Reale Kundendaten in Softwaretests
Über 60 Prozent der deutschen Unternehmen nutzen ihre realen Kundendaten für Softwaretests. Das hat jetzt eine Studie des Ponemon Institute ergeben. Die Studie ist in Zusammenarbeit mit der IT-Firma Compuware erstellt worden und die Ergebnisse besagen, dass Deutschland im internationalen Vergleich das Schlusslicht in Sachen Datenschutz bei Softwaretests bildet.
Entwickeln Firmen neue Software, muss diese vor ihrer Einführung genau überprüft werden. Hierfür ist oft das Anlegen virtueller Nutzerprofile vonnöten. Anstatt die berühmte 'Karin Mustermann' zu bemühen, greifen Unternehmen offenbar häufig auf Daten realer Kunden zurück. Auf diesem Weg gelangen oft vertrauliche Daten wie Kundenummern, Zahlungsinformationen, Mitarbeiter- und Lieferantenangaben sowie mitunter sogar Kreditkartennummern an externe Stellen, die ebenfalls mit den Softwaretests betraut sind. Zwar ist dieses Vorgehen ein Verstoß gegen das Datenschutzgesetz. Allerdings sind laut Compuware die gesetzlichen Grundlagen in Deutschland zu lasch und sehen keine bedrohlichen Strafen vor. Das Unternehmen empfiehlt, die Datenbestände für Tests zu anonymisieren. Nicht nur um dem Datenschutz gerecht zu werden, denn zuletzt haftet immer der Auftraggeber für Unregelmäßigkeiten.
- ok -

Kundendaten wenig geschützt:
Testticker - "Datenschutzalarm: Noch immer Kundendaten-Mißbrauch“
http://www.testticker.de/news/professional_computing/news20080110002.aspx

 

Kundendaten benutzt:
EC Info Net - "Missbrauch von Kundendaten für Software-Tests"
http://www.ecin.de/news/2008/01/10/11511/?rcol

 

Schlechte Publicity für Unternehmen:
Heise – „Deutsche Unternehmen missbrauchen Kundendaten zu Testzwecken“
http://www.heise.de/newsticker/meldung/101527

 

Qualitätssiegel „Datenschutz“: Deutschland rutscht ab
Deutschland als Datenschutzmusterschüler wird abgelöst. Klassenprimus wurde weltweit Griechenland. Deutschland fiel vom weltweiten Ranking von Platz eins (im Vorjahr zusammen mit Kanada) auf Platz sieben zurück. Schlechteste Noten gab es für die USA, die Volksrepublik, China und für Großbritannien, das mit ihrem Datenschutzskandal negativ in der Presse war. Insbesondere die datenschutzfeindliche Politik der Bundesregierung (Vorratsdatenspeicherung, biometrische Reisedokumente, mangelnder betrieblicher Datenschutz und steigende visuelle Überwachung) begründete den schlechten Platz Deutschlands.
Ins gleiche Horn stößt auch der Bundesbeauftragte für den Datenschutz Peter Schaar: „2007 war sicherlich kein Erfolgsjahr für den Datenschutz“. Es wären viele Zugeständnisse gemacht worden, jedoch auch Dammbrüche verhindert worden, so lautete Peter Schaars Fazit. Schaar forderte abschließend die Stärkung des Datenschutzes vom Staat und bat um die Zurückhaltung der genetischen Prüfung von neuen Mitarbeitern bei Unternehmen.
- ok -

Deutschland knapp vor Rumänien und Slowenien:
Spiegel – Deutschland im Abwärtstrend
http://www.spiegel.de/netzwelt/web/0,1518,526115,00.html

 

Der Kommissionsbericht zu Internationales Datenschutzranking 2007:
Privacy International – „The 2007 International Privacy Ranking“
http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-559597#background

 

Datenschutz-Fazit 2007:
Media Services – „Schaar: 2007 war kein Erfolgsjahr für den Datenschutz“
http://www.pr-inside.com/de/schaar-2007-war-kein-erfolgsjahr-fuer-r361379.htm

