amargi

Member
  • Content Count

    8
  • Joined

  • Last visited

Community Reputation

0 Neutral

About amargi

  • Rank
    New Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Vielen Dank für das Update. Auf den ersten Blick wirkt die Datenschutzerklärung durch die Ergänzungen und den FAQ-Anhang aufschlussreicher. Ich werde die Ergänzungen in nächster Zeit noch genauer betrachten.
  2. > und jemand koennte uns problemlos auf ein Fehlverhalten festnageln, wie Sie es hier mit uns machen. Dass Sie diese Auseinandersetzung nicht scheuen, spricht für Sie. Ich freue mich über Ihre direkten und sachlichen Antworten. Diese Diskussion hat doch vieles Positives - sie klärt auf, verdeutlicht einige Aspekte und macht genau das, was Sie mit Ihrer Datenschutzerklärung (sprachlich) bisher nicht leisten konnten. Sollten Sie sich durch meine teils überspitzten und konstruierten Beispiele angegriffen fühlen, kann ich damit gut leben. Dennoch hoffe ich, Sie konnten hieraus etwas Positives und Konstruktives mitnehmen. Ich für meinen Teil kann behaupten, dass sich durch die Diskussion ein deutlich klareres Bild Ihres Unternehmens im Umgang mit Daten ergeben hat - und dafür Danke ich Ihnen. > Ich will das Thema hier nicht herunterspielen Nein, dafür ist es zu wichtig. Es mag vielleicht nicht populär genug sein -eventuell auch nie werden oder sich gut verkaufen lassen- das darf die Aufklärung darüber aber nicht beeinträchtigen. > Wir sind ein Datenverarbeitungsunternehmen, entsprechend, ja, sind Daten fuer unser Ueberleben notwendig. In vielen Faellen gaebe es Wege, weniger Daten aufzuzeichnen, aber daraus entstuenden Wettbewerbsnachteile. Da ich mit Ihrer Branche 'nichts am Hut' habe, kann ich das nicht beurteilen - muss ich ja auch nicht. Ob sich das Argument ‚guter Datenschutz‘ (Datensparsamkeit) verkaufen lässt, können Sie besser beurteilen als ich. Für mich zählt daher, wie ein Unternehmen den Umgang mit Daten präsentiert - sei es durch Blogeinträge, ein Statement zur Datensparsamkeit auf der eigenen Website oder durch eine verständliche Datenschutzerklärung. Eine Garantie ist das natürlich allemal nicht.
  3. Ohne es überprüfen zu können, würde ich dennoch vermuten, dass die meisten Kunden, die Emsisoft Online beziehen bzw. Ihren Lizenzcode Online registrieren, keine Pseudonyme oder fiktive Namen verwenden. Selbst dann, bedeute das noch lange nicht, dass eine hinterlegte ‚Pseudonyme E-Mail Adresse‘ anonym ist. Auch wenn der Aufwand betrieben würde, einen registrierten E-Mail Account tatsächlich anonym zu halten, könnten Sie dem Unterfangen spätestens dann einen Strich durch die Rechnung machen, sobald einer Ihrer Dienste die ‚reale IP‘ (oder eine andere reale Information) diesem Kundenkonto zuordnen und speichern würde. Dass Sie kein Interesse haben mögen, den Nutzer zu identifizieren, spielt keine Rolle, sollten solche Daten dann wirklich existieren. Bei einem Hack stünden diese Daten im schlimmsten Fall zum Verkauf und die Anonymität wäre passé. Ob es schlussendlich gar möglich wäre, überhaupt keine zuordenbare Protokolle oder Daten in irgendeiner Form anzulegen/ zu speichern, kann ich nicht beantworten. Für die Ausarbeitung einer verständlichen und transparenten Datenschutzerklärung spielt es also weiterhin eine Große Rolle, welche der gesammelten Daten mit dem ‚Kunden‘ in Verbindung gebracht werden können - auch bei der Nutzung fiktiver Zugangsdaten. Selbst wenn Sie (vorerst) meine fiktiven Daten nicht einer Person zuordnen können, so besteht dennoch ab diesem Zeitpunkt eine Verlinkung zu einer echten IP oder vielleicht anderen realen Informationen. Da Sie zum Thema ‚Datensparsamkeit‘ bereits Stellung bezogen haben - „so wenig sensible Daten wie möglich speichern zu wollen“ - möchte ich darüber keine Grundsatzdiskussion starten. Das war auch nie Ziel meiner Kritik. Dass Sie das Prinzip der Datensparsamkeit als Tugend verstehen, schätze ich sehr an Ihrem Unternehmen. So konkret und verständlich wie Sie bereits einige meiner Fragen beantwortet haben, wünsche ich mir das für eine zukünftige Version Ihrer Datenschutzerklärung.
