|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter |
|
|
|
|
|
| Hamburg, den 01. Februar 2022 |
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
| Liebe Kund*innen und Abonnent*innen des Newsletters, |
| ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie: |
- E-Mail und Kontaktformulare
- Aktuelles aus dem Datenschutz
|
1. E-Mail und Kontaktformulare
| Ich möchte noch einmal auf dieses Thema zurückkommen, auch wenn es schon des Öfteren in einem Newsletter besprochen wurde. Der interessante Aspekt, aus Sicht des Datenschutzes, ist der technische Weg des Versands. Und zwar in der Hinsicht, dass der Versand so erfolgen sollte, dass die Daten verschlüsselt von Absender bis zum Empfänger laufen. E-Mail und Kontaktformulare basieren dabei auf der gleichen Grundlage, aber es gibt doch einen Unterschied. |
| Bei E-Mails können Sie nicht darauf Einfluss nehmen, bei welchen Provider der Empfänger sein Konto hat. Oftmals können Sie es nicht einmal herausfinden, ohne dafür größeren Aufwand zu betreiben. Sie schicken eine E-Mail per verschlüsselter SSL Verbindung von Ihrem E-Mail Programm, zum Beispiel Outlook oder Thunderbird, an den Server Ihres Providers. Ist der Server der selbe wie der des Empfängers, dann kann es passieren, dass die E-Mail auf dem Server direkt zugestellt wird, und die E-Mail bis zum Empfänger einen sicheren Weg genommen hat. Das gilt meistens innerhalb der Mitarbeiter*innen einer Organisation, wenn diese untereinander E-Mails schreiben. Aber schreibt man an eine dritte Person, mit einem anderen Provider, dann läuft die E-Mail unverschlüsselt vom eigenen Server zum Server des Empfängers. Während dieses Transportwegs kann die E-Mail mitgelesen, kopiert, verändert oder automatisch analysiert werden etc. Ob Geheimdienste, wie der NSA, das auch tun, diskutieren wir hier nicht. Gesichert ist in jedem Fall, dass E-Mails in der Zustellung nicht den kürzesten Weg nehmen, sondern immer über Server in den USA oder mit diesen sehr eng verbündeten Ländern laufen. Rückschlüsse aus dieser Tatsache, ob es hierbei um ein Projekt zur besseren Auslastung der digitalen Transportnetze geht oder doch andere Interessen dahinter stecken, macht bitte jeder für sich selbst. Tatsache bleibt, dass dabei keine end-to-end Verschlüsselung vorliegt und im Sinne des Datenschutzes der E-Mail Versand unter diesen Bedingungen suboptimal ist. Man muss das immer mit im Auge haben, wenn man wirklich sensible Daten per E-Mail verschickt. Und zur Erinnerung: Die Aufsichtsbehörden erwarten eine sichere end-to-end Lösung für E-Mails mit sensiblen Daten. |
| Kontaktformulare funktionieren so, dass die Daten und Dokumente, die darüber verschickt werden, zuerst von einem Nutzer auf den Webserver des Webseitenbetreibers hochgeladen werden. Das erfolgt heutzutage nur noch über „https“, also über eine sichere SSL Verbindung. Nicht sichere Webseiten gibt es kaum noch. Von diesem Webserver müssen die Daten und Dokumente dann an den Empfänger transportiert werden. Das geschieht nach dem gleichen Prinzip wie bei einer E-Mail. Der Weiterversand zum Empfänger ist genaugenommen eine E-Mail. Und hier kommt es jetzt darauf an, welchen Versandserver (Smtp) man nutzt. Man kann das über zahlreich angebotene Dienste der Anbieter der Kontaktformulare machen oder auch über Google oder Amazon. Sicher ist