Dienstag, 12. März 2019

Kaum war es da, war es schon wieder weg!


Section Control - das sog. Streckenradar - ist eine neue Form der Geschwindigkeitskontrolle, bei der nicht eine Punktmessung, sondern die Erfassung des Fahrzeugs über eine längere Strecke zur Ermittlung der Durchschnittsgeschwindigkeit führt.
Dieses Verfahren wird bereits in einigen Ländern angewendet; seit zwei Monaten war eine Testanlage in Deutschland auf der B6 bei Hannover in Betrieb. Zu Unrecht, entschied nun das Verwaltungsgericht Hannover.

In der Presseerklärung dazu heißt es:
"Durch „Section Control“ werden die Kfz-Kennzeichen aller in dem überwachten Abschnitt einfahrenden Fahrzeuge erfasst. Auch wenn diese beim 2,2 km entfernten Ausfahren im sog. Nichttrefferfall gelöscht werden, bedarf es für deren Erfassung – sowohl im sog. Treffer- als auch im sog. Nichttrefferfall – einer gesetzlichen Ermächtigungsgrundlage. 
Mit der Erfassung wird in das verfassungsrechtlich garantierte informationelle Selbstbestimmungsrecht eingegriffen. Für einen solchen Eingriff bedarf es stets – auch ungeachtet der jeweiligen Schwere des Eingriffs – einer gesetzlichen Grundlage. Dass „Section Control“ sich noch im Probebetrieb befindet, ändert hieran nichts. Dies folgt auch aus dem jüngsten Beschluss des Bundesverfassungsgerichts vom 18. Dezember 2018 zur automatisierten Kraftfahrzeugkennzeichenkontrolle zum Abgleich mit dem Fahndungsbestand. 
An einer solchen gesetzlichen Grundlage fehlt es hier. Dies zeigt sich nicht zuletzt darin, dass im Niedersächsischen Landtag ein entsprechender Gesetzentwurf zur Änderung des Niedersächsischen Polizeirechts (LT-Drs. 18/850) eingebracht ist, in dem mit § 32 Abs. 8 NPOG-E eine Rechtsgrundlage geschaffen werden soll." (Quelle)

Da die Gerichte bisher in Deutschland ausnahmslos alle derartigen anlaßlosen Massenüberwachungen kassiert haben, ist das Urteil nicht weiter verwunderlich. Interessant dürfte es höchstens werden, wenn durch das Land Niedersachsen irgendwann tatsächlich eine gesetzliche Regelung geschaffen worden ist. Das Gericht hat ja bereits angedeutet, daß die Zuständigkeit des Landes bisher noch nicht überprüft worden ist.

Links:
Pressemitteilung des VG Hannover
Heise-News

Montag, 11. März 2019

Mehr Sicherheit für gläsernere Kunden


2-Faktor-Authorisierung - so heißt das Zaubermodell, mit dem Online-Konten von Banken, social media oder Cloud-Lösungen noch sicherer werden sollen.

Wie nun bekannt wurde, kann die 2-Faktor-Authorisierung aber auch zu ganz anderen, unerwünschten Resultaten führen. Facebook z.B. nutzt für die 2-Faktor-Authorisierung neben dem normalen Login die Mobiltelefon-Nummer der Nutzer, die mittlerweile mit einiger Vehemenz "für mehr Sicherheit" abgefragt wird. Diese hat für den Konzern jedoch einen weiteren Vorteil, der den meisten Nutzern so nicht klar gewesen sein dürfte. Offenbar durchsucht Facebook die Kontaktkonten anderer Nutzer über seinen Dienst WhatsApp nach den Nummern, die sich nun plattformübergreifend einer bestimmten Person zuordnen lassen. Auf diese Weise kann z.B. "custom audiences" Werbung auch an Personen ausgespielt werden, die ihre Telefonnummer selbst nicht für Facebook freigegeben haben oder selbst gar kein Konto bei den Diensten haben. Es genügt, daß sie im Telefonbuch einer bei Facebook oder WhatsApp registrierten Person auftauchen. Die Interessen aller so verknüpften Personen lassen sich auswerten. Nach der DSGVO dürfte dieses Vorgehen rechtswidrig sein, da es gegen den Zweckbindungsgrundsatz bei der Datenerhebung verstößt. Wer die Sicherheit seines Kontozugriffs erhöhen will, rechnet nicht unbedingt damit, auch mit den Wohltaten personengebundener Werbung beglückt zu werden. Tut Facebook so etwas also tatsächlich? Eine Stellungnahme gegenüber Journalisten von Gizmodo.com lautete offenbar:
"...we use the information people provide to offer a more personalized experience, including showing more relevant ads.
Wer das nicht wolle, könne ja die - zugegebenermaßen recht versteckte - Möglichkeit der 2-Faktor-Authorisierung ohne Telefonnummer nutzen.


