Datenschutz
Transcrição
Datenschutz
Datenschutz aktuell Betriebsräteinformation 01-11/2002 Editorial: Spionageprogramme www.burr-consulting.de Inhalt Editorial 1. Überwachung am Arbeitsplatz Spionageprogramme 2. Datenkraken in Österreich 3. Stasi-Spionage 4. EU beginnt zweite Runde der Anhörung zum Datenschutz für Arbeitnehmer 5. Handy-Lauschangriffe 6. Seminarangebote Impressum Big Brother ist weiter auf dem Vormarsch: unbemerkt vom PC-Benutzer lassen sich Spionageprogramme auf dem PC installieren, die z.T. jeden Tastenanschlag, das Surf-Verhalten im WEB und sogar Filmaufnahmen der Aktivitäten des Users festhalten. Damit ist die lückenlose Kontrolle am Arbeitsplatz möglich. In Kap. 1 werden „Spector“ und „Orvell Monitoring 2002“ vorgestellt – ähnlich arbeiten „PC Spion“ der Firma GDATA Software (www.gdata.de), „eBlaster 3.0“ und „Webspy“ von ProtectCom. Auch wenn die Hersteller darauf hinweisen, dass die Analyse der protokollierten Aktivitäten mit großer Sorgfalt vorgenommen werden sollte, sind damit Missbrauch und Willkür zur Begründung arbeitsrechtlicher Maßnahmen Tür und Tor geöffnet. Die betriebliche Interessenvertretung sollte sich für ein Verbot solcher Programme am Arbeitsplatz einsetzen. vertreibt. „Orvell Monitoring 2002 ist ide- 1. Überwachung am Arbeitsplatz – Spionageprogramme al für Firmen und Unternehmen, die er- „Was treiben Angestellte während der Internet-Werbetext für die Software. „Un- Arbeitszeit? Für so manchen Chef, der gefähr die Hälfte der Spector-Käufer sich schon immer die totale Überwa- sind Firmen“, sagt Rau. Vor allem bei chung seiner Arbeitnehmer wünschte, dem Verdacht auf Wirtschaftspionage hat sich mit der Einführung spezieller oder Verbreitung beispielsweise rassisti- Schnüffelprogramme ein Traum erfüllt. scher Inhalte werde das Programm an- Mit der Software Spector beispielsweise gefordert. fahren möchten, ob Ihre Mitarbeiter privat im Internet surfen oder die Arbeitszeit mit Spielen vertrödeln“, heißt es im lässt sich - unbemerkt vom Anwender nicht nur jede besuchte Webseite und Mit den lückenlosen Protokollen vom jede E-Mail, sondern auch jede geöffne- Tun der Mitarbeiter ließe sich auch he- te Anwendung und jeder Tastenan- rausfinden, warum ein Angestellter nur schlag registrieren. Einträge in Chats 20, sein Kollege dagegen 80 Prozent sind ebenso einzusehen wie Passwör- einer bestimmten Leistung erbringe, er- ter, auf Wunsch alarmiert Spector bei klärte Rau. Bei Datenschützern rufen bestimmten Schlüsselwörtern den Ü- derartige „Qualitätskontrollen“ das blan- berwacher. Zudem „fotografiert“ das ke Entsetzen hervor. „Datenschutz hört Programm den Bildschirm des jeweiligen ebenso wenig am Werkstor auf wie das Arbeitnehmers. Grundrecht auf überwachungsfreie Telekommunikation“, betont Rena Tangens In Deutschland wird die aus den USA vom Verein zur Förderung des öffentli- stammende Spionagesoftware seit Ja- chen bewegten und unbewegten Daten- nuar vergangenen Jahres verkauft. verkehrs (FoeBuD). Dieser verlieh Pro- „Rund 7000 Mal bislang“, erklärt Spec- tectCom im vergangenen Jahr den tor-Händler Carsten Rau, dessen Firma gerade erst wieder vergebenen Big Bro- ProtectCom mit Orvell mittlerweile auch ther Award der Kategorie Überwachung ein eigenes Überwachungsprogramm am Arbeitsplatz - ein Negativ-Preis für Datenschutz aktuell 01-11/2002 Seite 2 von 11 Firmen, die nach Ansicht des Vereins negativ auffallenden Mitarbeiter könne die Privatsphäre von Mitarbeitern oder man dann ja mit anderen Mitteln loswer- Kunden