Live-Kacheln für Windows 8.1 mit Tracking durch Microsoft?

Unter http://www.buildmypinnedsite.com bietet Microsoft einen Generator zur Erstellung von Live-Kacheln unter Windows 8.1 für die eigene Website an. Mit wenigen Mausklicks ist der nötige Code für den Header der Website erstellt.

Worauf Microsoft nicht hinweist:

Die Kommunikation der Live-Kachel erfolgt nicht allein zwischen Nutzer und Betreiber der Website, sondern unter Beteiligung von Microsoft. Dumm nur, dass Microsoft beim Erstellen des Codes für die Live-Kachel an keiner Stelle darauf hinweist. Der Klick auf Datenschutzbestimmungen führt den User zu den allgemeinen, nichtssagenden und schon wegen der Vielzahl unbestimmter Begriffe und Interpretationsspielräume überflüssigen allgemeinen Microsoft Datenschutzrichtlinien.

Noch schöner:

Am Ende der Website versteckt sich ein Link zu den Nutzungsbedingungen, die wohl auch für die Nutzung des Live-Kachel-Code-Generators gelten sollen. Hiernach schließe ich bei Nutzung des Angebots einen „Vertrag für Microsoft-Entwicklerdienste“ ab und soll den Code unter der „Microsoft Limited Public Licence“ erworben haben. Dumm nur, dass ich bei Erstellung des Codes an keiner Stelle (anders als durch den Link auf die Nutzungsbedingungen am Seitenende) hierauf hingewiesen werde und deshalb weder ein „Entwicklerdienste-Vertrag“ noch ein „Lizenzvertrag“ wirksam mit mir begründet werden.

Ergo:

Witzige Idee, miserabel umgesetzt.

Schatten-IT am Unternehmen vorbei

In meinen Schulungen zu Datenschutz und Datensicherheit weise ich Beschäftigte und Führungskräfte in einer der Grundregeln immer wieder darauf hin:

Nutze nie ohne Zustimmung des Unternehmens private Devices und Services für betriebliche Zwecke.

Das klingt simpel, wird aber oft schlichtweg aus Gründen der Verbesserung der eigenen Produktivität und Erleichterung von Arbeitsschritten ignoriert. Gefährlich wird es, wenn sich aus dem Handeln Einzelner eine Schatten-IT im Unternehmen bildet, beschrieben mit ihren Auswirkungen auf das IT-Service-Management im Detail im Beitrag „Schatten-IT ist Notwehr“ auf cio.de.

Ein praktisches Beispiel sind Dropbox und andere Cloud-Speicher-Dienste: Sofort zu installieren, Apps für alle mobilen Betriebssysteme verfügbar und im Notfall auch als Web-Anwendung einzusetzen erlaubt Dropbox dem Anwender, „mal eben schnell“ ein Dokument „mitzunehmen“. Damit aber landen ggf. auch vertrauliche oder Datenschutzgesetzen unterfallende sensible Daten und Informationen beim Anbieter, wenn nicht zugleich mit Boxcryptor oder Truecrypt gearbeitet wird. Deutlich reduzieren lässt sich der Wunsch nach derartigen Services etwa durch den Einsatz von Tools wie ownCloud, mit denen sich Unternehmen ihre eigene, sichere Dropbox ohne Fremdzugriff bauen können.

Rechtlich wird die Schatten-IT spätestens dann zum Problem, wenn deren Nutzung wegen eines Sicherheitsvorfalls auffliegt (Stichworte: Organisationsverschulden des Unternehmens, Informationspflichten bei Datenpannen nach z.B. § 42a BDSG) oder die existentiell gewordenen Dienste plötzlich nicht mehr laufen, etwa wegen eines Problems beim Dienstleisters, und dann eine Geschäftsfortführung mangels Einbindung der betroffenen Dienste in das unternehmensweite Risikomanagement und fehlender Service Level Agreements mit dem Dienstleister nicht möglich ist.

Ob sich mit den im cio.de-Beitrag vorgeschlagenen Lösungen (grob vereinfacht: agiles ITSM bindet Cloud-Dienste ein) das Problem der Schatten-IT in den Griff bekommen lässt, weiß ich nicht. Wahrscheinlich wird man die Nutzung von Parallelstrukturen außerhalb der Unternehmensherrschaft heute nicht mehr vollständig unterbinden können. Aber auch das wäre eine Erkenntnis, mit der man arbeiten und das Risikomanagement hierauf ausrichten kann.

LG Hamburg zum „complete corresponding source code“ nach der GPLv2

In der Firmware eines Medienplayers fand sich unter der GPLv2 (englisch / deutsch) veröffentlichte Open Source Software („OSS“). Diese Firmware wurde auf der Website des Herstellers zum Download angeboten, dies aber nicht im Quelltext, obwohl Ziff. 3 der GPLv2 unmissverständlich ist:

„You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

Dies missfiel dem Rechteinhaber, der – nachdem zuvor bereits eine Unterlassungserklärung abgegeben worden war – den Hersteller auf Zahlung einer Vertragsstrafe vor dem LG Hamburg (Urt. v. 14.6.2013 – 308 O 10/13) in Anspruch nahm, dies völlig zu Recht, woran auch das LG Hamburg keinerlei Zweifel ließ:

Weiterlesen

GDPdU: kontroverse Standpunkte und Datenanalyse

Am 13.11.2013 lädt der Arbeitskreis EDV & Recht zu seiner nächsten Veranstaltung im art’otel in Köln. Unter dem ein wenig sperrigen Titel „Mehr als 10 Jahre GDPdU – kontroverse Standpunkte hinsichtlich der Herausgabe von Daten und Möglichkeiten/Chancen der Datenanalyse für Unternehmen“ tragen Christian Hoppen (FGS Flick Gocke Schaumburg) und Olaf Graf (BOKS Gesellschaft für Datenorganisation mbH) vor. Programm und Anmeldung hier, mehr zum Arbeitskreis EDV & Recht hier. Der Bericht von der Veranstaltung am 9.10.2013 zum „Vertragsmanagement und rechtssicheren ersetzenden Scannen“ ist hier abrufbar.