Nachrichtenticker
Weitere Nachrichten im Kurzüberblick:

1. Carsten Eilers nächste Folgen seiner Kolumne "About Security"
Entwickler.com - About Security #135: XSS-Angriffe (5): JavaScript-Portscan vorbereiten http://entwickler.de/zonen/portale/psecom,id,126,news,40125,p,0.html

Entwickler.com - About Security #136: XSS-Angriffe (6): DSL-Router ausspähen
http://entwickler.de/zonen/portale/psecom,id,126,news,40205,p,0.html

Entwickler.com - About Security #137: XSS-Angriffe (7): Weitere Ziele
http://entwickler.de/zonen/portale/psecom,id,126,news,40328,p,0.html

Entwickler.com - About Security #138: Web-Würmer (1): Samy, der MySpace-Wurm
http://entwickler.de/zonen/portale/psecom,id,126,news,40470,p,0.html

 

2. AGB-Änderung wegen stiefmütterlicher Behandlung des Datenschutzes in der Kritik
Wiesbadener-Zeitung – „Hilfe, StudiVZ weiß nun: ich bin Student!“
http://www.wiesbadener-kurier.de/jule/objekt.php3?artikel_id=3116382

 

3. Datenschutz restaurativ?
Zeit – „Datenschutz ist antiquiert“
http://www.zeit.de/online/2008/02/ueberwachung-observosphaere-datenschutz

 

4. Tipps & Tricks
Wirtschaftswoche – „Wie Sie nie mehr ein Passwort vergessen!“
http://www.wiwo.de/technik/wie-sie-nie-mehr-ein-passwort-vergessen-260666/

Auskunftei für Versicherte angedacht
Zumindest vom „Hören & Sagen“ ist bekannt, dass Versicherungen nicht - umgangssprachlich – „jeden nehmen“. Die Versicherungshäuser speichern von jeder Person besondere Merkmale (zum Beispiel: Erkrankungen, gesundheitliche Vorgeschichte, Schadensfall, u.ä.) in dem „Hinweis- und Informationssystem (HIS)“ über die diese auch untereinander vernetzt sind.
Bei den aktuellen Verhandlungen zwischen Datenschutzbeauftragten und den Versicherungshäusern wird zurzeit überlegt, die Rechte der Betroffenen, in concreto der Kunden, zu stärken. Angedacht ist, in Form von Auskunfteien, ähnlich wie es die Schufa macht, dem Betroffenen ein Auskunftsrecht einzuräumen. Durch die Stärkung der Transparenz könnte dem Kunden zukünftig ermöglicht werden, oder durch Maßnahmen, die er im Vorfeld treffen kann, eine Ablehnung zu verhindern oder eben einzuplanen.
Laut dem Verhandlungsführer der Datenschutzbeauftragten Thilo Weichert, vom unabhängigem Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, sei eine Einigung bis zum Ende des Frühjahrs durchaus möglich.
- ok -

Schufa als Ideengeber
Die Welt – “Bald mehr Transparenz für Versicherte”
http://www.welt.de/welt_print/article1539921/Bald_mehr_Transparenz_fr_Versicherte.html

Datenschutz in der IT-Branche noch verbesserungswürdig
Laut einer Studie des schweizerischen Wirtschaftsprüfungsunternehmens Deloitte hinkt die Datensicherheit der Unternehmen dem rasanten technischen Fortschritt noch deutlich nach.
Die weltweite Studie zeigt, dass im Bereich Mitarbeitertraining und Riskmanagement für die Unternehmen noch einiges zu tun ist, um auf Sicherheitslecks entsprechend reagieren zu können.
Insbesondere in Zeiten, in denen neben materiellen Vermögenswerten auch Informationen Vermögenswerte darstellen, wird der fortschreitenden Entwicklung nicht ausreichend Rechnung getragen. Die Bedrohung, so stellte sich heraus, ist größtenteils hausgemacht. Immerhin 69% der Befragten gaben an, vor äußerlichen Bedrohungen ausreichend gewappnet zu seien. Allerdings sahen sich nur 59% gegenüber internen Bedrohungen gewappnet. Insbesondere in Zeiten von flexibler Arbeitszeit, Portables und Home Offices wird der Arbeitsplatz häufig über die Firmenmauern heraus erweitert; das erzeugt neben hoher Flexibilität auch hohes Risiko.
-ok -

