WhatsApp Update – Live Standort

20. Oktober 2017

Whatsapp bringt wieder eine Neuerung für seinen Messenger raus – den Live Standort.

Demnächst soll es für Whatsapp-User möglich sein mit ihren Freunden in Echtzeit ihren Standort zu teilen und somit verfolgen zu lassen. Die Freigabe des Live Standorts an die Freunde aus der Kontaktliste erfolgt dabei freiwillig und nicht ohne Einwilligung des Benutzers. Um den Live Standort mitteilen zu können muss der Benutzer der App diesen aktiv an seine Freunde senden. Danach erscheint der Standort für eine ausgewählte Zeit auf einer Karte. Benutzer von Whatsapp können zum Beispiel gucken ob die Person, mit der sie sich treffen wollen bereits auf dem Weg zum vereinbarten Treffpunkt ist oder gesund zu Hause angekommen ist.

Neu ist diese Funktion jedoch nicht. Facebook, das Unternehmen hinter Whatsapp, eröffnete seinen Nutzern bereits Anfang diesen Jahres eine solche Funktion. Auch der Messengerdienst Snap Chat fügte eine solche Funktion benannt als „Snap Map“ seiner App hinzu.

Whatsapp argumentiert dabei mit der Nützlichkeit dieser Funktion, wohingegen Datenschützer das ganze Vorhaben als sehr bedenklich erachten, da Standortdaten eine der persönlichsten Daten eines Smartphone-Nutzers sind.

Die Empfehlung ist daher nicht allen Apps zu erlauben die Standortnutzung zu aktivieren und den Ortungsdienst des Smartphones abzuschalten wenn er nicht aktiv benutzt wird.

Um dem Datenschutz trotzdem seinen Tribut zu zollen nutzt Whatsapp eine Ende-zu-Ende-Verschlüsselung, damit den Benutzern eine „sichere“ Übermittlung gewährleistet werden kann.

Kategorien: Social Media · Tracking
Schlagwörter: ,

Internetportal „fahrerbewertung.de“ unzulässig

Das OVG Münster bestätigt in seinem Urteil die Entscheidung des VG Köln (wir berichteten), indem auch das OVG Münster das Portal „fahrerbewertung.de“ wegen Verstoßes gegen das Selbstbestimmungsrechts für unzulässig hält.

Pressemitteilung OVG Münster vom 19.10.2017:

Das Internetportal „www.fahrerbewertung.de“ ist in seiner derzeitigen Ausgestaltung datenschutzrechtlich unzulässig. Dies hat heute das Oberverwaltungsgericht ent­schieden und damit Anordnungen der NRW-Landesbeauftragten für Datenschutz und Informationsfreiheit zur Umgestaltung der Plattform bestätigt.

Die Klägerin betreibt ein Online-Portal, mit dem das Fahrverhalten von Verkehrsteil­nehmern und -teilnehmerinnen unter Angabe des Kfz-Kennzeichens im Wesentlichen anhand eines Ampelschemas (grün = positiv, gelb = neutral, rot = negativ) bewertet werden kann. Die abgegebenen Bewertungen können von jedermann ohne Regist­rierung eingesehen werden. Die Landesbeauftragte für Datenschutz sieht darin einen Verstoß gegen das Bundesdatenschutzgesetz. Sie gab der Klägerin unter anderem auf, die Plattform so umzugestalten, dass nur noch der jeweilige Halter oder die jeweilige Halterin eines Fahrzeugs die dafür abge­gebenen Bewertungen einsehen kann und sich zu diesem Zweck zuvor registrieren muss. Die dagegen erhobene Klage hatte das Verwaltungsgericht abgewiesen. Die Berufung hat das Oberverwaltungsgericht heute zurückgewiesen.

Zur Begründung hat der 16. Senat im Wesentlichen ausgeführt: Das Bundesdatenschutzgesetz sei vorliegend anwendbar, insbesondere handele es sich bei den zu bestimmten Kfz-Kennzeichen abgegebenen Bewertungen um personenbezogene Daten. Im Rahmen der vorzunehmenden Abwägung überwiege das informationelle Selbstbestimmungsrecht der betroffenen Kraftfahrzeughalter und -halterinnen ge­genüber den Interessen der Klägerin sowie der Nutzer und Nutzerinnen des Portals, weil eine vollständig anonyme Bewertung von in der Regel privat motiviertem Verhal­ten für eine unbegrenzte Öffentlichkeit einsehbar sei. Dem stünden keine gewichti­gen Interessen der Klägerin und der Portalnutzer und -nutzerinnen entgegen. Insbe­sondere das Ziel, die Fahrer zur Selbstreflexion anzuhalten, könne auch unter Gel­tung der Anordnungen erreicht werden.

Das Oberverwaltungsgericht hat die Revision gegen das Urteil nicht zugelassen. Da­gegen kann Nichtzulassungsbeschwerde erhoben werden, über die das Bundesver­waltungsgericht entscheidet.