dabei, dass die Daten mit diesen Versandmethoden nicht sicher sind. Sie werden zwar verschlüsselt auf diese Server übertragen, aber dort entschlüsselt, ggf. ausgewertet und unverschlüsselt, wie eine E-Mail, zum Empfängerserver transportiert. Dieses Problem kann man dadurch lösen, dass man als Versandserver einen eignen SMTP oder Exchange-Server nimmt, der gleichzeitig auch der Server ist, auf dem der finale Empfänger gehostet ist. Dann werden die Daten zu diesem Server hin verschlüsselt transportiert und direkt auf dem Server an den Empfänger zugestellt. So erfolgt ein komplett sicherer Datentransport und der Datenschutz ist begeistert. Man muss also bei Kontaktformularen darauf achten, dass man den Versand über den Smtp-Server oder Exchange-Server leitet, wo auch der Empfänger gehostet ist. Nur dann ist es datenschutzkonform und eine end-to-end Verschlüsselung. Viele Webdesigner geben dieser Thematik leider nicht genug Aufmerksamkeit und programmieren nach dem Motto „Hauptsache es funktioniert, egal wo die Daten längs laufen“. |
2. Aktuelles aus dem Datenschutz
| In Sachen des bereits ausgiebig besprochenen neuen TTDSG habe ich ein Musterfahren einer Verletzung des §25 selbigen Gesetzes zu Testzwecken beim Bundesbeauftragten für den Datenschutz und die Informationssicherheit eingereicht. Es wurde von dort, wegen des Hauptsitzes der beschwerten Organisation, an die bayrische Aufsichtsbehörde geleitet. Dieser Punkt ist mir in der Zuständigkeit nicht ganz klar. In die bayrische Aufsichtsbehörde habe ich aber einen guten Draht, und diese arbeitet auch sehr schnell. Ich hoffe daher, bald genauere Informationen zu haben, wie man mit der Anzeige einer Ordnungswidrigkeit nach §25 Abs. 1 TTDSG umgeht und wie die Zuständigkeiten in der Praxis sind. |
| Im Januar rief mich ein netter älterer Herr an. Er hatte mich im Internet gefunden und suchte jemanden, mit dem er mal über Datenschutz sprechen kann. Er hatte vor einigen Jahren in Lübeck-Travemünde einen schweren Herzinfarkt auf offener Straße erlitten. Sein Glück war, dass unter den Passanten mehrere Medizinstudent*innen waren, die umgehend eine Reanimation und erste Maßnahmen eingeleitet hatten, bevor der Rettungsdienst kam. Nur so hatte der Herr überlebt und wäre ansonsten gestorben. Sein Anliegen ist es nun, diese Student*innen zu finden, um sich zu bedanken. Wegen des Datenschutzes gibt ihm aber niemand deren Namen und Adressen. Es gelang ihm auch nicht jemanden zu finden, der eine Nachricht weiterleiten konnte. Das beklagte der ältere Herr sehr emotional, und dass der Datenschutz viele sinnvolle Sachen unmöglich macht. Natürlich habe ich hier volles Verständnis für den älteren Herren, aber wir können natürlich nicht in jedem Einzelfall darüber entscheiden, ob die Herausgabe moralisch und wohl ohne Risiko für die betroffenen Personen ist. Sicher will sich auch ein 25jähriger Mann, der sein Portemonnaie verloren hat, dass jemand freundlicherweise mit kompletten Inhalt bei der Polizei abgegeben hat, persönlich bedanken. Wenn der Finder dann eine 18jährige junge Frau war, findet diese es sicher nicht so schön, wenn mit einmal ein fremder junger Mann deswegen an ihrer Tür klingelt. Und es gäbe drastischere Beispiele, so dass es generell auch hier richtig und wichtig ist, dass Polizei & Co solche Daten nicht herausgeben. Inzwischen funktioniert der Datenschutz diesbezüglich in der Praxis bei der Polizei auch immer besser. |
