Daily Archives: 13. April 2014

Heartbleed – Sicherheitslücke

Seit einigen Tagen ist bekannt, dass es eine schwerwiegende Sicherheitslücke in der OPENSSL-Verschlüsselung gibt. Viele Firmen, aber auch Privatleute, setzen auf die Technologie und nicht auf die SSL Technologie.

Das Bundesamt für Informationssicherheit stuft die Sicherheitslücke als kritisch ein:
“Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft diese Schwachstelle als kritisch ein. Ein Angreifer ist unter Ausnutzung der Schwachstelle in der Lage, Speicherinhalte des OpenSSL Servers auszulesen, sofern diese die “Heartbeat”-Erweiterung aktiviert haben. Mithilfe des “Heartbleed Bugs” können zudem unter Umständen die geheimen Schlüssel von OpenSSL-Servern ausgelesen werden.”
http://www.bsi.bund.de/DE/Presse/Kurzmitteilungen/Kurzmit2014/Heartbleed_11042014.html;jsessionid=C9F4010082106B19C6381EE14C2C7F9E.2_cid361

Eine kleine Grafik zeigt wer aktuell betroffen ist:
http://venturebeat.files.wordpress.com/2014/04/lwg_heartbleed.jpg

Wie Ihr wisst bin ich MVP für Office 365 und so fand ich natülich den passenden Eintrag auf dem Office Blog:
blogs.technet.com/b/security/archive/2014/04/10/microsoft-devices-and-services-and-the-openssl-heartbleed-vulnerability.aspx

“Nach einer gründlichen Untersuchung, bestimmt Microsoft, dass Microsoft-Konto, Microsoft Azure, Office 365, Yammer und Skype, zusammen mit den meisten Microsoft-Dienste, werden nicht von der OpenSSL “Heartbleed” Schwachstelle betroffen. Implementierung von SSL / TLS Windows ist auch nicht betroffen. Einige Dienstleistungen weiterhin überprüft und mit weiteren Schutzmaßnahmen aktualisiert werden.”

Konkret heißt es: Kunden von Office 365 oder auch eines Microsoft Kontos sind nicht betroffen.

Artikelvorschau April 2014

Ich würde gerne einmal mit einer kleinen Artikelvorschau beginnen:

  1. Persönliche Daten online  – nach dem Tod oder psychischer Behinderung
  2. Mobile Apps – Effektiv arbeiten mit Entwicklerwerkzeugen
  3. Urteilsbesprechung 13. Rundfunk-Entscheidung des BVerfGE
  4. Mobile Apps  und der Datenschutz
  5. Verwalten von Sicherheit und Datenschutz in Cloud- und Outscourcing Vereinbarungen
  6. Cloud Computing  – Identifizierung sicherere und faire Vertragsbegindungen für KMU und Verbraucher
  7. Software Asset Management and Enforcement Audits
  8. Legal Implication of Wearable Computing
  9. Verwalten von Sicherheit und Datenschutz in Cloud-und Outsourcing-Vereinbarungen

[Buchtipp] Internetrecht – Härting

Internetrecht
+ Verbraucherrechtsnovelle
Autor: Prof. Dr. Niko Härting
Preis: 84,80 Euro
Seiten:882
Verlag: Dr.OttoSchmidt/Köln

Anforderungen:
Das Internetrecht ist in den aktuellen Zeiten eine Thematik, welche sich rasend schnell entwickelt. Oft ist ein Buch schon veraltet, wenn dieses erscheint. Ebenso ist das Internetrecht eher ein Case Law im Unterschied zu klassischen Rechtsgebieten wie dem Sachenrecht, wo bereits alle Rechtsfragen zu 98% geklärt sind.

Zunächst bin ich froh, dass der Otto Schmidt Verlag mir das neue Buch direkt nach der Veröffentlichung zugesendet hat. Zunächst einmal ein Dankeschön!

Herr Prof. Dr. Härting ist Rechtsanwalt in Berlin und beschäftigt sich schon sehr lange mit dem Internetrecht. So freut es nicht nur mich, dass er nun nach seiner letzten Auflage vor drei Jahren eine neue komplett überarbeitete Auflage geschaffen hat.

Wie er auch gut in dem Vorwort schreibt bindet er gerade die für das Internetrecht immer wichtiger werdenen Entscheidungen zum Internetrecht ein und nutzt den Kommissonsentwurf zur europäischen Datenschutzreform und diese Akspekte einzuarbeiten. Das wir aktuell nun eine 721seitigen Abschluss der Reform vorliegen haben, ist wieder der Wahl des Medium des Buches geschultet. Weiterhin erweiterte der Autor sein Fachbuch um einige Kapitel, zum Beispiel zum Thema Online-Games.