Aktenzeichen: 16 A 770/17 (I. Instanz: VG Köln, 13 K 6093/15)

 

 

Kategorien: Allgemein
Schlagwörter: ,

WPA2: Sicherheitslücke aufgedeckt

19. Oktober 2017

In der WPA2-Verschlüsselung ist eine kritische Schwachstelle gefunden worden.

Die WPA2-Verschlüsselung ist üblicherweise für den Schutz der Datenübertragung im WLAN zuständig.

Zwei Sicherheitsforscher der belgischen KU Leuven haben die Schwachstelle im WPA2-Protokoll, die dazu führt, dass Angreifer den eigentlich geschützten Datenverkehr mitlesen können, aufgedeckt. Durch einen Angriff auf die Schwachstelle können persönliche Informationen belauscht und mitgeschnitten und/oder Daten manipuliert werden. Zugegriffen wird dabei auf den Verbindungsaufbau. Die Angreifer klinken sich in diesen ein und haben so Zugriff auf die nicht mehr geschützten Daten.

Das hört sich in der Theorie schlimmer an, als es in der Praxis tatsächlich ist. Durch den Angriff kann zum einen nicht das WLAN-Passwort in Erfahrung gebracht werden und zum anderen werden sehr viele Vorgänge durch SSL/TLS zusätzlich gesichert, wie beispielsweise bei HTTPS-Verbindungen die für Online-Banking oder zum Übertragen von Login-Daten  genutzt werden. Außerdem müssen die Angreifer für den Zugriff in Reichweite des WLANs sein, was zumindest zahlenmäßig große Angriffe ausschließt, da sie sehr aufwändig wären.

Die Schwachstelle kann zudem durch Software-Updates, welche von einigen Herstellern bereits angekündigt wurden,  behoben werden.

Kategorien: Allgemein · Hackerangriffe · Online-Datenschutz
Schlagwörter:

Datenschutzkonferenz: Forderungen für die neue Legislaturperiode

18. Oktober 2017

Anlässlich des frisch gewählten Bundestags formulierten alle unabhängigen deutschen Datenschutzbehörden einen Katalog mit Grundsatzpositionen für die neue Legislaturperiode. Die diesjährige Vorsitzende der Datenschutzkonferenz, die niedersächsische Landesbeauftragte Barbara Thiel, legte das Dokument allen im Bundestag vertretenen Fraktionen vor. Die Aufsichtsbehörden von Bund und Ländern formulierten elf Forderungen an den deutschen Gesetzgeber.

Die Datenschutzbehörden warnen davor, Daten zu einer „rein wirtschaftlichen Größe“ zu machen und fordern, dass das Verbotsprinzip nach der Datenschutzgrundverordnung (DSGVO) nicht unter dem modernen Schlagwort „Datensouveräntität“  zurückweichen darf. Das Grundprinzip der Datenminimierung müsse weiterhin an vorderer Stelle stehen. Diese Forderungen seien nach Ansicht der Konferenzvorsitzenden Thiel kein Hindernis für die Digitalisierung. Vielmehr sei Datenschutz als Grundrechtsschutz und „integraler und förderlicher Bestandteil“ von Fortschritt in Politik, Wirtschaft und Gesellschaft.

Die Grundsatzpositionen der Datenschutzkonferenz heben auch die Bedeutung von Privacy by Design und Privacy by Default hervor. Datenschutz muss im gesamten Lebenszyklus von Produkten und Dienstleistungen bedacht und implementiert werden. Nach den Aufsichtsbehörden soll die Bundesregierungen solche Projekte und Innovationen fördern, auch indem sie sich mit Vertretern aus Wirtschaft, Forschung und Entwicklung austauscht.

Weiter fordern die Aufsichtsbehörden ein eigenständiges Gesetz zum Beschäftigtendatenschutz, das den Anforderungen der Arbeitswelt 4.0 entspricht. § 26 BDSG-neu sei den aktuellen Herausforderungen wie z.B. durch verdeckte technische Überwachung, nicht gewachsen. Im Bereich von E-Health fordern die Datenschutzbehörden strenge Vorgaben, damit z.B. Patienten, die eine laufende Erfassung von Gesundheitsdaten via Wearables und Fitness-Apps nicht zustimmen, bei Versicherungstarifen nicht benachteiligt werden. Big-Data-Projekte im Gesundheitswesen sollten per Gesetz mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen sein. Schließlich sehen die Aufsichtsbehörden das Thema Vorratsdatenspeicherung weiterhin kritisch, jene sei „in all ihren Ausprägungen auf den Prüfstand zu stellen“.

