Anfang des Jahres besuchte ich für die vierte Sendung des Datenkanals den Landesbeauftragten für den Datenschutz (DSB) in Thüringen, Dr. Lutz Hasse. Im Interview erwähnte er ausdrücklich, dass sich Bürger an ihn wenden können. Kürzlich hatte ich nun Grund, einen DSB um seine Meinung zu bitten.
Vor kurzem weilte ich an der Ostsee. Wie in vielen Feriengebieten ist es üblich Kurtaxe zu zahlen. Damit wird der Strand und die Ortschaften sauber gehalten. Wir fragten nach eventuellen Vergünstigungen bei der Kurtaxe. Die Vermieterin meinte, dass es Rabatte für Studenten und für Menschen mit Behinderungen gäbe. Dazu wird auf dem Formular die Matrikelnummer oder das Aktenzeichen der Bewilligung festgehalten. Dies wird sodann an den Tourismusverband weitergegeben. Dieser führt angeblich eine Prüfung bei den jeweiligen Behörden durch. Letzteres halte ich eher für ein Missverständnis auf Seiten der Vermieter. Ich fand den gesamten Vorgang recht merkwürdig. Warum sollten die Daten überhaupt erhoben werden? Es reicht doch, wenn der Vermieter auf dem Formular bestätigt, dass die Dokumente vorlagen. Eine Speicherung der Informationen verletzt nach meinem Eindruck den Grundsatz der Datensparsamkeit. So schilderte ich den Vorfall dem DSB in Mecklenburg-Vorpommern. Nach einiger Zeit bekam ich eine Antwort.
In der Begründung bezieht sich der DSB hauptsächlich auf den § 28 BDSG. Dort ist geregelt unter welchen Umständen die Speicherung von personenbezogenen Daten für eigene Geschäftszwecke zulässig ist. Nach der Analyse ist eine Speicherung der Daten nicht erforderlich. Außerdem bewertet er das schutzwürdige Interesse des Bürgers höher als den Betrag, um den es hier geht. Insgesamt ist die Erhebung und Speicherung wohl nicht rechtmäßig. Der DSB bat den Tourismusverband um eine Stellungnahme und evtl. wird diese Praxis dann bald eingestellt.
Ihr seht also, es kann sich durchaus lohnen, den Datenschutz ernst zu nehmen und seine Rechte einzufordern. 
Wer am Mittwoch, dem 8. Dezember 2010, seine Zeit in Alsfeld verbringt, sollte in das Freiwilligen-Zentrum Aktiv für Alsfeld e.V. (Volkmarstrasse 3) kommen. Dort werde ich zusammen mit Nancy Faeser und Maximilian von Heyden über das Thema Wieviel Staat verträgt das Internet und wieviel Internet der Staat? diskutieren. Aus der Ankündigung:
Wikileaks hat in den letzten Monaten hunderttausende an bisher geheimen Dokumenten veröffentlicht und damit Öffentlichkeit und Transparenz ermöglicht, gleichzeitig die Sicherheitslage vieler Staaten verschärft. Noch vor kurzer Zeit wurden die Telekommunikationsdaten von allen Bundesbürgern über eine längere Zeit gespeichert. Gefahrenabwehr und Strafverfolgung sind wichtige Staatsaufgaben die sich immer schwerer gestalten, genauso wie der Schutz der Privatsphäre jedes einzelnen Bürgers.
In einem Moment von Langeweile blätterte ich in den Zahnärztlichen Mitteilungen. Diese Zeitschrift ist ein Fachblatt für Zahnärzte und behandelt neben der Standespolitik und Fachthemen auch interessante Nebenthemen wie Finanzen oder IT. In der Ausgabe 3 des laufenden Jahres gibt es einen Artikel zu One-Click-Hostern, wie Rapidshare. Gleich zu Anfang des Artikels ist zu lesen:
User X legt seine Daten - vom Röntgenbild bis zum Homemovie - auf einem Server im Internet ab [...]
Für mich sind die Daten bei One-Click-Hostern quasi öffentlich. Nun stelle sich mal vor, es etabliert sich bei Ärzten, Röntgenbilder und Patientenakten über Rapidshare zu tauschen. Dann ist gänzlich ohne elektronische Gesundheitskarte die Privatsphäre dahin ...
Gerade in einem Artikel für Ärzte wäre aus meiner Sicht mehr Sorgfalt angebracht und es sollte auf alle Risiken hingewiesen werden. Zwar gibt es am Ende des Artikels einen obligatorischen Hinweis auf Viren und Malware. Jedoch fehlt der wichtigere Hinweis, dass über derartige Plattformen auf keinen Fall Patientendaten getauscht werden sollten.
Wenn man das Interview mit zu Guttenberg liest, könnte man glauben, das zarte Pflänzchen Datenschutz beginnt auch bei der Regierung zu sprießen:
Ich glaube, dass man hochsensibel damit umgehen sollte und [..] manche vorauseilende Lust auf Daten auch einer solchen Überprüfung standhalten muss. Diese Prüfung ist vorzunehmen, und wenn ich Herrn Finanzminister Schäuble richtig verstanden habe, hat er sich schon sehr skeptisch geäussert. Ich kann diese Skepsis nur teilen.
Klingt doch gut, oder? Leider geht es Herr zu Guttenberg in dem Interview nur um die Kontodetails der Steuerbetrüger ...
via Computernotizen.
