beA - rechtskonform oder nicht?

Das besondere elektronische Anwaltspostfach war ja in der Vergangenheit verschiedentlich in die Kritik geraten, zuletzt beispielsweise, weil die Übertragung von Nachrichten mit Umlauten unter bestimmten Umständen nicht funktioniert.

Eine Gruppe von Rechtsanwälte hat allerdings viel grundlegendere Bedenken gegen das beA: In einer Klage beim Anwaltsgerichtshof soll geklärt werden, ob das beA überhaupt gesetzeskonform ist, obwohl die übersandten Nachrichten nicht vollständig Ende-zu-Ende-verschlüsselt werden. 

Wie erst nach einiger Zeit bekannt wurde, werden alle Nachrichten auf der Servern der Bundesrechtsanwaltskammer in einem „HSM“ (Hardware Security Module) umgeschlüsselt, um beispielsweise im Falle von Urlaubsvertretungen oder anderen festen Vertretungsregelungen dem richtigen Vertreter automatisch zugestellt werden zu können. Die Bundesrechtsanwaltskammer hatte anfänglich trotzdem von einer „Ende-zu-Ende“-Verschlüsselung gesprochen. 

Nun dreht sich der Streit im Wesentlichen um die Gesetzesänderung der ZPO, in welche der Gesetzgeber extra für das beA einen Satz eingeschoben hatte. Dort heißt es in Paragraph 174: "Das Dokument ist auf einem sicheren Übermittlungsweg [...] zu übermitteln und gegen unbefugte Kenntnisnahme Dritter zu schützen." Ob das auch gegeben ist, wenn eine „Umschlüsselung“ stattfindet, ist umstritten. Der Anwaltsgerichtshof hat sich nun auf den Standpunkt gestellt, daß man die Pflicht zur „Ende-zu-Ende“-Verschlüsselung nicht direkt aus der Vorschrift entnehmen können. Andererseits ist schwer vorstellbar, wie sonst ein vollständiger Schutz vor Kenntnisnahme Dritter zu bewerkstelligen sein soll. 

Sehr wahrscheinlich wird die Sache nun zur Revision vor den Bundesgerichtshof gehen, der dann endgültig entscheidet. 

Links:

Golem News Keine Ende-zu-Ende Verschlüsselung

Golem News Klage gegen beA 

Section Control doch rechtmäßig!

Nach der heutigen Entscheidung des OLG Lüneburg kann die „section control“ genannte Pilotanlage zur Verkehrsüberwachung an der Bundesstraße 6 nun doch in (Test-)Betrieb gehen. 

Ein Gerichtsverfahren hatte dies zunächst verhindert, nachdem das Verwaltungsgericht Hannover entschieden hatte, es fehle die notwendige gesetzliche Grundlage für die Datensammlung, die mit der abschnittsweisen Geschwindigkeitsüberwachung einher gehe. 

In der Zwischenzeit wurde das technische Verfahren vom Hersteller nachgebessert; die Fahrzeuge werden auf der Meßstrecke nun anonymisiert identifiziert und erst am Ende der Messung - wenn die Geschwindigkeit im verbotenen Bereich liegt - erneut fotografiert, um die endgültige Identifizierung für das Bußgeldverfahren durchzuführen. 

In dem nun durchgeführten Hauptsacheverfahren zeigte sich das Oberlandesgericht mit dem nachgebesserten anonymisierten Verfahren und einem entsprechenden Nachsatz im Polizeigesetz zufrieden; die im einstweiligen Verfahren zu Grunde gelegten Beanstandungen bestünden nun nicht mehr. 

Das niedersächsische Innenministerium freute sich auch schon über eine „gerechtere Form“ der Ahndung von Geschwindigkeitsverstößen. 

Links:

Heise-News 

Es geht auch teuer!

Nachdem die ersten in Deutschland verhängten Strafen im Rahmen der DSGVO relativ „glimpflich“ für die jeweiligen Unternehmen waren, hat es nun die „Deutsche Wohnen“ getroffen: 14,5 Mio € soll das Unternehmen wegen eines Datenschutz-Verstoßes laut des Berliner Datenschutzbeauftragten zahlen. 