| Einen anderen, eher seltsamen Anruf hatte ich vor Weihnachten. Ebenso ein Herr, der Stimme nach mittlerem Alters, rief an. Was sein Anliegen war, wurde mir das ganze Telefonat lang nicht wirklich klar. Unter anderem fragte er mich, ob es mir aufgefallen wäre, dass es kein Windows 9 gibt und was meine Theorie dazu ist? – Vielleicht gibt es diese Impfschäden, von denen derzeit alle reden, doch, und der gute Mann hatte etwas falsches in seiner Spritze gehabt. – Da wir gerade beim heiteren Teil des Datenschutzes sind: Das Landgericht Potsdam hat am 1.12.2021 ein Urteil erlassen (Az. 6 S 21/21), in dem es in der schriftlichen Begründung unter anderem schreibt: „Der Zusatz BDSG/DSGVO führt nach der Erfahrung der Kammer vielfach dazu, dass der Leser eines Schriftstücks nicht mehr die gebotene Aufmerksamkeit walten lässt.“ Übersetzt ins Normaldeutsche heißt das, dass das Gericht offiziell festgestellt hat, dass der Datenschutz so langweilig und nervig ist, dass, wenn man „DS-GVO“ nur hört, man sofort abschaltet. Gut, dass wir das mal offiziell festgestellt haben. Wenn wir das belustigende dabei weglassen, dann ist die Aussage schlichtweg richtig: Informationen zum Datenschutz wollen die Leute nicht lesen und die meisten unterschreiben alles ungelesen, weil sie quantitativ wie qualitativ damit überfordert sind. Ein Problem in der Praxis, wo wir Lösungen für die Zukunft suchen müssen. Und das betrifft nicht nur den Datenschutz, sondern eine auf vielen Gebieten immer komplexer werdende Welt. |
| Neues gibt es auch zum „beA“. Vermutlich hat diese Abkürzung noch nie jemand von Ihnen bewusst wahrgenommen. Die Abkürzung „beA“ steht für das „besondere elektronische Anwaltspostfach“ und ist das neue System, über welches die Gerichte mit den Anwälten Schriftsätze und Unterlagen datenschutzkonform und sicher digital austauschen. Es ist also quasi die „ePA“, die elektronische Patientenakte, für Anwälte. Im Gegensatz zur „ePA“ wurden schon eine beträchtliche Zahl von Unterlagen über das „beA“ versandt und selbst ich habe Anwälte in meinem Netzwerk, die etwas empfangen haben. Von Ärzten in meinem Netzwerk, die etwas von Relevanz per „ePA“ digital bekommen haben, kann ich bisher nicht berichten. Dennoch ist auch beim „beA“ aller Anfang schwer: Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) hat im Dezember vor einer Sicherheitslücke im „beA“ gewarnt und das System war dann auch gleich mal eine Woche offline, bis das behoben war. Dennoch ist der Start vielversprechender als bei der „ePA“. Wenn man „ePA“ übrigens „EPa“ schreibt, dann steht das für „Einmalpackung“ und ist das gängige Verpflegungspaket bei der Bundeswehr. Nur mal so am Rande, damit der Datenschutz nicht so langweilig ist, wie das Landgericht Potsdam attestiert. |