verletzen. Ob sich virtuell lau- den, erklärte Däubler. Seine Befürch- schende Chefs tatsächlich strafbar ma- tung scheint weit verbreitet: Ein von der chen, bedarf in Deutschland der Klä- Hamburger Softwareschmiede ElbTec rung. „Es gibt noch keine gerichtlichen entwickeltes Programm zur Abwehr von Entscheidungen darüber“, erklärt Wolf- Spionageprogrammen wurde dessen gang Däubler, Professor für Deutsches Entwickler Björn Kahle zufolge bislang und Europäisches Arbeitsrecht an der 150.000 Mal von der Firmenhomepage Universität Bremen. Nach Ansicht der heruntergeladen. Rund zwei Dutzend FoeBuD-Daten-schützer ist das Mitlesen Computernutzer wurden fündig, die Hälf- von E-Mails ebenso illegal wie die Ü- te davon entdeckte Spector auf dem berwachung des Surfverhaltens. Für Firmencomputer, berichtet Kahle. Däubler dagegen sind diese Kontrollmaßnahmen legitim, wenn ihnen der In den USA werden FoeBuD zufolge Betriebsrat zugestimmt hat und die Mit- etwa 80 Prozent aller Computerarbeits- arbeiter Bescheid wissen. Eine Total- plätze großer Firmen überwacht, auf den überwachung mit Aufzeichnung der Tas- damit erhaltenen Ergebnissen basieren- teneingaben, aufgerufener Programme de Kündigungen sind erlaubt. Ob auch und Screenshots hält aber auch er für deutsche Firmen massiv zum Lausch- „völlig unzulässig“ und rechtswidrig. angriff auf ihre Mitarbeiter übergehen können, wird sich erst mit dem In-Kraft- Dass sich die Firmen von den zivil- und Treten des geplanten Arbeitnehmerda- strafrechtlichen Konsequenzen virtueller tenschutzgesetz eindeutig zeigen.“ Lauschangriffe schrecken lassen, glaubt Däubler nicht. „Mein Verdacht ist, dass es schon jetzt passiert, aber kein Arbeitnehmer weiß es.“ Vor allem in Unternehmen ohne Betriebsrat würden (Annett Klimpel, dpa) ProtectCom verweist auf seiner Homepage ausdrücklich auf das Strafgesetzbuch (StGB): Schnüffelprogramme vermutlich einge- „Bitte beachten Sie folgenden wichtigen Hinweis setzt. Einen bei dieser Überwachung für den Einsatz in Deutschland: unsere Programme verfügen über Überwachungsfunktionen Datenschutz aktuell 01-11/2002 Seite 3 von 11 (insbesondere "Tastaturmitschnitt" und "Bildschirmaufnahme"), die der Genehmigung der zu überwachenden Personen bedarf. Sie machen sich bei Nichtbeachtung im Sinne von §201, §202 StGB strafbar. Bei Verwendung der Software in anderen Ländern müssen Sie sich über die dortigen gesetzlichen Bestimmungen informieren und diese beachten.“ Hier die Gesetzeslage: seinem wesentlichen Inhalt nach öffentlich mitteilt. § 202 StGB (Verletzung des Briefgeheimnisses): (1) Wer unbefugt 1. einen verschlossenen Brief oder ein anderes verschlossenes Schriftstück, § 201 StGB (Verletzung der Vertraulichkeit des Worts): die nicht zu seiner Kenntnis bestimmt (1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer unbefugt 2. sich vom Inhalt eines solchen Schrift- 1. das nichtöffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt oder sind, öffnet oder stücks ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wenn die 2. eine so hergestellte Aufnahme gebraucht oder einem Dritten zugänglich macht. (2) Ebenso wird bestraft, wer unbefugt Tat nicht in § 206 mit Strafe bedroht ist. Die Betriebsräte haben hier weitgehende Mitbestimmungsrechte nach § 87 1. das nicht zu seiner Kenntnis bestimmte nichtöffentlich gesprochene Wort eines anderen mit einem Abhörgerät abhört oder Abs. 1 Ziff. 6 BetrVG und sollten eine 2. das nach Absatz 1 Nr. 1 aufgenommene oder nach Absatz 2 Nr. 1 abgehörte