Im Grunde würde ich vorschlagen, dass sich die fünf bis sieben wirklich guten Internetrechtler in Deutschland zusammen tun und einen aktuelles Buch/Wiki veröffentlichen und eine Abogebühr verlangen. Sehr gut, wäre es natütlich diese Informationen zum Beispiel als Modul in Office 365 anzubieten und so bestehende Vertriebswege zu nutzen.

Formal:
Das Fachbuch besitzt 11 Kapitel, ein Abkürzungsverzeichnis eine Rechtsprechungsübersicht, ein Literaturverzeichnis und ein Stichwortverzeichnis. Auf insgesamt 644 Seiten beschäftigt sich der Autor mit dem Internetrecht und dessen vielfältigen Verknüpfungen in das nationale und internationale Recht.

Bei der ersten Betrachtung fällt dem Leser sehr positive auf, dass es vor jedem Kapitel eine kleine Inhaltsübersicht mit Angaben der Seitenzahlen gibt. Ebenso sind die Absätze nummeriert und es finden sich bis zu 10 Fußnoten (Stichproben) am jeweiligen Seitenende.

Weiterhin finden sich in den Texten fett hervorgehobene Begriffe und Paragraphen wie “unzulässiger Eingriff”, “Blogger”, “Big-Brother-Situation”, “§ 88 TKG”, “Art 10GG”, die dieses Werk nicht nur als klassisches Fachbuch, sondern auch als Nachschlagewerk rein formal erheben. Aus eigener sehr guter Erfahrung konnte ich durch dieses Stilmittel wesentlich schneller die nötige Information finden. Es erleichtert ebenso das Quer-Lesen, wie auch das noch schnellere Erfassen der wichtigen Informationen.

Wenn man etwas in diesem aktuellen Werk blättert und liest kommt man entsprechend auch immer wieder zu Übersichten. Diese Übersichten beinhalten die wichtigen Prüfungspunkte und Merkmale des jeweilg angesprochenen Paragraphen.

Inhaltlich:
Betrachtet man nun neben der äußerlich formalen Struktur aus Fußnoten, Absätzen und Verzeichnissen ein mal den Inhalt, fällt dem Leser auf, dass das Buch sich leicht lesen läßt. Die Sätze sind lesefreundlich verfasst, auch wenn sich immer mal wieder Einschübe und Schachtessätze finden lassen. Jedoch kam es bei mir nicht vor, dass ich öfter Sätze ein zweites oder drittes Mal lesen musste. 
Nach einer größeren Stichprobe sind die Informationen valide und eligible. Auch die Probe der Fußnoten führte nur zu positiven Ergebnissen.

Zusammenfassung:
Das neue und ausführliche Fachbuch ist nicht nur ein Buch begleitend zu einer Vorlesung oder als Nachschlagewerk zu einer Fachanwaltsausbildung, sondern gehört auf den Schreibtisch eines jeden guten IT Rechtler.

Webseite des Autors:
http://www.haerting.de/de/publikation/internetrecht-5-auflage

 

Vorratsdatenspeicherung, das letzte Wort ist gesprochen ?

Seit vielen jahren wird in Deutschland und in der EU über das Thema Vorratsdatenspeicherung gesprochen, diskutiert und es gab so manches Urteil und um so mehr Aufsätze, aber auch Examensklausuren zu diesem Thema. Ich habe mich persönlich mehr mehreren Blogbeiträgen auf diesem Blog mit dem Thema befasst. Als letztes berichtete ich von den Schlussanträgen des Generalanwaltes beim EUGH zu dem nun am 08.04.2014 entschiedenen Verfahren vor dem EUGH.

In Deutschland befindet sich die Diskussion auf höchster Ebene in der Regierung, die eine Umsetzung mit Bedingungen in den Koalsationsvertrag geschrieben hatten. Nun sagte unser Justizminister Maas schon, dass die Richtlinie der EU zur Vorratsdatenspeicherung endgültig gekippt wurde und so eine Umsetzung in nationales Recht unmöglich sei. Die Bundesregierung unter CDU/FDP hatte schon eine Umsetzung versucht und scheitere am Bundesverfassungsgericht, welches die Umsetzung für verfassungswidrig deklarierte und so das Gesetz einkassierte.

Jedoch stand immernoch die europäische Richtlinie im Raum, die durch Deutschland zwar nicht wortwörtlich, aber umgesetzt werden muss gemäß Art 288 III AEUV. Eine Richtlinie hat unmittelbare Auswirkungen und auch die EU Kommission könnte gegen Deutschland ein Vertragsverletzungsverfahren gemäß Art. 258, 259 AEUV anstreben, dass die Richtline nicht umgesetzt wurde.