| Ein in der Tiefe wirklich langweiliges aber sehr wichtiges Thema findet sich in der Ausgabe 02/2021 des BSI Magazin. Das Magazin kommt jährlich zweimal heraus und genannte Ausgabe erschien Ende November. Die Ausgabe befasste sich mit dem Datenschutz und der Sicherheitsproblematik von Online-Wahlen. Wir werden in der Zukunft alle digital wählen. Das ist sicher. Die Frage ist lediglich, ab wann und wie es organisiert sein wird. Online-Wahlen dürfen die Demokratie nicht gefährden und müssen daher mindestens so sicher wie die derzeitigen analogen Wahlen sein. Das gilt nicht nur für Bundes- und Landtagswahlen, sondern auch für die Wahlen von allen sonstigen Gremien, vom Ehrenamt bis zu den Betriebsräten. Wir brauchen hierfür sichere und datenschutzkonforme Prozesse. Es ist ein Thema, das uns alle betrifft und das wir sehr ernst nehmen müssen. Hier geht es um mehr als nur den Datenschutz. Es geht um unsere Demokratie, die wir nicht fahrlässig gefährden dürfen, nur weil Datenschutz so langweilig ist. |
| Im Januar war in diversen Medien zu lesen, dass das BKA plant, den Messenger-Dienst „Telegram“, der sich um Anfragen von egal wem nicht schert, mit einer Flutung von Löschungsanträgen und Meldungen zu einer Kontaktaufnahme mit dem BKA zu zwingen. So habe ich es verstanden und da stellt sich die Frage, ob das BKA jetzt einen „Denial of Service Angriff“ auf Telegram ankündigt? Lassen wir es mal dahingestellt, was das BKA genau vorhat, aber es sollte sich zu Telgeram jeder im klaren darüber sein, dass Telegram kein datenschutzkonformer, end-to-end verschlüsselter und besserer Messenger-Dienst als WhatsApp ist. Telegram ist ein rechtsleerer Raum, unerreichbar für Nutzer oder Aufsichtsbehörden und ohne jede Transparenz. Niemand weiß, was mit den Daten passiert und niemand weiß, ob es wirklich end-to-end verschlüsselt ist oder nicht doch jemand mitlesen kann. Entwickelt wurde die Anwendung in Russland und die Zentrale sitzt mutmaßlich in Dubai. Alles Länder, denen der Datenschutz nicht so wichtig ist und die deswegen nicht mal eine offizielle Firmenadresse veröffentlichen. Telegram sollte nicht zu unternehmerischen Zwecken eingesetzt werden. |
| Und damit mal wieder zu den Bayern: Die bayrische Aufsichtsbehörde hat ein neues Thema gefunden und prüft jetzt alle Haus- und Vermieterverwaltungen darauf, welche Selbstauskünfte potentielle Mieter*innen zu einer Besichtigung, also im Vorfeld eines Mietvertrags, zu tätigen haben und ob das so rechtens ist. Das ist unbestritten ein wichtiges und richtiges Thema, das auf den Prüfstand gehört. Wohnraum ist knapp. Um überhaupt einen Besichtigungstermin für Wohnraum zu bekommen, muss man vorab bereits einiges von sich preisgeben. Wer dieses nicht von sich preisgibt, der bekommt keinen Besichtigungstermin. In diesem Sinne besteht eine Freiwilligkeit nicht. Rechtsgrundlage für diese Auskünfte ist eine Datenerhebung auf der Grundlage vorvertraglicher Verhandlungen. Dafür dürfen alle personenbezogenen Daten erhoben werden, die für die vorvertraglichen Verhandlungen erforderlich sind. Die Frage ist dann, welche Daten das genau sind. Aus Sicht von Vermieter*innen würde man gerne einen detaillierten Lebenslauf mit Vorstrafen, den Finanzstatus und am besten noch eine „Urinprobe“ zur Analyse auf potentiellen Drogenkonsum erheben, bevor man einen Besichtigungstermin durchführt. Aber was davon ist wirklich erforderlich und rechtens? Ich verfolge die Prüfung in Bayern mit Spannung. Das Ergebnis wird hierzu Rechtssicherheit bringen als auch hoffentlich Mieterrechte stärken. |