  4. Prinzipiell: Welche Daten werden als ‚persönlich identifizierbar‘ (Rückschluss auf den Benutzer möglich) erfasst? > Was ist Ihre Definition eines 'Benutzers'? Ein echter Name, ein fiktiver Benutzername, eine Email Adresse, eine IP Adresse, eine Hardware-ID Ihres PCs? Je nach Auslegung was ein Benutzer denn eigentlich ist, kann sich die Antwort auf diese Frage gravierend unterscheiden. Ich habe bei dieser Frage vorausgesetzt, dass es sich beim 'Benutzer' der Software auch gleichzeitig um den 'Käufer' (Kunden) handelt. Das ist natürlich per se nicht richtig und damit eine schlecht formulierte Frage. Die Frage zielt auf den Umstand, welche der gesammelten Daten in jedem Fall dem realen Kunden - also einer natürlichen Person - zuzuordnen sind. Meiner Einschätzung nach sind alle Daten, die in Verbindung mit einem Nutzerkonto (MyEmsisoft) gebracht werden können, einem Benutzer/Käufer/Kunden zuordenbar. Das Bezahlsystem erlaubt keine anonymen Transaktionen, sonst müssten Transaktionsdaten strikt von Nutzerkonten und dem Versand der Lizenzschlüssel getrennt werden. Selbst wenn ein Nutzer ‚Verschleierungstechniken‘ einsetzen würde - VPN, anonyme Email, fiktiver Benutzername - sind Transaktionsdaten nach wie vor einer realen natürlichen Person zuzuordnen und können mit dem Benutzer - hier auch Käufer oder Kunden - in Verbindung gebracht werden. Fiktives Beispiel: Sie sammeln Nutzungsstatistiken. Die Nutzungsstatistiken sind mit einer eindeutigen Hardware-ID versehen. Die eindeutige Hardware-ID lässt sich dem Kunden zuordnen.
  5. In Anlehnung an meine bisherige Kritik habe ich folgenden Fragenkatalog erstellt. Dabei habe ich versucht, essentielle Fragen und Sachverhalte im Umgang mit persönlichen Daten abzudecken. Die Fragen ähneln inhaltlich denen der Veröffentlichung „Data transmission in Internet security products“ von AV-Comparatives, 2014. Antworten darauf sollten sich in den Datenschutzgrundsätzen - in welcher Form auch immer - wiederfinden. Werden Produkt-Nutzungsdaten gesammelt? Wenn ja, welche? Werden diese Daten anonymisiert? Wird der Windows-Benutzername übertragen? Wenn ja, zu welchem Zweck? Wird der Computername übertragen? Wenn ja, zu welchem Zweck? Werden Informationen zu laufenden Prozessen bzw. anderen Programmen gesammelt und analysiert? Werden diese Informationen anonymisiert? In welchen Fällen wird die lokale IP-Adresse abgefragt und welche zusätzlichen Informationen können prinzipiell mit der aufgezeichneten lokalen IP-Adresse verknüpft sein? Wird der Besuch von Websites (z.B. URLs, Host-Adresse) protokolliert? Werden diese Daten anonymisiert gesammelt? Falls Dateien übertragen werden, werden auch Textdokumente (z.B .doc), pdf-Dokumente (.pdf) oder Bilddateien (z.B. .gif, .jpeg) -also sogenannte nicht ausführbare Dateien- übertragen? Wird beim Senden von Dateien der Dateipfad erfasst? Wird der im Dateipfad genannte Benutzername entfernt? Wo bzw. in welchem Land werden Kundendaten gespeichert? In welchen Fällen kann der Benutzer das Senden von Informationen (z.B. Dateien, Nutzungsstatistiken, etc.) einschränken/deaktivieren - ohne auf bestimmte Schutzfunktionen verzichten zu müssen? Welche Daten