Studie zeigt: Datenschutz schreitet nur schleppend voran
Pressetext – „Deloitte: Mangelhafte Datensicherheit in der IT- & Telekom-Branche“
http://www.pressetext.at/pte.mc?pte=080116046

Link zur Studie (PDF, 1.3 MB)
Deloitte – „The 2007 Technology, Media & Communication Security Survey 2007“
http://www.deloitte.com/dtt/cda/doc/content/dtt_tmt_securitysurvey2007.pdf


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick:

1. Carsten Eilers nächste Folgen seiner Kolumne "About Security"
Entwickler.com - "About Security #139: Web-Würmer (2): Samys Ende"
http://entwickler.de/zonen/portale/psecom,id,126,news,40636,p,0.html

2. Ausweitung der Kontrolle über die Internetnutzung
Pressetext – „USA planen Verschärfung der Internetkontrolle“
http://www.pressetext.com/pte.mc?pte=080116041

3. Pflicht zum Tätigkeitsbericht?
Verlag für die Deutsche Wirtschaft – „Müssen betriebliche Datenschutzbeauftragte einen Tätigkeitsbericht abgeben?“
http://www.vnr.de/vnr/personalfuehrung/fuehrungstechniken/praxistipp_40751.html

Neue Datenschutzpannen, die vermutlich auch Ihnen passieren könnten...
Wir berichteten kürzlich von der weit kommunizierten Datenschutzpanne in Großbritannien. Jetzt wurden neue Vorfälle bekannt und in der Weltpresse veröffentlicht. Eine vernünftige Datenschutzorganisation hätte das mit hoher Wahrscheinlichkeit wirksam verhindern können...
-kb-

Erneute Datenschutz-Panne in England
Borlife – „Schon wieder Datenschutzpanne in England“
http://www.borlife.de/html/borlife_101196_schon_wieder_da.html

Auch IP-Adressen sind persönliche Daten
Vor einer Anhörung im Europaparlament in Brüssel zum Thema „Datenschutz und Internet“ forderten europäische Datenschutzbeauftragte und Datenschutzfachleute die Ausweitung des Merkmals der personenbezogenen Daten auch auf die IP-Adresse. Damit widersprachen sie Vertretern der Internet-Industrie.
Insbesondere durch die Personenbeziehbarkeit seien IP-Adressen eindeutig zuordenbare Merkmale des Nutzers und sollten somit unter die europäische Datenschutzrichtlinie fallen. Zudem sollten die Nutzer über eine mögliche Interaktion bestimmter Dienste eines Anbieters aufgeklärt werden. So solle die ganze Industrie mehr Transparenz erhalten. Von Seiten der Industrie heißt es, dass ein genereller Schutz von IP-Adressen abzulehnen sei. Die Speicherung der Daten in Verbindung mit Suchaufträgen sei vor allem notwendig, um zum Beispiel die Leistungsfähigkeit der Suchmaschine weiter zu erhöhen. Auch das Scannen von E-Mail-Inhalten betreibe man nur aus Sicherheitsgründen, um beispielsweise Spam und Viren abzuwehren. Die gezielte Suche nach Schlüsselwörtern werde hingegen eingesetzt, um passende Werbung an Kunden verschicken zu können.
- ok -

Merkmal ausgeweitet
Die Welt – “Datenschützer sehen IP-Adressen als persönliche Daten”
http://newsticker.welt.de/index.php?channel=pol&module=dpa&id=16701302