nichtöffentlich gesprochene Wort eines anderen im Wortlaut oder den. Derartige Programme sollten Datenschutz aktuell 01-11/2002 externe Revision von PCs verlangen, um überhaupt feststellen zu können, ob Monitoring-Programme eingesetzt wergrundsätzlich abgelehnt werden! Seite 4 von 11 2. Datenkraken in Österreich ten wissen könnten. Wer hier unterschreibt, hat für alle Zukunft sämtliches medizinisches Personal von dessen Schweigepflicht entbunden. Einen Tag nach der Verleihung des Preises für besondere Missachtung des In der Kategorie Politik ging der diesjäh- Datenschutzes in Deutschland entschied rige Big-Brother-Award an den Ver- auch die österreichische Jury über ihre kehrsreferenten und stellvertretenden Preisträger. Entgegen aller Erwartungen Landeshauptmann Erich Haider (SPÖ) und trotz Nominierung in zwei Katego- für seine Linzer U-Bahn. Obwohl für die- rien schaffte es Microsoft nicht, die Tro- ses Prachtstück noch kein Spatenstich phäe in Empfang nehmen zu können. getan wurde, verfügt die Bahn bereits Stattdessen kümmerten sich die Juroren über ein perfekt geplantes Überwa- vor allem um die Alltagsprobleme der chungssystem mit Videokameras und vom dreisten Umgang mit persönlichen Mikrofonen. Die Linzer U-Bahn soll frü- Daten geplagten Österreicher, wie Erich hestens im Jahre 2004 in Betrieb gehen. Moechel vom Mitveranstalter Quintes- Das Überwachungskonzept basiert auf senz betont. einem System, das die Österreichischen Bundesbahnen bereits im Großraum In der Kategorie Business und Finanzen Wien einsetzen. Eine Software wertet ging der diesjährige Award an Uniqua, dabei ungewöhnliche Bewegungen und eine Krankenzusatzversicherung, die ungewöhnliche Geräusche aus. ihren Kunden eine sehr weitgehende „Zugleich überwacht das System auch „Zustimmung zur Ermittlung, Übermitt- die technische Sicherheit zum Beispiel lung und Verwendung von Daten“ abver- der Aufzüge und Rolltreppen,“ lobt Erich langt. Die Daten dürfen bei Ärzten, Haider seine ausgezeichnete Innovation. Krankenhäusern, Sozialversicherungsträgern, Behörden und allen Einrichtun- In der Kategorie Kommunikation traf es gen erhoben werden, die etwas über diesmal die Stadt Klagenfurt in Kärnten. den Gesundheitszustand des Versicher- Der Klagenfurter Richtersenat hat sich Datenschutz aktuell 01-11/2002 Seite 5 von 11 zur Aufdeckung einer relativ kleinen Den nicht sonderlich beliebten Publi- Einbruchsserie von allen vier Mobilfunk- kumspreis heimste diesmal der österrei- anbietern gleich die Verbindungsdaten chische Innenminister Ernst Strasser von Tausenden unschuldiger Bürgern ein. Er beförderte systematisch hohe beschafft, weil bei einem Einbruch mal Beamte des Heeresgeheimdienstes in ein Mobiltelefon mit einer Wertkarte lie- hohe Positionen seiner Behörde. Damit genblieb. verknüpft er personell die Polizei mit dem Militär. Nebenbei wurde eine Krimi- In der Kategorie Lifetime schaffte es die nalitätsanalyse eingeführt, die perso- Schuldatenbank der Bildungsministerin nenbezogene Daten zur präventiven Elisabeth Gehrer bis unter die wohlwol- Erstellung von Lagebildern erfasst. Die lenden Augen der kritischen Juroren. Ihr Jury beschrieb spekulativ ein Lagebild, Bildungsdokumentationsgesetz regelt das Verflechtungen von Internet und nicht nur die Erhebung der Stammdaten Open-Source-Aktivisten, Hackern und von Schülern. Ein Wust persönlichster alternativer Musikszene beschreibt; ge- Daten wird (un)passenderweise gleich fährlich, falls mal wieder vom Gespenst mit verarbeitet. Dazu gehören