werden von Drittunternehmen verarbeitet? Prinzipiell: Welche Daten werden anonym erfasst? (Auch: Werden Daten vor dem Senden anonymisiert?) Prinzipiell: Welche Daten werden als ‚persönlich identifizierbar‘ (Rückschluss auf den Benutzer möglich) erfasst? Prinzipiell: Zu welchem Zweck werden anonyme/persönliche Daten erfasst? Wie werden erfasste Daten genutzt? Ich begrüße Ihre Ankündigung zur Überarbeitung und Verdeutlichung der bisherigen Datenschutzerklärung und bleibe gespannt auf die ersten Verbesserungen.
  6. Vielen Dank für Ihre Zuschrift. In einem von Emsisoft veröffentlichten Blogbeitrag „13 Tipps, worauf Sie 2018 bei der Wahl einer Antivirus-Software achten sollten“ heißt es: ‚Lesen Sie sich die Datenschutzrichtlinien der Antiviren-Anbieter durch. Einige sammeln zur weiteren Verbesserung ihrer Produkte intensiv Daten über Ihre Computernutzung. Einfache Daten zur Produktnutzung werden in der Regel anonymisiert. Einige Produkte laden jedoch verdächtige Dateien von Ihrem Computer in die Scan-Cloud des Anbieters hoch. Dabei könnte es sich im schlimmsten Fall auch um ein privates Dokument handeln. Sie stellen damit grundsätzlich klar, wie wichtig die Datenschutzerklärungen – insbesondere für Hersteller eines Antivirenproduktes sind. Schaue ich aber in Ihre Datenschutzerklärung, finde ich zu keinem der oben genannten Punkte eine klare und eindeutige Aussage zum Sachverhalt. Vage Aussagen sollen nun der Gesetzeslage geschuldet sein? Es grenzt schon fast an Ironie, dass Sie Ihrem eigenen Wunsch (oder Tipp) nicht gerecht werden. Betrachtet man zusätzlich die Veröffentlichung von AV-Comparatives aus dem Jahr 2014 „Data transmission in Internet security products“, in der den Herstellern (auch Emsisoft) ein Umfragebogen zur Datenerfassung zugesandt wurde, wird in übersichtlicher tabellarischer Form dargestellt, welche Daten in welcher Form von den Programmen abgegriffen werden. Diese tabellarische Darstellungsform ließe sich - zumindest zusätzlich – in die Datenschutzerklärung integrieren. Die Veröffentlichung von AV-Comparatives stellt - zumindest momentan - das einzig wirklich Konkrete dar, stammt aber aus dem Jahr 2014. Aktualität ungewiss. In Anlehnung an die AV-Comparatives Wunschliste einer ‚idealen Datenschutzerklärung‘, fasse ich die für mich am wichtigsten Punkte noch einmal zusammen: Eine Datenschutzerklärung sollte prägnant und in Alltagssprache verfasst sein. Eine klare Erklärung der gesammelten Daten ist wünschenswert. (in Tabellenform?) Benutzer sollte in der Lage sein - im Detail - jene Daten zu identifizieren, welche übertragen werden, wohin sie gesandt werden und für wie lange sie gespeichert bleiben. Die Daten sollten vor dem Senden anonymisiert werden. Der Nutzer sollte wissen, welche Daten anonymisert und welche Daten als ‚persönlich identifizierbare Daten‘ gesammelt werden. Diese Klarstellungen, in einfache und verständliche Sätze verpackt– Absurditäten des Gesetzes hin oder her – fehlen. Hier meine Beispielformulierungen: wir erfassen diese Daten ‚anonym‘/ erfassen diese Daten als ‚persönlich identifizierbare Daten‘ wir anonymisieren diese Daten ‚vor‘ / ‚nach‘ dem Übertragen zum Aufbau einer