Steffen Schröder hat die Wahlprogramme von CDU/CSU und FDP mal nebeneinander gelegt und verglichen, wo
Gemeinsamkeiten beim Datenschutz zu finden sind. Demnach wollen beide das Recht vereinfachen, Behörden und Datenschutzbeauftragte stärken sowie das Bewusstsein bei den Bürgern stärken. Ich bin gespannt, wie sich die Gemeinsamkeiten im Vertrag niederschlagen.
via Datenschutzbeauftragter Online.
Ich habe hin und wieder mit Mitmenschen Kontakt, die gern einen Tor-Server betreiben wollen, sich
aber wegen eventueller unangenehmer Kontakte zu Strafverfolger nicht
trauen. Das Tor-Projekt hat nun kürzlich ein Blogposting verfasst,
indem der Autor Mike Perry einige
Vorschläge macht, wie man etwas mehr Sicherheit erlangen kann. Über
die Jahre hat wenig bis keinen Ärger damit gehabt.
Ich habe diese Hinweise unten mal übersetzt und ein wenig
kommentiert. Vielleicht hilft das einem heutigen oder zukünftigen
Betreiber eines Tor-Knotens.
- Informiere deinen Provider
- Für Mike ist das gleichzeitig der wichtigste Punkt. Das heißt,
bevor du deinen Tor-Knoten aufsetzt, solltest du dich mit
deinem Provider in Verbindung setzen. Erkläre ihm, was du vorhast,
was Tor ist und auch welchen Nutzer er den Leuten bringt. Gerade
momentan bietet sich das Beispiel Iran zur Erklärung der Vorteile
für die Menschen gut an. Falls du dir unsicher bist, welchen
Provider du wählen solltest, schaue dir die Liste
der guten/schlechten ISPs für Tor an. Sollte dein Provider gegen
einen Exitknoten sein, kannst du einen Brückenserver oder einen
Mittelknoten (middle man) aufsetzen. Damit hilfst du dem Tor-Projekt
und hast wenig Risiko Ärger zu bekommen.
- Nutze eine separate IP-Adresse für deinen Tor-Server und leite
privaten Verkehr nicht über diesen Rechner.
- Auf der einen Seite hat die Variante, allen Traffic über den
Tor-Server zu leiten, den Vorteil, dass du eine Schutzbehauptung im
Zweifelsfall hast. Andererseits kann bei einer eigenen IP-Adresse
für den Tor-Knoten dein Provider klar sagen, dass es eben der Knoten
war und kann automatisiert eine Antwort auf eventuelle Anfragen
schicken.
- Richte einen Reverse-DNS-Eintrag ein.
- Es ist sinnvoll, wenn der Reverse-DNS-Name eine sinnvolle, für
sich sprechende Bezeichnung ist. Also etwas in der Richtung wie
tor-knoten.example.org oder tor-exit.example.com oder ähnliches. Ich
sah kürzlich einen Server mit dem Namen i.am.a
tor.exit.node.example.org.
- Richte eine Notiz beim Server ein.
- Wenn du eine aktuelle Tor-Version (0.2.1.x oder neuer) besitzt,
kannst du in der Datei torrc die Variable
DirPortFrontPage setzen. Als Argument muss der Option ein
Dateiname übergeben werden. Diese Datei sollte eine HTML-Datei mit
Informationen zu Tor allgemein oder zu deinem Server sein. Das
Tor-Projekt hat ein Beispiel
einer solchen Seite.
- Beschränke die Bandbreite deines Knotens.
- Mike führte in einem Teilprojekt Messungen
durch. Dabei stellte er fest, dass Tor-Server, die die Option
BandwidthRate gesetzt haben, recht zuverlässig
arbeiten. Dabei ist die Option so gesetzt, dass sie recht nahe an
der wirklich Bandbreite liegt. Weiterhin liesse sich QoS
einsetzen.
Ich hoffe, diese Hinweise helfen dir, deinen Tor-Knoten sicherer zu
betreiben. Wenn du Fragen oder Hinweise hast, kannst du unten gern
einen Kommentar hinterlassen.
Heute haben 38 Akademiker und Forscher einen offenen Brief (HTML-Version)an den CEO von Google, Eric Schmdit, geschrieben. So fordern auf sechs Seiten (plus zwei Seiten Fußnoten) die Standardnutzung von HTTPS und somit adäquate Sicherheit und den Schutz der Privatsphäre für die Nutzer.
Aus der Zusammenfassung:
Google already uses industry-standard Hypertext Transfer Protocol Secure (HTTPS) encryption technology to protect customers’ login information. However, encryption is not enabled by default to protect other information transmitted by users of Google Mail, Docs or Calendar. As a result, Google customers who compose email, documents, spreadsheets, presentations and calendar plans from a public connection (such as open wireless networks in coffee shops, libraries, and schools) face a very real risk of data theft and snooping, even by unsophisticated attackers. Tools to steal information are widely available on the Internet.
Google supports HTTPS encryption for the entire Gmail, Docs or Calendar session. However, this is disabled by default, and the configuration option controlling this security mechanism is not easy to discover. Few users know the risks they face when logging into Google’s Web applications from an unsecured network, and Google’s existing efforts are little help.
Support for HTTPS is built into every Web browser and is widely used in the finance and health industries to protect consumers’ sensitive information. Google even uses HTTPS encryption, enabled by default, to protect customers using Google Voice, Health, AdSense and Adwords. Google should now extend this degree of protection to users of Gmail, Docs and Calendar.
Rather than forcing its customers to “opt-in” to adequate security, Google should make security and privacy the default.