unter an- des Cyberterrors die Rede sei. derem das religiöse Bekenntnis, die Eigenschaften als ordentlicher oder au- Technische Themen standen diesmal ßerordentlicher Schüler, der festgestellte also nicht im Vordergrund, obwohl sich sonderpädagogische Förderbedarf, der Microsoft bereits beschwert haben soll. Schulerfolg und der Bildungsverlauf. In Der Software-Riese sei mit seiner Nomi- dieser "Benimm- und Betragensdaten- nierung gar nicht einverstanden, weil die bank des Grauens", so die Juroren, wird Jury die Vorwürfe gegen Microsoft nicht ab demnächst mit unbestimmtem ausreichend begründet hätte. Microsoft Löschdatum gespeichert, was bis jetzt war gleich zweimal unter den Anwärtern noch der Gnade seligen Vergessens auf den Big Brother Award vertreten. Im anheim fällt. Bereich Business und Finanzen konnte der Redmonder Software-Riese für sich verbuchen, mit seinem Palladium- Datenschutz aktuell 01-11/2002 Seite 6 von 11 Projekt aus Softwarekunden abhängige sche Fotomodels, die ihre Adresse im Dauerschuldner zu machen, die nicht Impressum auf der eigenen Homepage mehr frei über die Nutzung einmal ge- fehlen ließen, wurden von Werico mit je kaufter Produkte entscheiden können. 240 Euro abgemahnt. Die Jury befand, dass die Models aus einsichtigen Grün- Im Bereich Kommunikation schaffte den ihre Adressen nur auf Anfrage he- Microsofts MediaPlayer8 die Nominie- rausgeben, denn schließlich wollen sie rung, weil er hinter dem Rücken des ah- belästigende Anrufe und Besuche ver- nungslosen Benutzers aufzeichnet und meiden. weiterleitet, wer wann welche DVD abspielt. Für die Jury fällt massiv ins Ge- Die Werico-Manager werden nicht trau- wicht, dass diese Software mit ihrem rig sein. Ihnen entging ein Preis, den Hersteller selbständig kommuniziert. sicher keiner haben will. Der österreichi- „Der Kunde weiß davon nichts, sondern sche Big Brother Award 2002 besteht erfährt es über die Medien.“ aus einem 70 cm langen Rohr aus Plexiglas, das an beiden Enden verschlos- Nicht platzieren konnte sich auch die sen ist und lebende Kakerlaken enthält, Firma Streamcast mit ihrer File-Sharing- die bis zu acht Zentimeter groß sind. Software Morpheus und dem Musikpor- Diese Kakerlaken wurden extra im Ter- tal MusicCity. Morpheus ist ein rarium gezüchtet. Peer2Peer-Programm, das heimlich als Marketingtool arbeitet und gesammelte Juroren nutzten die Verleihung des dies- Daten über die Surfgewohnheiten der jährigen Big Brother Awards auch für User hinter deren Rücken weiterleitet. zwei einschlägige Jubiläen. Fast dreißig Jahre lang gibt es die Datenbank EKIS Die Werico Websites Right Control 01. „Ihr zweifellos gefährlichster Be- GmbH in Nussdorf ging trotz Nominie- standteil ist der Kriminalpolizeiliche Ak- rung ebenfalls leer aus. Sie betreibt mit tenindex“, warnen die Juroren vor dem kostenpflichtigen Abmahnungen ein be- „angeblich sicheren“ Datenbank. In die- sonders einträgliches Geschäft. Deut- sem Aktenindex seien nichts weiter als Datenschutz aktuell 01-11/2002 Seite 7 von 11 Halbwahrheiten und Vermutungen zu- wesen, so die Zeitung. Unter spezieller sammengetragen worden. Das sei Beobachtung der Stasi stand demnach „wahrscheinlich einmalig in Europa.“ Iro- der amerikanische Computerexperte nisch wünschten die Juroren des öster- Henry Sherwood, der ältere Bruder von reichischen Big Brother Awards dann noch einem ihrer treuesten Kunden ein „langes, ruhiges Leben in der hochverdienten Pension.