Verbindung mit unseren Servern muss die IP-Adresse des anfragenden Rechners bekannt sein, diese wird ‚gespeichert‘ / sofort wieder ‚verworfen‘. nach dem Analysieren werden Daten in ‚anonymisierter Form aufbewahrt‘ / ‚sofort gelöscht‘ das Abfragen von Links oder Dateien kann ‚keinesfalls einem Benutzer zugeordnet werden‘ wir nutzen diese ‚persönlich identifizierbaren Daten‘ zur statistischen Auswertung und um unsere Analysemethoden zu verbessern Auch wenn Sie schon andeuten, dass eine Änderung wohl nicht in Frage kommen wird – oder kann? - so muss ich dennoch feststellen, dass sich Ihre eigen auferlegten Grundsätze (Integrität, Wertschätzung, Respekt der Privatsphäre), die ich im Übrigen für vorbildlich erachte, in der Datenschutzerklärung nicht widergespiegelt werden. Das dürfte nicht sein.
  7. Vielen Dank für Ihre Rückmeldung. Ich möchte einige (auch kritische) Beispiele der Informationsvermittlung anhand von Beispielen darlegen. Unter der Überschrift "Datenerhebung und -empfang - Kundendaten" heißt es beispielsweise: 'Kunden und Einzelpersonen, denen von einem Kunden Zugriff auf den Arbeitsplatz bereitgestellt wurde („berechtigte Anwender“), können bei der Nutzung der Dienste Kundendaten an Emsisoft übertragen: 3. Dateidaten: z. B. Datendateien und ausführbare Programmdateien und -module, die zur Bedrohungsanalyse übertragen und verarbeitet wurden.' Im oben genannten Abschnitt bleibt völlig unklar, in welcher Form diese Dateidaten übertragen werden und ob diese Übertragung in anonymisierter oder pseudonymisierter erfolgt. Die Bedeutung des Wortes 'können' könnte auch hier vielfältig sein. Kann der Nutzer die Übertragung einschränken, oder wird hier nur eine Möglichkeit einer möglichen Datenübertragung erwähnt, ohne Einfluss auf das Wann, Wie und Was zu haben? Nüchtern betrachtet, muss ich diesen Absatz so deuten, als ob jederzeit potentiell gefährliche Dateitypen - bei voller Zuordenbarkeit des Nutzers - übertragen werden. Unter dem Absatz "Sonstige Daten" heißt es 'Emsisoft erfasst, erzeugt und/oder empfängt auch sonstige Daten: 2. Nutzungsdaten: Dienstmetadaten: Wenn ein berechtigter Anwender die Dienste nutzt, werden Metadaten erzeugt, die weitere Informationen zur Arbeitsweise des berechtigten Anwenders liefern. Emsisoft protokolliert beispielsweise Arbeitsplätze, Funktionen, von Ihnen genutzte Inhalte und Links, verarbeitete Dateitypen sowie möglicherweise eingesetzte Fremdleistungen." Klingt fast nach Rundumüberwachung meines Arbeitsplatzes. Ich kann mir ehrlich gesagt nicht mal vorstellen, was unter den Begriffen 'Informationen zur Arbeitsweise und Protokollierung der Arbeitsplätze' (meiner oder die der Software?) zu verstehen ist. Klarstellung zur Anonymisierung oder Pseudonymisierung - Fehlanzeige. Welche Inhalte und Links werden verarbeitet (Konkretisierung) und wie werden meine Dateitypen verarbeitet? Über solche Absätze kann ich nur den Kopf schütteln, stellen sie doch rein sprachlich dar, wie der Nutzer der Software in allen Belangen überwacht und sein Tun aufgezeichnet werden soll. Im Verlauf der Datenschutzerklärung findet man auch folgenden Absatz 'Werden Daten zusammengefasst und anonymisiert, damit