Links:
Datenschutzbeauftragter-Info
Heise News
Gizmodo-Artikel

Artikel 13, die Zweite!

Die angeblich vorgezogene Abstimmung über die Urheberrechtsreform hat sich offenbar doch nur als Luftnummer entpuppt.
In der Sache wird jedoch weiter gestritten. Ich habe die Zeit genutzt und mal ein paar Briefe an Abgeordnete des Europaparlaments losgelassen. Falls ich entsprechende Antworten erhalte, werde ich davon natürlich berichten. Solange gibt es zum Stand der Diskussion hier ein paar interessante Stellungnahmen:


Gastbeitrag Christian Lindner bei Spiegel Online 

EVP will Abstimmung doch nicht vorverlegen

Feenstaub - Magische Lösung für technische Probleme - Kommentar bei Spiegel Online

Die dunkle Technikhörigkeit der Ahnungslosen - Kolumne von Sascha Lobo

Filter, Linksteuer, Fake News - Webseite Axel Voss

Sonntag, 3. März 2019

USC - Sponsoring


In eigener Sache:
Unsere Kanzlei Port7 ist neu im Sponsorenteam der Volleyball-Damen des USC! Danke nochmal an den Kollegen Simon Diehl, der alles dafür eingefädelt hat!

Von der USC-Webseite:
Port7 steht nicht für Paragraphenreiter in grauen Anzügen. „Wir bieten handfeste Beratung und verstehen uns als Problemlöser“, erklärt Simon Diehl die Mission der acht Anwälte. Ihre Spezialgebiete reichen von Reiserecht bis Mietrecht. Sie setzen auf unkomplizierte und offene Kommunikation. Nach dem USC-Heimspiel gegen Schwerin tauschte sich der auf Handels- und Gesellschaftsrecht, sowie Reiserecht spezialisierte Simon Diehl daher gleich einmal mit der aus den USA angereisten Mutter von Mittelblockerin Kaz Brown, Kristine Falk, aus. „Steigende Fluggastzahlen führen automatisch auch zu steigenden Rechtsproblemen mit Fluggesellschaften“, erklärt der Experte. Im Falle von Kristine Falk gab es aber zum Glück keine Probleme.
Der USC Münster freut sich auf eine tolle Zusammenarbeit mit Port7.
 

Quelle: USC-muenster.de



Donnerstag, 21. Februar 2019

Art. 13- Kompromiss durchgewunken - wann kommen die Uploadfilter?


Viel Zeit bleibt und nicht mehr, die neue EU-Urheberrechtsnovelle aufzuhalten. Gestern hat der Kompromissvorschlag der Verhandlungsführer die vorletzte große Hürde passiert: Er wurde im Ministerrat durchgewunken. Jetzt muss nur noch das EU-Parlament im Plenum zustimmen, damit die Richtlinie in Kraft treten kann.
Der Kern der Kritik an dieser Urheberrechtsreform entfacht sich - wie man im zahlreichen YouTube-Beiträgen und Blogartikeln sehen kann - an Art. 13 des Entwurfs. Was regelt dieser eigentlich? Überschrieben ist die Norm mit: "Nutzung geschützter Inhalte durch Diensteanbieter der Informationsgesellschaft, die große Mengen der von ihren Nutzern hochgeladenen Werke und sonstigen Schutzgegenstände speichern oder zugänglich machen. Ich habe die Norm einmal hier im Volltext zitiert:
Artikel 13 
Nutzung geschützter Inhalte durch Diensteanbieter der Informationsgesellschaft, die große Mengen der von ihren Nutzern hochgeladenen Werke und sonstigen Schutzgegenstände speichern oder zugänglich machen
1.Diensteanbieter der Informationsgesellschaft, die große Mengen der von ihren Nutzern hochgeladenen Werke und sonstigen Schutzgegenstände in Absprache mit den Rechteinhabern speichern oder öffentlich zugänglich machen, ergreifen Maßnahmen, um zu gewährleisten, dass die mit den Rechteinhabern geschlossenen Vereinbarungen, die die Nutzung ihrer Werke oder sonstigen Schutzgegenstände regeln, oder die die Zugänglichkeit der von den Rechteinhabern genannten Werke oder Schutzgegenstände über ihre Dienste untersagen, eingehalten werden. Diese Maßnahmen wie beispielsweise wirksame Inhaltserkennungstechniken müssen geeignet und angemessen sein. Die Diensteanbieter müssen gegenüber den Rechteinhabern in angemessener Weise darlegen, wie die Maßnahmen funktionieren und eingesetzt werden und ihnen gegebenenfalls über die Erkennung und Nutzung ihrer Werke und sonstigen Schutzgegenstände Bericht erstatten.
2.Die Mitgliedstaaten müssen gewährleisten, dass die in Absatz 1 genannten Diensteanbieter den Nutzern für den Fall von Streitigkeiten über die Anwendung der in Absatz 1 genannten Maßnahmen Beschwerdemechanismen und Rechtsschutzmöglichkeiten zur Verfügung stellen.
3.Die Mitgliedstaaten erleichtern gegebenenfalls die Zusammenarbeit zwischen den Diensteanbietern der Informationsgesellschaft und den Rechteinhabern durch Dialoge zwischen den Interessenträgern, damit festgelegt werden kann, welche Verfahren sich beispielsweise unter Berücksichtigung der Art der Dienste, der verfügbaren Technik und deren Wirksamkeit vor dem Hintergrund der technologischen Entwicklungen als geeignete und angemessene Inhalteerkennungstechniken bewährt haben.