| Rechtssicherheit bringt auch ein neues Papier des EDSA (Europäischer Datenschutz-ausschuss). Dieser hat Leitlinien für das Auskunftsrecht beschlossen. Überwältigend klingt das ganze nicht. Aber in einigen Teilbereichen, zum Beispiel ab wann eine Auskunftsanfrage als exzessiv zu werten ist und nicht mehr beantwortet werden muss, schafft das Papier tatsächlich Rechtssicherheit. Es wird demnächst auf der Webseite des BfDI (Bundesbeauftragte für den Datenschutz und die Informationssicherheit) zur Verfügung stehen. |
| Ein Klient hat angefragt, wie meine Meinung zu DKIM und DMARC bei der E-Mail Konfiguration ist. Es ist sicher nicht entscheidend für den Datenschutz im Sinne von „ein Muss“, aber als Mittel der sicheren E-Mailkommunikation durchaus wichtig. Zum Schutz gegen Spam und Malware empfehle ich beide Verfahren einzusetzen, wenn es möglich ist. Möglich ist natürlich immer irgendwie alles, aber es kommt auf die Leistungen an, die der E-Mail Provider anbietet bzw. die dort eingekauft wurden. Bei technischen Fragen dazu kann man mich auch gerne jederzeit ansprechen. |
| Da wir schon bei E-Mail und den Fragen der Klient*innen sind, hier nochmal etwas zum Thema Verschlüsselung von E-Mails. Leider ist die eigentlich recht simple Idee von einem Schlüsselpaar, einem geheimen privaten und einem öffentlichen Schlüssel, in der Praxis dann doch kompliziert. Die Umsetzung in den verschiedenen Anwendungen zum Versand und Empfang von E-Mails ist leider nicht einheitlich, so dass es den meisten Nutzern schwer fällt, die Schlüssel richtig zu erstellen und zu importieren. Es gibt die Formate S/MIME und OpenPGP. In letzterem kam die Frage auf, welche Verschlüsselungstechnik man am besten einsetzt. Ich benutze „RSA 4096 Bit“, aber letztlich ist das ziemlich egal. Jede in OpenPGP mögliche Technik ist ausreichend, es sei denn, Sie gehen davon aus, dass Ihre E-Mails beim FBI landen, und es ist für Sie wichtig, dass die Entschlüsselung anstatt einige Stunden einige Tage dauert. Grundsätzlich empfehle ich jedermann, der es umsetzen kann, den Einsatz einer dieser Techniken. In der Praxis kommt es dabei auf die richtig konfigurierte Gegenseite an, und das macht es oftmals sehr schwierig. Sie finden meine öffentlichen Schlüssel übrigens auf meiner Webseite: https://tl-datenschutz.de/oeffentlicher-schluessel/ |
| Während ich diesen Newsletter gerade schreibe, erhalte ich auf einer privaten, recht alten „web.de“ E-Mailadresse das Protokoll eines Elternabends eines Kindergartens in Bergisch-Gladbach. Dazu, als Anhang, die Adressliste aller Kinder und des Elternrats mit Telefon-nummern. Ich bin mir recht sicher, dass ich dort kein Kind habe und auch nicht diese Daten bekommen sollte. Freundlich habe ich die Leitung, die sich über die Webseite verifizieren ließ, mal angerufen und darauf hingewiesen. Es war dem Herren sehr peinlich. Er hat sich die Arbeit gemacht, das Formular seines Tobias Lange herauszusuchen, um die Sache zu überprüfen. In diesem Formular war meine E-Mailadresse gut lesbar und korrekt angegeben. Offensichtlich ein Fehler des anderen Tobias Lange in Bergisch Gladbach. Und dann fragt er mich: „Wenn Sie schon Datenschutzbeauftragter sind: Können Sie mir sagen, ob ich mich auf solche Angaben verlassen darf oder ob ich solche Angaben prüfen muss?