sie nicht mehr länger einer natürlichen Person zugeordnet werden können, kann Emsisoft sie für jeden beliebigen Geschäftszweck einsetzen. Lassen sich Daten einer natürlichen Person zuordnen und unterliegen als persönliche Daten den geltenden Datenschutzgesetzen, werden sie in dieser Datenschutzrichtlinie als „persönliche Daten“ bezeichnet.' Wann es zur Anonymisierung der gesammelten Informationen kommt und welche gesammelten Daten nun tatsächlich ausschließlich anonymisiert erhoben werden, wird im Text nie erwähnt. Dies ist lediglich eine Betrachtung einiger wenige Auszüge aus der Datenschutzerklärung. Um sich ein Gesamtbild zu verschaffen, sollte selbstverständlich die Datenschutzerklärung im Gesamten gelesen und beurteilt werden. Gute Datenschutzerklärungen bilden - meiner Meinung nach - die Vertrauensbasis aller Geschäftsbeziehungen. Sie sollte das Herzstück und die Representationsfläche derer sein, die mit Integrität und Respekt den Schutz persönlicher Daten versprechen. Daher ist es wichtig, dass Datenschutzerklärungen nicht nur verständlich, sondern auch allumfassend aufklären. Sie muss Ängste vor Datenmissbrauch nehmen, Unklarheiten beseitigen und verständlich genug geschrieben sein, um auch ohne Studium der Rechtswissenschaften oder Informatik ein klares Bild zu liefern.
  8. Nach dem Lesen Eurer Datenschutzerklärungen muss ich erneut feststellen, dass auch dieses Stück Kauderwelsch meinen Wissenstand, um die Verarbeitung meiner Daten, kaum erweitert hat. Teilweise ist die Erklärung in so unverständlicher, kryptischer Sprache verfasst, dass man sie auch auf folgende zwei Sätze hätte reduzieren können: "Wir sammeln Daten wo notwendig. Wenn Sie fragen haben, kontaktieren Sie unseren Datenschutzbeauftragten." Das hätte das Lesen ungemein erleichtert, ohne zu überfordern oder sich durch einen Paragraphendschungel wühlen zu müssen. Diese Sätze wären genau so unkonkret gewesen, wie das Seitenlange Schriftstück, welches man derzeit vor sich liegen hat. Nach dem Lesen vieler Datenschutzerklärungen unterschiedlichster Hersteller, kann ich die verständlich geschriebenen Erklärungen immer noch an einer Hand abzählen. Schlimm genug, wenn dann ein Verfechter der Privatsphäre mir ein solches Stück vor die Nase hält. Wo ist das leidenschaftliche Plädoyer für den Respekt unserer Privatsphäre? Wo finde ich die Verpflichtung zur Restriktion von Sammeln persönlicher Daten? Die Datenschutzerklärungen wären der perfekte Ort, um all die Tugenden, die Integrität und die Verpflichtung zu höherem Datenschutz -welches sich die Firma selbst auferlegt- zu vermitteln. Von all dem ist, bis auf die wenigen Worte am Ende des Textes ("Verhaltenskodex") - wer bis dahin überhaupt das Durchhaltevermögen aufbringt den Text zu lesen - nichts zu spüren. Am Ende bleibt die Ungewissheit über den Verbleib und die Verwendung der gesammelten Informationen und eine vertane Chance einer wirklich guten Datenschutzerklärung. In diesem Sinne wünsche ich mir, dass die Datenschutzerklärungen nicht nur verständlicher und konkreter werden, sondern auch persönlicher, leidenschaftlicher. Dass sie Vertrauen erzeugt und überzeugt. Das alles fehlt mir bisher.