Nach der Vorstellung des Gesetzgebers soll sich die Vorschrift an Unternehmen der Contentbranche richten; wie etwa YouTube, Vimeo oder andere Plattformen, die user generated content hosten und zur Verfügung stellen. Diesen Plattformen wird nun eine Pflicht aufgebürdet, Maßnahmen durchzuführen, mit denen sie gewährleisten können, dass die mit den Rechteinhabern geschlossene  Nutzungsvereinbarungen eingehalten werden.
Außerdem müssen die Diensteanbieter gegenüber den Rechteinhabern in "angemessener Weise" darlegen, wie die Maßnahmen funktionieren und wie sie eingesetzt werden.
Anders ausgedrückt bedeutet das, dass eine Plattform wie etwa YouTube sich eine technische Lösung überlegen muss, um zu verhindern, dass die Urheberrechte  bzw. kommerziellen Nutzungsrechte von Rechteinhabern bei uploads verletzt werden. In der Regel - so sieht es jedenfalls die Internetcommunity - wird dies durch Uploadfilter gewährleistet werden. Was verändert sich also zum jetzigen Zustand? Auch jetzt schon benutzt YouTube einen Filteralgorithmus, um festzustellen, ob etwa die Hintergrundmusik von YouTube Videos zu monetarisieren ist oder ob ein Rechteinhaber beispielsweise an den Einnahmen beteiligt werden muss. Bei nicht freigegebenen, also nicht lizensierten Musiktiteln, bekommt der Verfasser des Videos als Verwarnung beispielsweise einen sogenannten "Strike".  Dieser zeigt, dass er sich nicht an die Veröffentlichungsregeln von YouTube gehalten hat. Diese Filter, die momentan bereits benutzt werden, wirken jedoch im Nachhinein. Das bedeutet: Wie es auch überall sonst im Leben üblich ist, kann jeder erst einmal tun was er möchte. Und erst im Nachhinein kann dann ein Rechteinhaber entweder direkt sich an YouTube wenden, oder YouTube kann den content, soweit er bereits bekannt ist, über seinen Filteralgorithmus einer Verletzung zuordnen.
Das neue an Art. 13 ist, dass diese Maßnahmen möglicherweise bereits im Vorhinein genutzt werden müssen. Das bedeutet: Ein Werk, das geschützten oder mutmaßlich geschützten content beinhaltet, kann gar nicht erst hochgeladen werden, wenn der Uploadfilter der Meinung ist, das von dem Werk eine Rechtsverletzung ausgeht. Das Problem hierbei ist, dass Algorithmen - trotz aller Fortschritte - immer noch relativ dumm sind. Sie können nicht, wie etwa ein Rechtsanwalt, bewerten, ob ein urheberrechtlich geschütztes Werk aufgrund bestimmter Ausnahmeregelungen (wie etwa der Zitatenfreiheit oder einer anderen berechtigten Verwendung) in dem konkreten Kontext doch verwendet werden darf.
Ich habe dies bei einem YouTube-Video selbst einmal erlebt. Ich hatte als Hintergrundmusik ein Musikwerk unter der "creative commons" genutzt. Dieses Musikwerk durfte in dem Video in der von mir verwendeten Weise verwendet werden. Nun gab es in diesem Werk eine relativ charakteristische Drumloop. Dieselbe Drumloop wurde von einem amerikanischen Rapper für ein anderes Werk verwendet,  welches dieser später veröffentlicht und bei YouTube angemeldet hatte. Der Contentfilter von YouTube hat nun das bei mir im Hintergrund verwendete Musikstück fälschlich als Werk dieses Rappers erkannt und wollte mein Video zwangsmonetarisieren, obwohl ich dies bei meinen Videos ablehne. Ich musste daher formal eine Beschwerde bei YouTube einreichen und um Überprüfung des Sachverhaltes bitten. Nach einigen Tagen konnte ich das Werk verwenden wie vorgesehen.
Man kann sich vorstellen, dass dieser Weg bei einer Vorabfilterung ein beschwerlicher ist. Wollte man nämlich beispielsweise Videos zu aktuellen Themen uploaden, dann hätte man innerhalb der Prüfungsfrist - und diese kann durchaus ein paar Tage dauern - überhaupt keine Möglichkeit, das Video zu verbreiten. Da alle größeren Plattformen eine ähnliche Filtertechnologie verwenden werden, ist das Ausweichen auf eine andere Plattform keine Option. Danach ist das Ereignis, um das es geht, möglicherweise sowieso bereits vorbei und das Interesse an einer Veröffentlichung möglicherweise bereits wieder gering. Man sieht also, dass die ernstzunehmende Gefahr einer erheblichen Beschränkung der Meinungs- und Redefreiheit und Vielfalt durch Vorab- Contentfilterung führt.