Hintergrund ist offenbar in bei dem Unternehmen verwendetes Archiv-System, bei welchem personenbezogene Daten der Mieter - Gehaltsnachweise, Adressen, Selbstauskünfte - teilweise noch Jahre nach dem ursprünglichen Zweck der Erhebung abgerufen und eingesehen werden konnten. Der Datenschutzbeauftragte hatte die Deutsche Wohnen bereits in der Vergangenheit auf diesen Zustand hingewiesen, man konnte oder wollte aber offenbar nicht rechtzeitig nachbessern. 

Vom Datenschutzbeauftragten wurde der Verstoß als „eklatant“ bewertet; es handele sich um einen - leider bei vielen Unternehmen noch anzutreffenden - „Datenfriedhof“ ohne gesetzliche Grundlage. Die Deutsche Wohnen kann gegen den Bescheid noch Einspruch erheben. 

Quelle: Heise-News

Abandonware

Abandonware, so nennt man urheberrechtlich geschützte Werke, deren Urheberrecht von niemandem mehr wahrgenommen wird.
Archive.org, auch bekannt als die "wayback-machine" oder das "Internet Archiv", hat es sich als gemeinnütziges Projekt zur Aufgabe gemacht, eine Bibliothek des Internets zu sein. So werden nicht nur Webseiten gesammelt, sondern inzwischen auch alte Computerspiele der DOS-Ära, die ansonsten für immer verloren gingen. Oft wird hierbei auf Abandonware zurückgegriffen.
2.500 neue Spiele wurden nun gerade katalogisiert und emuliert, so daß interessierte Nutzer sie im Browser anspielen können. Viel Spaß!

Links:
Spiegel Online
Sammlung bei Archive.org

Microsoft geht gegen gebrauchte Lizenzen vor

Wie verschiedentlich berichtet wird, geht Microsoft - nach eigenen Angaben - gegen die Gebrauchtsoftware-Verkäufe des Lizenzhändlers Lizengo vor. Lizengo war einer größeren Öffentlichkeit bekannt geworden, als vor einiger Zeit entsprechende Microsoft-Produkte bei Edeka angeboten wurden.
Laut Microsoft wurden Lizenzen für einige Produkte doppelt verkauft bzw. die Produktschlüssel für die Aktivierung einer Vielzahl von Kopien genutzt, teilweise wurden Einzelprodukte unzulässig aus Volumenlizenzen herausgelöst. Außerdem wurden einige Schlüssel nicht innerhalb der EU in Verkehr gebracht - ein wichtiges Kriterium für den urheberrechtlichen "Erschöpfungsgrundsatz", den ich in diesem Video schon einmal erklärt habe. Ob an den Vorhaltungen etwas dran ist und ob bereits gerichtliche Schritte eingeleitet wurden, oder ob nur eine Abmahnung ausgesprochen wurde, ist derzeit noch nicht bekannt. Bekannt ist jedoch, daß Microsoft den Wiederverkauf gebrauchter Software ohnehin am Liebsten unterbinden würde. Das ist jedoch nach dem europäischen Urheberrecht nicht so einfach - zumindest, wenn alle Voraussetzungen auf Seiten des Verkäufers eingehalten werden.

Links:
Golem 
Heise News

Cookie - Panik!

Heute hat es eine bemerkenswerte Entscheidung des Europäischen Gerichtshofes zum Thema Cookies / "Cookie-Banner" auf Webseiten gegeben. Hintergrund war eine Vorlagefrage des Bundesgerichtshofes, der sich vergewissern wollte, daß die deutsche Rechtslage noch dem europäischen Recht entspräche.

