeit findet Maltego nachfolgende Daten zu meiner Domain. Darunter diverse (zum Glück alte) eMail Adressen von mir:

image_thumb1-9133923

Man könnte jetzt einzelne Elemente noch weiter “tranformieren” (in der Sprache von Maltego) und somit weitere Daten über mich und mein Umfeld herausfinden. Bei Personen die etwas leichtfertiger mit ihren persönlichen Daten umgehen kann man hier umfangreiche Profile erstellen und auch sehr viele Informationen über Freunde und deren Verbindungen herausfinden. Bei einigen Bürgern aus den USA kann man sogar die Social Security Number finden.

Noch ein paar Worte zur Technik und den Kosten. Die Anwendung basiert auf einer Client Server Infrastruktur wobei der Server beim Hersteller des Tools steht. Alle Suchen werden dabei über die Server des Herstellers geleitet (dieser hat auch die API’s zu Facebook etc). Der Hersteller zeichnet dabei auch einzelne Daten dieser Suche auf (!!!) dokumentiert jedoch auf seiner Webseite genau was das ist. Es gibt zwei Versionen eine kostenlose Community Version (für den privaten Gebrauch) und eine kostenpflichtige Version. Diese kostet im ersten Jahr 650 USD und in den Folgejahren 320 USD.

Steckbrief

Anwendungsname: Matelco
URL: http://www.paterva.com
Lizenz: Community / Commercial

Britische Regierung will Mails und Webzugriffe aufzeichnen

Huch, heise.de ist ja heute mal voll mit lesenswerten Meldungen. Dieses Mal habe ich etwas zum Thema Überwachung gefunden.

Bei solchen Meldungen stellen sich bei mir alle Nackenhaare und mein glauben an die Menschheit (oder zumindest an unserer Politiker) wird ein ganzes Stück kleiner.

Zuerst Mal rein technisch betrachtet:

Ich betreibe ja ein paar recht große Webseiten und kenne daher auch die Logfiles dieser Seiten und weiß durchaus wie groß diese werden. Nehmen wir also mal an, dass die in dem Artikel beschriebenen BlackBoxen ganz einfach nur die gleichen Daten aufzeichnen sollen wie das auch ein normales Webserver-log tut. Da kommt mir direkt die Frage des Speicherplatzes. Bei der Anzahl der Server in UK (in Deutschland wären es wohl noch ein paar mehr…) und der Anzahl der weltweiten Nutzer dieser Server dürften wir hier pro Tag von mehreren TB sprechen. Nicht nur, dass man wohl täglich neue Platten mit LKW’s in das zu errichtende Datencenter schieben müßte – nein, man müßte wohl auch noch ein paar richtig Dicke Leitungen zu den Providern legen um diese Daten auch von den BlackBoxen abziehen zu können.

Gut aber nehmen wir mal an, dass die Herren und Damen das schon durchgerechnet haben und eine Lösung gefunden haben die Datenmengen irgendwie speichern zu können – wie wollen Sie diese Auswerten bzw. auswertbar machen? Alles in ne riesige Datenbank? Welche Datenbank soll diese Menge vernünftig halten und bearbeiten können – und selbst wenn ein Hersteller eine mega coole neue Technik entwickelt um genau das machen zu können, was soll dann mit den Daten dort geschehen? Irgendjemand muß diese ja auch noch irgendwie verknüpfen bzw. in eine Form bringen, dass man diese nach Mustern, Stichworten oder was auch immer durchsuchen kann.

Also ich habe schon Probleme ein vernünftiges Tool zu finden welches die Webserverlogs von den MCSEboard.de Seiten vernünftig auswertet – daher glaube ich nicht, dass das Projekt erfolgreich sein wird.

So und dann noch die Datenschutz Brille

Also mal angenommen die bekommen alle technischen Hürden überwunden und haben ein schickes Tool mit dem alle Mails und alle WebserverLogs ausgewertet werden können. Damit bekommt der Anwender dieses Tools im Extremfall ein vollständiges Bild von jedem vernetzen Bürger innerhalb und z. T. ausserhalb von UK. Unter diesen Bürgern sind vermutlich 99,9 % vollständig unschuldig zu absolut gläsernen Bürgern mutiert von denen der Staat alles weiß. Er kennt das Lieblingsforum, die Lieblingsblogs, die bevorzugten WebShops, alle Freunde und die Themen über die man am liebsten Mailt etc. einfach alles was digital an Daten vorhanden ist… Meiner Meinung nach ist das genau das was die demokratischen Staaten immer an der DDR, Russland, China oder sonst einem nicht demokratischen Land verurteilt haben – die totale Überwachung unschuldiger Bürger.

Dazu kommt noch, dass Bundes- und Landesbehörden innerhalb der IT nicht unbedingt den Ruf haben sehr gut mit Ihren Daten umzugehen. Man hört es in letzer Zeit auch immer öfter (insbesondere in UK), dass Festplatten und Laptops in Zügen liegen geblieben sind oder einfach verschwiden. Jemandem, der so schlampig mit Daten umgeht sollte man meiner Meinung nach kein System an die Hand geben mit dem so Umfangreiche persönliche Daten gespeichert würden wie in dem Backend System der Blackboxen.

Verschlüsselung

… und es gibt noch ein Problem an der ganzen Sache, was geschieht mit verschlüsselten Daten? Die meisten Terrorgruppen dürften zwischenzeitlich so clever sein und ihre Laptops und vor allem ihre Kommunikation zu verschlüsseln – und davon wird man sie vermutlich auch nicht abbringen können selbst wenn ein Land (ja, das gibt es) das verschlüsseln von Daten per Gesetzt untersagen sollte. Auch Regierungen können sich  nicht über mathematische Gesetzte hinweg setzen (auch wenn das einige Politiker zu glauben scheinen). Das entschlüsseln von mit aktuellen Algorithmen verschlüsselte Dateien dauert i. d. R. Jahrzehnte und zwar pro Schlüssel!

Google Analytics & Datenschutz

Hi,

ich habe gerade einen interessanten Artikel zum Thema Datenschutz und Google Analytics auf heise.de gelesen:

(…) Nach Einschätzung des Verbandes könnten Webseiten-Betreiber beispielsweise das von Datenschützern zuletzt kritisierte Google Analytics rechtlich unbedenklich nutzen, sofern ein entsprechender Datenschutzhinweis auf der Webseite angebracht sei. (…)

Manchmal würde es sich wohl tatsächlich lohnen die AGB’s etwas genauer zu lesen. Google bietet hier nämlich sogar eine entsprechende Vorlage an, die man auf seiner Webseite zu dem Thema plazieren kann. Ich für meinen Teil habe die Formulierung direkt übernommen und bin nun stolzer Besitzer einen Datenschutzvereinbarung auf meiner Webseite 🙂