Links / Youtuber zu Art 13:

Krewkast
Kanzlei WBS, RA Solmecke
Youtube - Stellungnahme
Heisenews
Piratin Julia Reda

Mittwoch, 20. Februar 2019

Kosten durch lange Wartezeiten bei Bauämtern

In einem Beitrag zum "Morgenecho" bei WDR 5 hat mein Kanzleikollege Dr. Neumann zu einem - gerade in Münster - virulenten Thema Stellung genommen. Durch Personalmangel dauert die Bearbeitung von normalen Bauanträgen teilweise bis zu acht Monaten. In einer Stadt wie Münster, in der die Immobilienpreise immer weiter durch die Decke schießen, sind solche Wartezeiten bares Geld. Nicht nur Neuanträge, auch Umnutzungen müssen ja oft zügig umgesetzt werden, da ein Unternehmen evtl. auf den neuen Standort wartet.
Mehr dazu:

Radiosendung in der WDR 5 - Mediathek
Blogeintrag bei Rechtsanwalt Dr. Neumann

Freitag, 18. Januar 2019

Amazon-Dash-Button unzulässig


Auch in zweiter Instanz hat Amazon mit seinem „Dash-button“ eine Niederlage gegen die Verbraucherzentrale NRW erlitten. Auch das Oberlandesgericht München hielt den Einkaufsknopf für rechtswidrig, da wesentliche Pflichten zur Verbraucherinformation wie der „Jetzt kaufen!“ Hinweis und Widerrufsbelehrungen nicht erfüllt werden können. Die Wiedergabe dieser Texte nur in der Amazon-App reiche nicht aus, befand das Gericht. Amazon will Rechtsmittel gegen das Urteil prüfen. 

Sollte der Dash-Button vom Markt gehen, fragen sich natürlich alle technikbegeisterten IT-Enthusiasten: Wo bekommen wir jetzt derart preiswerte Smart-Buttons für unsere Bastelprojekte her? Die „DashButtonDudes“ beispielsweise sammeln Projektideen und Schemata, wie man über Amazons Smart-Button z.B. eine smarte Türklingel, einen „Record“-Button, einen smarten Lichtschalter und sogar eine Kaffeemaschinen-Fernsteuerung bauen kann… 

Quelle: 

Was wir wissen - und was nicht!


Er sei ein jugendlicher Einzeltäter heißt es über Johannes S. - genannt 0RBIT - der für das größte Datenleak in der BRD neuerer Zeit verantwortlich sein soll. Nach Hausdurchsuchungen, Zeugenbefragungen und  anderen polizeilichen Maßnahmen sind sich die Behörden sicher, den „Richtigen“ erwischt zu haben. 
Warum es überhaupt so lange gedauert hat und welche Fehler Nullr0uter - wie sich Johannes S. ebenfalls nannte - gemacht hat, fasst der verlinkte Golem-Artikel gut zusammen. 