Debatte vor dem EU-Parlament
Der Standard – „Datenschützer: IP-Adressen sind personenbezogene Daten“
http://derstandard.at/?url=/?id=3192889

Social Networks in der Kritik
Das im englischsprachigen Raum weitverbreitete Social Network Facebook ist ins Visier des britischen Datenschutzbeauftragten gerückt. Eine Eingabe eines Briten teilte mit, dass Facebook die Daten nach der Löschung des Accounts zwar für den operativen Bereich sperrt, jedoch die Daten nicht endgültig löscht. Erst durch eine händische Eingabe könnten die Daten manuell gelöscht werden.
Nach deutschem Datenschutzgesetz könnte die operative Sperrung jedoch durchaus rechtmäßig sein. So können bei einer erneuten Anmeldung gesperrte Datensätze mit aktuellen Daten überschrieben und damit im Endeffekt wirksam gelöscht werden. Dies bedeutet weniger Daten, die vorgehalten werden und gelagert werden müssen. Dies entspräche dem datenschutzrechtlichen Leitmotiv der Datensparsamkeit nach § 3a Bundesdatenschutzgesetz (BDSG). Facebook ließ in ihrem Fall verlauten, dass man die Einwände des britischen Datenschutzbeauftragten durchaus Ernst nähme und an einer verträglichen Lösung für beide Seiten arbeite.
Das deutsche Pendant „StudiVZ“ ist auch vor Kurzem in die Kritik geraten. Zum 01.01.2008 änderte das Studentenportal seine AGB um so u.a. personalisierte Werbung an die Mitglieder zu verschicken. Als Reaktion darauf haben viele Mitglieder ihre Mitgliedsnamen verfremdet, so dass eine gezielte werbliche Ansprache per Post ins Leere laufen würde. Für StudiVZ würde dies auch ein Einbruch der Vermarktungsmöglichkeiten bedeuten. Insbesondere im Hinblick darauf, dass ab dem dritten Quartal 2008 Facebook, dass als technisch ausgereifter gilt, eine deutsche Version ins Netz stellen möchte.
-ok-

StudiVZ ist umstritten
Die Welt – „Studenten sabotieren StudiVZ“
http://www.welt.de/wams_print/article1575401/Studenten_sabotieren_StudiVZ.html

Facebook in der Kritik
Heise – „Offene Fragen zum Datenschutz bei Facebook und StudiVZ“
http://www.heise.de/newsticker/meldung/102092


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick

1. Carsten Eilers nächste Folgen seiner Kolumne "About Security":
Entwickler.com - About Security #140: Web-Würmer (3): Yamanner
http://entwickler.de/zonen/portale/psecom,id,126,news,40838,p,0.html

2. RFID: Datenschutz spielt nicht immer eine Rolle
Financial Times Deutschland – „Funkspruch vom Fahrgestell“
http://www.ftd.de/forschung_bildung/forschung/305910.html

Vertraulichkeit als Soft-Skill
Beim zweiten europäischen Datenschutztag im Mainz stand die Vereinbarkeit bzw. Verträglichkeit von „Online-Generation“ und Datenschutz auf der Agenda. Insbesondere stellte sich die Frage, wie die sich bietenden Chancen, so zum Beispiel für individuellere Jobsuche und Bildung, und das Risiko des Verlusts auf informationelle Selbstbestimmung, durch den Missbrauch der personenbezogenen Daten, miteinander harmonisiert werden könnten.
Das Bundesland Rheinland-Pfalz setzt dabei auf die Schulung der jungen Generation. So sieht das rheinland-pfälzische „Zehn-Punkte-Programm“ der Landesregierung vor, dass die Kompetenz der Schüler im Umgang mit neuen Medien gestärkt, und die Schüler demzufolge sensibilisiert werden sollen.
Dabei soll den Schülern insbesondere vermittelt werden, dass auch eine zu freizügigere Darstellung der eigenen Person, zum Beispiel in sogenannten „Social Networks“, negativ zum tragen kommen kann, sollte sich der Personalchef die Mühe machen und einen möglichen Bewerber „googeln“. Im Umkehrschluss könnte es bedeuten, dass der nicht vorhandene Eintrag zu einer Person im Web, durchaus als Qualitätsmerkmal, bzw. als Soft-Skill, zu sehen ist.
In Österreich plädierte das geschäftsführende Mitglied der Datenschutzkommission (DSK) Waltraud Kotschy ebenfalls für eine Datenschutzsensibilisierung in der Schule. Darüber hinaus erklärte sie Ihren Unmut darüber, dass Datenschutz noch kein Pflichtfach im Studium der Rechtswissenschaften ist.
- ok -