“ Karl Isamberth wurde durch seinen Vorschlag für eine zusätzliche Identifikationsnummer bekannt, mit der die Bürokratie künftig noch besser als heute den Überblick über jeden Österreicher behalten soll. ( Holger Bruns) / (wst/c't) Joseph Weizenbaum. Sherwood leitete von 1966 an das europäische Konferenzprogramm der Beratungsfirma Diebold, das als einziges den Rechenzentrums-Spezialisten auf beiden Seiten des eisernen Vorhangs fachlichen Austausch erlaubte. Vier informelle Mitarbeiter der Stasi waren als in der sogenannten Aktion „Weltspitze“ bei jeder Gelegenheit auf Sherwood angesetzt. Später horchte auch der Kanzleramts-Spion Günter Guillaume den Computerfach- 3. Stasi-Spionage Wie neu aufgetauchte Dokumente belegen, hat die DDR in den sechziger Jahren durch umfangreiche Aushorchungsaktionen versucht, den Rückstand des Ostblocks in Elektronik und Computertechnik zu schließen. Das berichtet die „Frankfurter Allgemeine Sonntagszeitung“. Die Staatssicherheit hatte vor 1970 die größten Probleme, das westliche Tagungsprogramm auszuhorchen, weil die entsandten Spitzel weder die Konferenzsprache Englisch beherrschten noch genügend Fachkenntnisse besaßen. Das Wort „Software“ buchstabierten sie als „Sovt-Ware“ und fürchteten, damit solle das Bruderland Sowjetunion Dokumente und Details über die Operationen des Ministeriums für Staatssicherheit seien von einer „teilweise kuriosen Ignoranz in der Sache“ geprägt ge- Datenschutz mann aus. aktuell 01-11/2002 ausspioniert werden. Westliche Methoden der Datenverschlüsselung beurteilte ein Berichterstatter als gewisslich leicht zu knacken, weil sie nicht auf der mateSeite 8 von 11 rialistischen Geschichtsauffassung nach Kommissarin für Arbeit und Soziales Hegel und Marx basierten. meint, die EU brauche klare, einfache Regeln für den Schutz der persönlichen Hingegen zeigten sich die Stasi-Informanten zufrieden, ihr Beobachtungsobjekt Henry Sherwood schnell als CIAAgenten entlarven zu können, berichtet die FAZ. Der Computerfachmann zahlte im Restaurant mit seiner Kreditkarte. Seine Begleitung beschrieb dann getreulich, wie der Amerikaner dem „Kellner-Agenten“ heimlich codierte Informationen auf einer Plastikkarte zugeschoben habe. Daten der Arbeitnehmer. Die Kommission sah sich unter anderem durch Tendenzen zur stärkeren Überwachung von Arbeitnehmern in Folge der Attentate vom 11. September 2001 zu der zweiten Anhörungsrunde veranlasst. Im August 2001 begann die erste Phase der Anhörung der Sozialpartner. Zurzeit gibt es in der EU zwei Richtlinien für den Datenschutz: Die Richtlinie 95/46/EG (wst/c't) betrifft den Schutz natürlicher Personen bei der Verarbeitung personenbezoge- 4. EU beginnt zweite Runde der Anhörung zum Datenschutz für Arbeitnehmer ner Daten und den freien Datenverkehr und die Richtlinie 97/66/EG2 über die Verarbeitung personenbezogener Daten sowie den Schutz der Privatsphäre im Bereich der Telekommunikation. Sie enthalten mit einer Ausnahme keine Be- Die Europäische Kommission hat die stimmungen über die Verarbeitung von zweite Phase der Anhörungen der euro- Daten im Arbeitsumfeld. päischen Sozialpartner über eine Initiative zur Verbesserung des Datenschutzes Deshalb waren die Sozialpartner befragt für Arbeitnehmer begonnen. Unter den worden, ob die Richtlinien, so wie sie in Sozialpartnern befinden sich die Arbeit- den Mitgliedstaaten umgesetzt wurden, nehmer- und Arbeitgeber-Organisationen UNICE, ETUC, UEAPME und Eurocadres . Anna Diamantopoulou, Datenschutz aktuell 01-11/2002 den Schutz persönlicher Daten wie zum Beispiel über Drogen- und