Dienstag, 5. November 2019

Es geht auch teuer!


Nachdem die ersten in Deutschland verhängten Strafen im Rahmen der DSGVO relativ „glimpflich“ für die jeweiligen Unternehmen waren, hat es nun die „Deutsche Wohnen“ getroffen: 14,5 Mio € soll das Unternehmen wegen eines Datenschutz-Verstoßes laut des Berliner Datenschutzbeauftragten zahlen. 
Hintergrund ist offenbar in bei dem Unternehmen verwendetes Archiv-System, bei welchem personenbezogene Daten der Mieter - Gehaltsnachweise, Adressen, Selbstauskünfte - teilweise noch Jahre nach dem ursprünglichen Zweck der Erhebung abgerufen und eingesehen werden konnten. Der Datenschutzbeauftragte hatte die Deutsche Wohnen bereits in der Vergangenheit auf diesen Zustand hingewiesen, man konnte oder wollte aber offenbar nicht rechtzeitig nachbessern. 
Vom Datenschutzbeauftragten wurde der Verstoß als „eklatant“ bewertet; es handele sich um einen - leider bei vielen Unternehmen noch anzutreffenden - „Datenfriedhof“ ohne gesetzliche Grundlage. Die Deutsche Wohnen kann gegen den Bescheid noch Einspruch erheben. 

Quelle: Heise-News


Montag, 21. Oktober 2019

Abandonware


Abandonware, so nennt man urheberrechtlich geschützte Werke, deren Urheberrecht von niemandem mehr wahrgenommen wird.
Archive.org, auch bekannt als die "wayback-machine" oder das "Internet Archiv", hat es sich als gemeinnütziges Projekt zur Aufgabe gemacht, eine Bibliothek des Internets zu sein. So werden nicht nur Webseiten gesammelt, sondern inzwischen auch alte Computerspiele der DOS-Ära, die ansonsten für immer verloren gingen. Oft wird hierbei auf Abandonware zurückgegriffen.
2.500 neue Spiele wurden nun gerade katalogisiert und emuliert, so daß interessierte Nutzer sie im Browser anspielen können. Viel Spaß!

Links:
Spiegel Online
Sammlung bei Archive.org

Microsoft geht gegen gebrauchte Lizenzen vor

Wie verschiedentlich berichtet wird, geht Microsoft - nach eigenen Angaben - gegen die Gebrauchtsoftware-Verkäufe des Lizenzhändlers Lizengo vor. Lizengo war einer größeren Öffentlichkeit bekannt geworden, als vor einiger Zeit entsprechende Microsoft-Produkte bei Edeka angeboten wurden.
Laut Microsoft wurden Lizenzen für einige Produkte doppelt verkauft bzw. die Produktschlüssel für die Aktivierung einer Vielzahl von Kopien genutzt, teilweise wurden Einzelprodukte unzulässig aus Volumenlizenzen herausgelöst. Außerdem wurden einige Schlüssel nicht innerhalb der EU in Verkehr gebracht - ein wichtiges Kriterium für den urheberrechtlichen "Erschöpfungsgrundsatz", den ich in diesem Video schon einmal erklärt habe. Ob an den Vorhaltungen etwas dran ist und ob bereits gerichtliche Schritte eingeleitet wurden, oder ob nur eine Abmahnung ausgesprochen wurde, ist derzeit noch nicht bekannt. Bekannt ist jedoch, daß Microsoft den Wiederverkauf gebrauchter Software ohnehin am Liebsten unterbinden würde. Das ist jedoch nach dem europäischen Urheberrecht nicht so einfach - zumindest, wenn alle Voraussetzungen auf Seiten des Verkäufers eingehalten werden.

Links:
Golem 
Heise News

Dienstag, 1. Oktober 2019

Cookie - Panik!


Heute hat es eine bemerkenswerte Entscheidung des Europäischen Gerichtshofes zum Thema Cookies / "Cookie-Banner" auf Webseiten gegeben. Hintergrund war eine Vorlagefrage des Bundesgerichtshofes, der sich vergewissern wollte, daß die deutsche Rechtslage noch dem europäischen Recht entspräche.

In Deutschland ist (war) es derzeit so, daß eine Einwilligung der Nutzer in das Setzen eines Cookies nicht eingeholt werden muß, soweit die Verwendung des Cookies ordnungsgemäß in der Datenschutzerklärung deklariert wird. Die Regelung im TMG (§ 13) dazu ist älter und allgemeiner gefaßt als die später erlassene europäische Richtlinie, mit der der Gesetzgeber angehalten wurde, den Seitenbetreibern eine Einwilligungspflicht aufzuerlegen, wenn sie den Nutzer mittels sog. "hidden identifiers" verfolgbar machen.
Der deutsche Gesetzgeber hat eine Nachbesserung stets mit Verweis auf die bestehenden Regelungen abgelehnt.
Vor dem Hintergrund der neuen DS-GVO war nun fraglich, ob dies immer noch gilt.
Hintergrund ist auch die Frage, ob Cookies, die zu einer bestimmten IP Bezug nehmen, personenbezogene Daten im Sinne der DS-GVO sind. Früher stand man in Deutschland auf dem Standpunkt, daß es sich um anonymisierte oder zumindest pseudonymisierte Daten handele, die eben nicht personenbezogen sind. Dies ist nach der aktuellen Rechtsprechung aber kaum haltbar, da IPs heute klar als zumindest "personenbeziehbar" angesehen werden und damit ebenfalls der DS-GVO unterfallen.
Dem EuGH ist sogar diese Unterscheidung egal: Es mache "keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht", hieß es in einer Presseerklärung.
Der EuGH sagt nun in all diesen Fällen ziemlich klar, daß eine vom Webseitenbesucher abgefragte Einwilligung erforderlich sei, bevor ein Cookie (oder sonstiges Identifikationsmittel) gesetzt werden darf.
Demnach muß ein Webseitenbesucher wohl auch "nein" anklicken können, um die Webseite ohne das Setzen von Cookies zu besuchen.
Dies stellt ganze Geschäftsmodelle auf den Kopf, da über Cookies heute so vielfältige Dinge wie cross-site-tracking, Warenkörbe, nutzerspezifische Werbung, layout-Voreinstellungen etc. vorgehalten werden.
Viele Seiten bieten bereits heute eine Einstellung, in der nur "technisch notwendige" Cookies akzeptiert werden. Auch hier muß dann die Frage gestattet sein: Technisch notwendig wofür? Fast jegliche Funktion läßt sich auf umständlichem Wege auch technisch anderweitig abbilden, beispielsweise über Zählpixel (wobei auch diese den "hidden identifiers" unterfallen dürften) oder endlose dynamische Zusätze in der URL (die wiederum zu Problemen mit bestimmten Routern und Hubs führen). Ein Cookie kann aber "technisch notwendig" für das entsprechende Geschäftsmodell sein. Ist die Webseite auch in einem solchen Fall "cookiefrei" anzubieten?