In Deutschland ist (war) es derzeit so, daß eine Einwilligung der Nutzer in das Setzen eines Cookies nicht eingeholt werden muß, soweit die Verwendung des Cookies ordnungsgemäß in der Datenschutzerklärung deklariert wird. Die Regelung im TMG (§ 13) dazu ist älter und allgemeiner gefaßt als die später erlassene europäische Richtlinie, mit der der Gesetzgeber angehalten wurde, den Seitenbetreibern eine Einwilligungspflicht aufzuerlegen, wenn sie den Nutzer mittels sog. "hidden identifiers" verfolgbar machen.
Der deutsche Gesetzgeber hat eine Nachbesserung stets mit Verweis auf die bestehenden Regelungen abgelehnt.
Vor dem Hintergrund der neuen DS-GVO war nun fraglich, ob dies immer noch gilt.
Hintergrund ist auch die Frage, ob Cookies, die zu einer bestimmten IP Bezug nehmen, personenbezogene Daten im Sinne der DS-GVO sind. Früher stand man in Deutschland auf dem Standpunkt, daß es sich um anonymisierte oder zumindest pseudonymisierte Daten handele, die eben nicht personenbezogen sind. Dies ist nach der aktuellen Rechtsprechung aber kaum haltbar, da IPs heute klar als zumindest "personenbeziehbar" angesehen werden und damit ebenfalls der DS-GVO unterfallen.
Dem EuGH ist sogar diese Unterscheidung egal: Es mache "keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht", hieß es in einer Presseerklärung.
Der EuGH sagt nun in all diesen Fällen ziemlich klar, daß eine vom Webseitenbesucher abgefragte Einwilligung erforderlich sei, bevor ein Cookie (oder sonstiges Identifikationsmittel) gesetzt werden darf.
Demnach muß ein Webseitenbesucher wohl auch "nein" anklicken können, um die Webseite ohne das Setzen von Cookies zu besuchen.
Dies stellt ganze Geschäftsmodelle auf den Kopf, da über Cookies heute so vielfältige Dinge wie cross-site-tracking, Warenkörbe, nutzerspezifische Werbung, layout-Voreinstellungen etc. vorgehalten werden.
Viele Seiten bieten bereits heute eine Einstellung, in der nur "technisch notwendige" Cookies akzeptiert werden. Auch hier muß dann die Frage gestattet sein: Technisch notwendig wofür? Fast jegliche Funktion läßt sich auf umständlichem Wege auch technisch anderweitig abbilden, beispielsweise über Zählpixel (wobei auch diese den "hidden identifiers" unterfallen dürften) oder endlose dynamische Zusätze in der URL (die wiederum zu Problemen mit bestimmten Routern und Hubs führen). Ein Cookie kann aber "technisch notwendig" für das entsprechende Geschäftsmodell sein. Ist die Webseite auch in einem solchen Fall "cookiefrei" anzubieten?

Kurzfristig bietet die EuGH-Entscheidung von heute vor allem Fragen, aber nur wenige Lösungen. Ich bin gespannt, wie Webdesigner, Firmen und der Gesetzgeber mit dieser Vorgabe umgehen werden.


Quellen:
Heise-News
Golem News

Neue beA-Panne - ganz unsigniert!

Das beA (besondere elektronische Anwaltspostfach) gibt mal wieder Anlass zu Klagen (Achtung, Flachwitz…):

Abgesehen davon, daß das beA heute mal wieder nicht funktioniert …

…wurde kürzlich noch ein anderer „Bug“ bekannt: 

Wie heise.de berichtete, „vergißt“ die Archivierungsfunktion des Portals etwas Entscheidendes, wenn Nachrichten für die dauerhafte elektronische Aufbewahrung aus dem Webportal extrahiert werden. 

Hintergrund der Funktion: Das beA soll nur für den Versand, nicht aber für die Lagerung von Nachrichten vorgesehen sein. Daher werden neue Nachrichten nach drei Monaten automatisch in den „Papierkorb“ verschoben, von wo aus sie - wiederum automatisiert - nach einem weiteren Monat vollständig gelöscht werden. Will ein Anwalt somit den Zugang einer Nachricht von vor vier Monaten nachweisen - was in längeren Gerichtsverfahren eher die Regel als die Ausnahme sein wird - soll er die entsprechenden Nachrichten über die „Archivieren“-Funktion als ZIP-Datei herunterladen und gemeinsam mit den zugehörigen Signaturdateien im PKCS#7-Format bei sich lokal abspeichern. Problem: Wie jetzt heraus kam, fügt die „Archivieren“-Funktion leider keine gültigen PKCS#7-Dateien bei. Diese läßt sich mit einem entsprechenden Prüfprogramm nicht aufrufen. Hat der Anwalt die Nachricht im Original also aus dem beA gelöscht, kann er auch nach Archivierung den Versandzeitpunkt nicht mehr zweifelsfrei nachweisen, da die Signatur des Archivs fehlt. 

Quelle: Heise-News