In dem Urteil des EUGH vom 08.04.2014 in den verbundene Rechtssachen C-293/12 und C-594/12 Digital Rights Ireland und Seitlinger u.a. erklärte der Gerichtshof die Richtline für ungültig.

“Der Gerichtshof stellt zunächst fest, dass den auf Vorrat zu speichernden Daten insbesondere zu entnehmen ist, 1. mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat, 2. wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand und 3. wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat. Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert werden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufentshaltorte, täglich oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen und das soziale Umfeld.”

Ich würde Euch nun weiter sehr gerne eine kurze Zusammenfassung schreiben, aber die PM ist schon so konpremiert, dass es sich lohnt alles zu lesen:

Der Gerichtshof sieht in der Verpflichtung zur Vorratsspeicherung dieser Daten und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen einen besonders schwerwiegenden Eingriff der Richtlinie in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Außerdem ist der Umstand, dass die Vorratsspeicherung der Daten und ihre spätere Nutzung vorgenommen werden, ohne dass der Teilnehmer oder der registrierte Benutzer darüber informiert wird, geeignet, bei den Betroffenen das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist.

Sodann prüft der Gerichtshof, ob ein solcher Eingriff in die fraglichen Grundrechte gerechtfertigt ist. Er stellt fest, dass die nach der Richtlinie vorgeschriebene Vorratsspeicherung von Daten nicht geeignet ist, den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten anzutasten. Die Richtlinie gestattet nämlich nicht die Kenntnisnahme des Inhalts elektronischer Kommunikation als solchen und sieht vor, dass die Diensteanbieter bzw. Netzbetreiber bestimmte Grundsätze des Datenschutzes und der Datensicherheit einhalten müssen.

Die Vorratsspeicherung der Daten zur etwaigen Weiterleitung an die zuständigen nationalen Behörden stellt auch eine Zielsetzung dar, die dem Gemeinwohl dient, und zwar der Bekämpfung schwerer Kriminalität und somit letztlich der öffentlichen Sicherheit.

Der Gerichtshof kommt jedoch zu dem Ergebnis, dass der Unionsgesetzgeber beim Erlass der Richtlinie über die Vorratsspeicherung von Daten die Grenzen überschritten hat, die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit einhalten musste. Hierzu führt der Gerichtshof aus, dass angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung des Privatlebens und des Ausmaßes und der Schwere des mit der Richtlinie verbundenen Eingriffs in dieses Recht der Gestaltungsspielraum des Unionsgesetzgebers eingeschränkt ist, so dass die Richtlinie einer strikten Kontrolle unterliegt.

Zwar ist die nach der Richtlinie vorgeschriebene Vorratsspeicherung der Daten zur Erreichung des mit ihr verfolgten Ziels geeignet, doch beinhaltet sie einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Erstens erstreckt sich die Richtlinie nämlich generell auf sämtliche Personen, elektronischeKommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.

Zweitens sieht die Richtlinie kein objektives Kriterium vor, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden können,dass sie einen solchen Eingriff rechtfertigen. Die Richtlinie nimmt im Gegenteil lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten „schweren Straftaten“ Bezug.

Überdies enthält die Richtlinie keine materiell-und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Vor allem unterliegt der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.

Drittens schreibt die Richtlinie eine Dauer der Vorratsspeicherung der Daten von mindestens sechs Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder nach Maßgabe des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen wird.

Die Speicherungsfrist liegt zudem zwischen mindestens sechs und höchstens 24 Monaten, ohne dass die Richtlinie objektive Kriterien festlegt, die gewährleisten, dass die Speicherung auf das absolut Notwendige beschränkt wird. Darüber hinaus stellt der Gerichtshof fest, dass die Richtlinie keine hinreichenden Garantien dafür bietet, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind.

Unter anderem gestattet sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (insbesondere hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleistet nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Der Gerichtshof rügt schließlich, dass die Richtlinie keine Speicherung der Daten im Unionsgebiet vorschreibt. Sie gewährleistet damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird, obwohl die Charta dies ausdrücklich fordert. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Quelle:
Pressemitteilung Nr. 54/14
http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054de.pdf

Volltext der Entscheidung:
http://curia.europa.eu/juris/documents.jsf?num=C-293/12

 