Rheinland Pfalz entwickelt Zehn-Punkte-Programm
Rhein Zeitung – „Datenschutz soll wieder mehr Schule machen“
http://rhein-zeitung.de/on/08/01/28/rlp/r/regio-1.html?a

Europäischer Datenschutztag in Mainz
Wiesbadener Tagblatt – „Eine Parallelwelt im Internet“
http://www.wiesbadener-tagblatt.de/rhein-main/objekt.php3?artikel_id=3141604

Datenschutz als Pflichtfach im Jurastudium
Der Standard – „Datenschutztag: Expertin für Sensibilisierung in der Schule“
http://derstandard.at/?url=/?id=3200460

Suchmaschinen-Cookies sorgen für Aufregung
Das Nutzen von Cookies, die Suchanfragen und deren Inhalte speichern, bringt die Suchmaschinenbetreiber in die Kritik. Denn, das Speichern von Suchanfragen ohne Zustimmung des Betroffenen ist nicht datenschutzkonform und verstößt gegen geltendes europäisches Datenschutzrecht. Durch das Speichern der Daten ist es den Suchmaschinenbetreibern möglich, detaillierte Benutzer- und Nutzungsprofile zu erstellen. Zwar berufen sich die Suchmaschinenbetreiber darauf, dass die Daten bei ihnen „sicher“ seien und nur für eigene Zwecke verwendet werden würden, doch ist die Branche insbesondere nach dem AOL-Skandal 2006, bei dem 600.000 Nutzerdaten im Web frei abrufbar waren, hellhörig. Unabhängig davon, ist nach geltendem deutschem Recht die systematische Speicherung personenbezogener Daten der Benutzer grundsätzlich verboten.
Dazu komme, dass insbesondere durch das Zusammenarbeiten der Suchmaschinenbetreiber mit Drittfirmen steige das Risiko der missbräuchlichen Nutzung, und das liegt in der Natur der Sache, steigt.
-ok -

Suchmaschinen nicht datenschutzkonform
Tecchannel – „Speicherung von Suchangaben: Google & Co missachten Datenschutzvorgaben“
http://www.tecchannel.de/pc_mobile/news/1745093/

Kaum anonymes Surfen möglich
Silicon – „Lauschangriff der Suchmaschinen“
http://www.silicon.de/enid/storage_network/33038


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick

1. Carsten Eilers nächste Folgen seiner Kolumne "About Security":
Entwickler.com - About Security #141: Web-Würmer (4): Der Orkut-XSS-Wurm
http://entwickler.de/zonen/portale/psecom,id,126,news,41017,p,0.html

2. Autofahrer-Datenschutz im Fokus
Financial Times Deutschland – „Big Brother fährt mit“
http://www.ftd.de/politik/deutschland/:Big%20Brother/309348.html

3. Gesundheitskarte in der Kritik
Apotheker Zeitung – „Bündnis gegen elektronische Gesundheitskarte“
http://www.deutscher-apotheker-verlag.de/daz_neu/public/tagesnews/
Januar/tagesnews20080129c.html

4. Aufsichtsbehörden haben Schülerpage im Visier
ZDNet – „Datenschützer: Online-Lehrerbenotung ist rechtswidrig“
http://www.zdnet.de/security/news/0,39029460,39161582,00.htm