“ – Wenn es sich nicht nur um personenbezogene Daten dieses einen Empfängers handelt, der seine E-Mailadresse falsch angegeben hat, sondern, wie in diesem Fall, ganze Adresslisten mit Kontaktdaten diverser Personen verschickt werden, dann müssen die E-Mailadressen des Verteilers verifiziert werden. Und sollte man sensible oder besonders schutzwürdige Daten im Sinne des Art. 9 DS-GVO verschicken, dann nur verschlüsselt oder nach einer ausdrücklichen informierten Einwilligung aller betroffenen Personen. Das hieße, im vorliegenden Fall, dass alle Personen in der Adressliste, die hier verschickt wird, in den Versand per E-Mail einwilligen müssten. Wie dann die Verifizierung der E-Mailadressen in der Praxis umgesetzt wird, lasse ich mal offen. In jedem Fall reicht es nicht, wenn die E-Mailadresse zustellbar ist. Und auch ein Disclaimer in der E-Mail, für den Fall, dass ein unberechtigter Empfänger diese erhält, ist rechtlich irrelevant. Im Zweifelsfalle sollte man, beispielsweise eine Möglichkeit, zuerst einen Code zusenden und sich diesen telefonisch bestätigen lassen. |
| Natürlich gab es auch im Januar 2022 wieder Hacker-Angriffe auf diverse Unternehmen. Exemplarisch dafür steht in diesem Newsletter der Onlineshop der Buchhandelsgruppe Thalia. Der Nachrichtendienst „Golem“ berichtet, dass dieser am 20.01.2022 Opfer einer Brut-Force Attacke wurde und einige Kundenkonten gehackt wurden. In diesem Fall haben die Angreifer gängige Benutzernamen ausprobiert und, wenn sie einen existierenden Namen gefunden haben, dazu gängige Passwörter in Masse automatisiert durchprobiert. In vielen Fällen führte das zu einem Erfolg. Betroffene Kund*innen wurden von Thalia informiert und deren Zugänge zurückgesetzt. Wenn wir den Vorfall näher betrachten, dann hätte dieser so nicht passieren dürfen. Online-Konten haben heute eigentlich standardisiert eine Funktion, dass sie sich, nach einem mehrmaligen fehlerhaften Login-Versuch, von selbst sperren. Diese Vorkehrung gab es bei Thalia offensichtlich nicht, sie soll jetzt aber nachgerüstet werden. Unbekannt ist in der Sache, ob dem DSB (Datenschutzbeauftragten) und dem ISB (Informationssicherheitsbeauftragten) von Thalia diese Sicherheitsprobleme nicht aufgefallen waren oder die Geschäftsführung solche Hinweise von dieser Seite bisher ignoriert hatte. |
| Ein ganz besonderer Kauf, um eine weitere Datenpanne anzusprechen, gelang einem Michael S. Er kaufte auf „ebay“ ein Dutzend gebrauchte Desktop-Computer. Laut Artikel-beschreibung ohne Festplatten, aber in einem Gerät war doch noch eine Festplatte eingebaut. Und auf dieser Festplatte waren eine Vielzahl an unverschlüsselten personenbezogenen Daten. Die Daten stammten aus dem Zeitraum 2016 bis 2021 und gehörten der Ausländerbehörde der Stadt Lübeck. Neben sehr vielen hochsensiblen Dokumenten über Asyl und Abschiebungen, befinden sich u.a. auch 33.000 E-Mails auf der Festplatte. Die Stadt Lübeck nutzte offensichtlich Outlook. Man muss hierbei wissen, dass Outlook in der Standardkonfiguration ein lokales Konto auf der Festplatte anlegt und dort alle E-Mails abspeichert. Es ist daher immer zu empfehlen, entweder diese Standard-konfiguration zu ändern oder die Festplatte zu verschlüsseln. Ich bin sicher, dass die IT-Abteilung der Stadt Lübeck diese Erkenntnis jetzt auch gewonnen hat. Die Richtlinie zur Ausmusterung von alten Desktop-PCs der Stadt Lübeck schreibt übrigens vor, dass vor Verkauf alle Geräte noch einmal aufgeschraubt und überprüft werden müssen, ob alle Festplatten wirklich entfernt wurden. Es scheint mir, dass das im vorliegenden Fall nicht funktioniert hat und der Faktor Mensch mal wieder unberechenbar zugeschlagen hat. |