Gesundheitstests von Arbeitnehmern angemessen Seite 9 von 11 regeln. Diese könnten nach Ansicht der • Personenbezogene Daten müs- EU-Kommission unter anderem folgende sen rechtmäßig verarbeitet wer- Prinzipien enthalten: den. Im Arbeitskontext sollte die • Personenbezogene Daten über Arbeitnehmer werden für Zwecke verarbeitet, die unmittelbar für die Beschäftigung des Arbeitnehmers relevant und notwendig sind. • Verarbeitung personenbezogener Daten von Arbeitnehmern nicht den Zweck oder die Wirkung einer rechtswidrigen Diskriminierung zum Schaden des Arbeitgebers haben. Die über Arbeitnehmer erfassten Die Arbeitgeberorganisationen (UNICE, Daten sollten prinzipiell nur für die UEAPME, BDI) sahen dabei keine Not- Zwecke verwendet werden, für wendigkeit für Gemeinschaftsvorschrif- die sie ursprünglich erfasst wur- ten oder für eine Richtlinie zu diesem den. Sie werden nicht auf eine Thema. Die bestehenden Vorschriften Weise weiter verarbeitet, die mit gelten ihnen als angemessen und aus- diesen Zwecken unvereinbar ist. reichend für den Schutz personenbezogener Daten von Arbeitnehmern. Sie • Personenbezogene Daten müs- betonen, die bestehenden EG- sen auf Treu und Glauben verar- Richtlinien über den Schutz personen- beitet werden. Innerhalb des Ar- bezogener Daten seien nützlich, müss- beitsverhältnisses bedeutet dies, ten jedoch noch verbessert werden. dass persönliche Daten grundsätzlich vom einzelnen Arbeit- Sämtliche Arbeitnehmerorganisationen nehmer erfasst werden sollen, auf (EGB, CEC und EUROCADRES) sind den sie sich beziehen. dagegen für eine Gemeinschaftsrichtlinie. Für sie sind die Umsetzungen der • Betroffene Personen haben das Richtlinie in den Einzelstaaten nicht zu- Recht auf uneingeschränkten Zu- friedenstellend; auch berücksichtigten gang zu ihren Daten. sie nicht alle Aspekte. Durch die zunehmende Anzahl von Arbeitnehmern in Firmen mit Sitz in anderen Mitgliedstaa- Datenschutz aktuell 01-11/2002 Seite 10 von 11 ten und der derzeitigen Einschränkung ist uns schon länger ein Dorn im Auge“, der Freizügigkeit von Arbeitnehmern sagte Ströbele. sowie des Grundrechtes auf Nichtdiskriminierung sei eine Gemeinschaftsinitiative geboten. 6. Seminarangebote Es sind noch Seminarplätze bei folgenden Veranstaltungen von BURR Consulting verfügbar: (anw/c't) 5. Handy-Lauschangriffe Wie die Frankfurter Rundschau in ihrer Ausgabe vom 01. November 2002 berichtet, sind Handy-Abhöraktionen der Geheimdienste durch einen Softwarefehler aufgeflogen. Aus Rechnungen des Mobilfunkbetreibers O2 hatten Kunden entnehmen können, dass ihre Handy-Gespräche abge- Q geplant für Februar 2003: Mitbestimmung des BR bei SAP HR Würzburg oder Bochum Q 12.03. bis 14.03.2003 Chancen und Risiken der Gruppenarbeit Holiday Inn, Bochum Näheres auf unserer Homepage ... hört wurden – dafür sollten sie auch noch extra bezahlen. Der Fehler sei - so O2 - durch ein neues Abrechnungsprogramm verursacht worden. Impressum: Der Grünen-Abgeordnete HansChristian Ströbele nannte den Vorgang „einen weiteren Grund, sich intensiv mit den Gefahren des Abhörens zu befassen“. Es sei logisch, dass das System immer anfälliger werde, wenn immer mehr Telekommunikations-Unternehmen daran beteiligt würden. „Dass Deutschland Weltmeister im Abhören ist, Datenschutz aktuell 01-11/2002 Herausgeber (V.i.S.d.P.): Dr. Manfred Burr Auf dem Rüggen 6 D-44892 Bochum fon:____________+49-234-9209360 fax:____________+49-234-9271231 mobile:_________+49-172-2801641 [email protected] www.burr-consulting.de Seite 11 von 11