Quelle:

Samstag, 5. Januar 2019

Daten-Adventskalender

"Interpol und Deutsche Bank, FBI und Scotland Yard
Flensburg und das BKA, haben unsere Daten da"
...hieß es bei Kraftwerk bereits 1981 in dem Song "Computerwelt". An die Idee, daß man die Kontrolle über Daten, die man einmal aus der Hand gegeben hat, dauerhaft verlieren könnte, scheinen sich im 21. Jahrhundert noch nicht alle gewöhnt zu haben.
Hunderte von persönlichen und privaten Daten und Dokumenten einiger Politiker und Promis wurden seit Dezember über ein offenbar gekapertes Twitter-Account eines youtubers in Form eines "Adventskalenders" veröffentlicht. Zahlreiche bekannte Politiker - mit Ausnahme der AFD-Fraktion offenbar - sind betroffen. Kontodaten, Urlaubsbilder, Briefe und Nachrichten zählen zu den veröffentlichten Informationen. Momentan ist unklar, ob hinter dem Datenleck eine Einzelperson oder eine Gruppe steht und auf welchem Weg die Daten abgezapft wurden. Die Rede ist von jahrelanger Sammlung. Ich persönlich würde ja eher auf die Mitarbeiter eines Clouddienstes tippen; allerdings sind die öffentlich gewordenen Informationen noch zu dürftig, um gezieltere Schätzungen abzugeben. Mir stellt sich die Frage, was solche Informationen überhaupt im Netz verloren haben; gerade persönliche Dokumente würde ich nicht ohne eine starke Verschlüsselung auf einen Clouddienste-Anbieter hochladen. Vorzugswürdig ist es aus meiner Sicht immer, eine eigene Cloud zu hosten; die Anbieter für solche Möglichkeiten sind ja mittlerweile vielfältig.
Interessant wird die Frage werden, ob es einen "Single Point of Attack" gab, also eine bestimmte Sicherheitslücke, die - möglicherweise mehrmals - ausgenutzt wurde, oder ob der Täter einfach nur fleißig war. Sollte der Täter die Daten einfach nur durch Fleiß zusammengetragen haben, wirft dies natürlich auch auf die Betroffenen kein gutes Licht...

Quelle: Heise-News
Spiegel Online

Casthack

Datenpanne bei dem beliebten Streaming-Hardwareclient von Google: Unbekannte haben eine Sicherheitslücke im uPNP-Dienst ausgenutzt, um auf bis zu 100.000 der kleinen Android-Rechner zuzugreifen und dort ein bestimmtes YouTube-Video abzuspielen.
uPNP ist auf vielen Routern standardmäßig aktiv und wurde von den Betroffenen offenbar nicht abgeschaltet. Diese Meldung zeigt den immer weiter um sich greifenden Trend, daß die Menschen sich im IT-Umfeld sich Hardware umgeben, deren Funktion sie nicht mal ansatzweise verstehen. Bevor man den staatlichen Bildungsauftrag durch die Verteilung von iPads an Schulen zu erfüllen sucht, sollte man vielleicht zunächst mal über die Aneignung einer technischen Grundkompetenz nachdenken. Schließlich gibt es auch Verkehrserziehung oder Schwimmunterricht an Schulen; da halte ich "Technikerziehung" für keine abwegige Idee.
Wer mehr über uPNP erfahren möchte, liest diesen Wikipedia-Artikel. Das BSI empfiehlt seit 2016 durchgehend, uPNP auf Routern im privaten Einsatz standardmäßig zu deaktivieren.

Quelle: Heise-News

Darf's ein wenig mehr sein?

Liebe Leser, zunächst alles Gute für das Jahr 2019! Ich hoffe, Sie hatten schöne Weihnachtsfeiertage. 2019 beginnt direkt mit einigen interessanten IT-Nachrichten. So haben einige Datenschutzaktivisten Strafanzeige gegen mehrere große Provider gestellt wegen der offenbar immer noch verbreiteten Praxis, die IP-Adressen und andere Verbindungsdaten ohne gesetzliche Grundlage drei Monate und länger zu speichern. Seit die Regelung zur Vorratsdatenspeicherung außer Kraft ist, dürfen Provider die personenbezogenen Daten nur dann länger speichern, wenn diese aus technischen Gründen oder zu Zwecken der Abrechnung erforderlich sind. Bei den heute üblichen Flatrate-Verträgen sind sie zu Abrechnungszwecken gerade nicht erforderlich; technische Zwecke sind schwer vorstellbar. In einem von der Bundesnetzagentur wird eine Speicherzeit von wenigen Tagen für ausreichend erachtet, um auch technische Störungen des Netzes ausreichend einzugrenzen.

Quelle: Heise-News