Kurzfristig bietet die EuGH-Entscheidung von heute vor allem Fragen, aber nur wenige Lösungen. Ich bin gespannt, wie Webdesigner, Firmen und der Gesetzgeber mit dieser Vorgabe umgehen werden.


Quellen:
Heise-News
Golem News

Montag, 23. September 2019

Neue beA-Panne - ganz unsigniert!




Das beA (besondere elektronische Anwaltspostfach) gibt mal wieder Anlass zu Klagen (Achtung, Flachwitz…):
Abgesehen davon, daß das beA heute mal wieder nicht funktioniert …

…wurde kürzlich noch ein anderer „Bug“ bekannt: 
Wie heise.de berichtete, „vergißt“ die Archivierungsfunktion des Portals etwas Entscheidendes, wenn Nachrichten für die dauerhafte elektronische Aufbewahrung aus dem Webportal extrahiert werden. 
Hintergrund der Funktion: Das beA soll nur für den Versand, nicht aber für die Lagerung von Nachrichten vorgesehen sein. Daher werden neue Nachrichten nach drei Monaten automatisch in den „Papierkorb“ verschoben, von wo aus sie - wiederum automatisiert - nach einem weiteren Monat vollständig gelöscht werden. Will ein Anwalt somit den Zugang einer Nachricht von vor vier Monaten nachweisen - was in längeren Gerichtsverfahren eher die Regel als die Ausnahme sein wird - soll er die entsprechenden Nachrichten über die „Archivieren“-Funktion als ZIP-Datei herunterladen und gemeinsam mit den zugehörigen Signaturdateien im PKCS#7-Format bei sich lokal abspeichern. Problem: Wie jetzt heraus kam, fügt die „Archivieren“-Funktion leider keine gültigen PKCS#7-Dateien bei. Diese läßt sich mit einem entsprechenden Prüfprogramm nicht aufrufen. Hat der Anwalt die Nachricht im Original also aus dem beA gelöscht, kann er auch nach Archivierung den Versandzeitpunkt nicht mehr zweifelsfrei nachweisen, da die Signatur des Archivs fehlt. 

Quelle: Heise-News 

Donnerstag, 22. August 2019

Fast ganz sicher...


PSD2, schon gehört? Im Alltagsstreß haben Sie das Schreiben Ihrer Bank erst mal an die Seite gelegt, in dem auf "wichtige Änderungen beim Online-Banking" hingeweisen wurde. Ab dem 14.09. benötigen Sie grundsätzlich für das Einloggen per Internet bei ihrer Hausbank einen "zweiten Faktor" zur Klärung Ihrer Berechtigung. Außerdem wird durch die 2te europäische Zahlungsdiensterichtlinie das iTAN-Verfahren abgeschafft. Diese Gelegenheit nutzen viele Banken, einmal ganz grundsätzlich ihre Authentifizierungsverfahren zu prüfen.

Einen Aufschub gab es dagegen jetzt für Online-Anbieter, die Kreditkartenzahlungen akzeptieren. Hier muß die starke Kundenauthentifizierung doch noch nicht umgesetzt werden. Das ist ein wenig erstaunlich, da viele Händler die Anforderungen bereits umgesetzt haben. Die BAFIN sagt, mit diesem Aufschub sollen "Störungen bei Internet-Zahlungen verhindert" werden.


Links:
Heise-News
Übersicht der Bundesbank

Dienstag, 13. August 2019

In eigener Sache: Jacobus gelauncht!


In eigener Sache:
Unser legalTech-Projekt "Jacobus" ist gelauncht.
Jacobus ist ein arbeitsrechtliches Projekt im Bereich des Kündigungsschutzes. Wir erstreiten Abfindungen für Arbeitnehmer. Unser Ziel:


"Jacobus erstreitet Ihre Abfindung. Den Rechtsstreit lassen wir von unseren erfahrenen Partneranwälten durchführen und tragen Ihr Kostenrisiko.
Recht haben und Recht bekommen sind zwei verschiedene Paar Schuhe. Unser Versprechen: Sie stehen nicht schlechter dar, selbst wenn die Kündigung wirksam war. Das Prozesskostenrisiko tragen wir für Sie." 

Wenn Sie die Zeit finden, klicken Sie sich gerne einmal durch!