| Als letztes wechsele ich einmal in das Gebiet der Informationssicherheit. Hier geht es nicht mehr um den Personenbezug bei Informationen, sondern generell um Informationen, und dass diese, wenn sie geheim sein sollen, geheim bleiben. Lilith Wittmann, eine durchaus einflussreiche IT-Aktivistin, die ich sehr schätze, hat im Januar eine Recherche gemacht und dafür das Behördenverzeichnis auf „service.bund.de“ durchgesehen. Dabei fand sie, ohne eigentlich danach gesucht zu haben, eine ihr unbekannte Behörde. Es war ein 10 Jahre alter Eintrag „Bundesservice Telekommunikation“ in der Heidelberger Straße in Berlin. Das irritierte sie, denn offensichtlich gab es sonst nichts zu dieser Behörde. Kurzer Hand hat sie den Fund gewittert und ihre Follower haben gleich fleißig nachgeforscht. Schon gab es ein Foto vom Klingelschild und Gebäude. Und schnell war auch der Vermieter gefunden, wonach es sich um 2.500qm, also Platz für ca. 100 Mitarbeiter*innen, handelte. In der Tiefgarage stehen offensichtlich eine Vielzahl schwarzer VW-Transporter, aber ansonsten öffnet keiner, es gibt keinen Kontakt zu dieser Behörde und sie taucht auch in keinem Budget eines Ministeriums auf. Aber das Internet bietet ja noch viel mehr Möglichkeiten und Lilith hat einfach mal die RIPE Datenbank für IP-Adressen genutzt, um dort die Heidelberger Str. in Berlin nachzuschlagen. Und siehe da, es taucht wirklich ein Eintrag auf, der dem BMI (Bundesministerium des Inneren) und der „Zentralstelle Referat II Nr. 7“ zuzuordnen ist. Eine E-Mailadresse, die auch funktioniert, gibt es gleich mit dazu. Allerdings keine Antwort auf eine Anfrage an diese E-Mailadresse. Davon abgesehen hat das BMI Treptow offiziell auch kein solches Referat, es hört bei „Referat II Nr. 6“ auf und gibt kein „Referat II Nr. 7“. Tilo Jung, ein investigativer Journalist der neuen Medien, der mit „Jung & Naiv“ nicht nur viele Preise gewonnen, sondern auch eine Online-Reichweite hat, von der viele Medienhäuser nur träumen, war so frei in der Bundespressekonferenz, für die er zugelassen ist, das BMI nach dieser ominösen Behörde zu fragen. Damit hat dann das ganze journalistische Deutschland Kenntnis von der Sache genommen. Und um die Geschichte abzukürzen: Am Ende führte die Analyse der IP-Adressblöcke zum Bundesverfassungsschutz und förderte gleich einen zweiten solchen Tarnstandort in Köln mit ans Licht. Und das alles nur, weil jemand „Copy-Paste“ gemacht hat und irgendeinen Eintrag, ohne es zu hinterfragen oder darüber nachzudenken, im Verzeichnis der Bundesbehörden veröffentlicht hat. Wir sollten alle daraus lernen, dass Listen einfach mal zu kopieren und ins Internet zu stellen, ohne sie nochmals bewusst und wissend zu den Inhalten durchzugehen, keine gute Idee ist. Der Eintrag ist inzwischen übrigens im Bundesverzeichnis der Behörden gelöscht. Aber das hilft ganz offensichtlich jetzt nicht mehr. |
|
| Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Für den nächsten Newsletter habe ich das Thema „Datenschutz und digitales Erbe“ auf meiner Agenda. Ein spannendes und zudem immer wichtiger werdendes Thema, nicht nur in Hinblick auf den Datenschutz. |
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter |
|
|
|
IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de |
|
|
|
|
|
|