Unterlassung bestimmter Suchwortkombinationen

Ich hatte vor einiger Zeit schon einmal über des in Betreff genannten Themas auf meinem Blog berichtet. Es geht darum, dass Personen oder auch Firmen nicht mit bestimmten negativ belasteten Worten bei der Suche nach Ihnen in der Suchmaschine Google geführt werden wollen. Im Rahmen der Autocomplete Funktion werden dem Suchenden bestimmte Worte zu dem Suchbegriff vorgeschlagen, um die Suche einzuschränken und so das Suchergebnis zu verbessern. Diese vorgeschlagenen Worte oder auch Begriffe werden über die anderen Suchen herrausgefiltert. Also wenn die User oft nach einer bestimmten Wort- oder Begriffskombination suchen, dann wird diese auch bei anderen Suchenden vorgeschlagen.
Bekannt geworden wurde die Disskussion, ob die ehrverletzende Person die Zuordnung bestimmter Begriffe zu Ihrem Namen dem Betreiber des Suchprotals verbieten kann (Google) in einem Rechtsstreit zwischen Google und Frau Schröder, deren Name mit dem Wort “Prostituierte” verbunden wurde.

In dem aktuellen Fall vor dem Oberlandesgericht Köln klagte eine Aktiengesellschaft (1), die im Internet Nahrungsergänzungsmittel vertreibt, sowie deren Gründer und Vorstandsvorsitzender (2) gegen die Firma Google Inc.

Bei der Eingabe in die Suchmaske von Google schlug/schlägt die Autocomplete-Funktion ebenfalls die Worte “Scientology” und “Betrug” vor. Der Kläger (2) sah in diesem Punkt eine Persönlichkeitsverletzung und die Klägerin 1 sah in dieser Anzeige eine Beschädigung des geschäftlichen Ansehens.

Die Klage (2) richtete sich auf die Unterlassung dieser Autokomplete-Funktion mit diesem Begriffen, wie auch auf Zahlung der Anwaltskosten. Die Klägerin (1) begehrte darüber hinaus eine Geldentschädigung.

Die weitergehende Klage hat der 15. zivilsenat in seinem Urteil vom 8.04.2014 abgewiesen. (Az: 15 U 199/11).

Das Langericht Köln und auch das Oberlandesgericht Köln war der Auffassung, dass keine Verletzung der Persönlichkeitsrechte vorliegt. Die Begründung für die Entscheidung lieg darin, dass die der Suchmaschine zugrunde liegende Programmierung nur automatisch das Nutzerverahlten auswerte und dies dies Nutzer wüssten. Daraus schließt das Gericht, dass diese bestimmten Wortkombinationen mit keiner inhaltlichen Aussage verbunden werden.

Auf die Revision der Kläger beim Bundesgerichtshof, hob dieser die Entscheidung auf und verwies zur erneuten Verhandlung das Verfahren an das OLG Köln zurück.

Der BGH war der Auffassung, “dass der Autocomplete-Funktion ein fassbarer Aussageinhalt innewohne und jedenfalls ab dem Zeitpunkt ein Unterlassungsanspruch bestehen könnte, in welchem die Beklagte von konkreten Verletzungen von Persönlichkeitsrechten durch Suchwortergänzungen Kenntnis erlangt habe.”

Das OLG Köln prüfte nun, inwieweit Google seinen Pflichten zur Überprüfung von konkreten Beanstandungen hinreichend nachgekommen war. Nach dieser Prüfung wurde zwar gerügt, dass die Firma Google Germany GmbH nicht unverzüglich gehandelt habe, um die Begriffe zu entfernen, sie dies aber später nachgeholt hat. Ein Anspruch war mit der von Google verfassten Email auf Ablehnung der Entfernung entstanden, aber durch die spätere Entfernung sei kein Anspruch auf zahlung einer zusätzlichen Geldentschädgung entstanden, da das Verschulden der Beklagten nicht besonders schwer wiege und der Rechtsverstoß beseitig worden sei und in seinen Auswirkungen begrenzt war.

 

Zusammenfassend:
Laut des Bundesgerichtshofes entfaltet die Autocomplete-Funktion bei Google eine ausreichende inhaltliche Wirkung für eine Verletzung des Persönlichkeitsrechtes. Daraus entwickelt sich ein Anspruch auf Unterlassung, bzw. auf Entfernen des Eintrages gegen den Suchmaschinen betreiber. Für einen darüberhinaus gehenden Anspruch auf eine Geldzahlung muss jedoch ein anhaltender Rechtsverstoß vorliegen und dieser Auswirkungen zeigen.

 

Quelle:
PM OLG Köln Entscheidung vom 08.04.2014
http://www.olg-koeln.nrw.de/behoerde/presse/004_zt_letzte-pm_archiv_zwangs/002_archiv/index.php

Urteil des 15. Zivilsenates des OLG Köln: 15 U 199/11