 

Bericht über massives Lobbying zur E-Privacy-Verordnung

Laut einer Quelle aus dem Europäischen Parlament sei im Zusammenhang mit der geplanten E-Privacy-Verordnung eine der intensivsten Lobbykampagnen wahrzunehmen, die es auf europäischer Ebene je gegeben habe. Dies geht aus dem Bericht „Big Data Is Watching You“ der Initiative ´Corporate Europe Observatory´ hervor. Vonseiten der Online-Industrie werde demnach lehrbuchartig in die Werkzeugkiste der Beeinflussungsmethoden gegriffen, u.a. in Form von direkten Treffen oder Diskussionsveranstaltungen in kleineren Kreisen mit Cocktailempfang.

Bei der E-Privacy-Verordnung geht es um den Datenschutz im Internet. Hier stehen sich die Interessen der Nutzer an der Privatheit Ihrer elektronischen Kommunikation und die kommerziellen Interessen der Diensteanbieter gegenüber. Insofern überrascht es nicht, dass eine Verordnung zur Regelung von Themen wie der Profilbildung von Usern, der Nutzung von Cookies und Metadaten u.v.m. die Aufmerksamkeit der Online- und Werbeindustrie genießt.

Die E-Privacy-Verordnung wird neben der Datenschutz-Grundverordnung einen weiteren wichtigen Maßstab dessen darstellen, was im Kontext der Datenverarbeitung von Unternehmen zu beachten ist. Geht man von den bisherigen Vorschlägen für die besagte Verordnung aus, muss auch hier mit einem gewissen Anpassungsaufwand zur Sicherstellung der künftigen Verordnungskonformität gerechnet werden.

 

US Supreme Court entscheidet über US-Zugriff auf EU-Daten

17. Oktober 2017

Ende 2013 hatte ein Bundesbezirksgericht in New York einen Durchsuchungsbeschluss erlassen, in dem der Unternehmensriese Microsoft verpflichtet wurde, E-Mails eines Kunden herauszugeben. Hinsichtlich der Nachrichten des Nutzers, die auf us-amerikanischen Servern des Unternehmens gespeichert waren, tat dies Microsoft auch, verweigerte allerdings die Herausgabe der Mails, die auf Servern in Irland gespeichert waren. Dabei berief sich Microsoft darauf, dass hierfür die irischen Gerichte zuständig seien und zog vor das Bundesberufungsgericht für den 2. Bundesgerichtsbezirk (2nd Circuit). Die Richter des 2nd Circuit entschieden gegen das Begehren der US-Regierung zu Gunsten von Microsoft, da das zugrundeliegende US-amerikanische Gesetz „Stored Communications Act“ nur im Inland gelte. Auf das Urteil des Gerichts hin beantragte die US-Regierung eine erneute Anhörung vor einer erweiterten Richterbank des selben Gerichts. Nur vier von acht Richtern des 2nd Circuit stimmten allerdings für eine neuerliche Anhörung. Der Antrag der US-Regierung wurde daher abgelehnt.

Als neuerlichen Versuch, den Durchsuchungsbefehl auch hinsichtlich der EU-Daten durchzusetzen, wandte sich die US-Regierung mit der Unterstützung von 33 US-Staaten an den US Supreme Court. Der US Supreme Court beschäftigt sich mit Rechtsfragen, die von Bundesberufungsgerichten uneinheitlich beantwortet wurden. In den meisten anderen Fällen wird ein Begehren allerdings abgelehnt. Im vorliegenden Fall hat sich der US Supreme Court jedoch dazu entschieden, die Frage der Anwendbarkeit des Gesetzes und der Zulässigkeit der Datenübermittlung von EU-Daten in die USA zu klären und den Fall daher angenommen. Dies untermauert die Brisanz, die diese Rechtsfrage beinhaltet.

Einen Termin für die mündliche Anhörung des Falls, der offiziell „In the Matter of a Warrant to Search a Certain E-Mail-Account Controlled and Maintained by Microsoft Corporation, United States of America v. Microsoft Corporation“ heißt, gibt es noch nicht. Die Entscheidung des Falls ist daher ungewiss und mit Spannung zu verfolgen. Sollte der US Supreme Court geurteilt haben, werden wir erneut darüber berichten.

Ab jetzt offenes WLAN für alle?

13. Oktober 2017

Bis zur Reform 2016, die eine Änderung des Telemediengesetzes vorsah, war die Haftung für die Betreiber eines offenen WLANs verhältnismäßig hoch. Die Angst vor kostenträchtigen Abmahnungen war durchaus berechtigt. Die Haftung solcher Betreiber durch das Telemediengesetz wurde nun erneut reformiert.

Die Reform betrifft die Störerhaftung des Telemediengesetzes, die bis dato vorsah, dass beispielsweise Anbieter eines öffentlichen WLANs für das fehlerhafte Verhalten ihrer Nutzbar haftbar gemacht werden können. Das Resultat war eine Welle von Abmahnungen, die vor allem die Nutzung von Filesharing-Software über freie Netzwerke betraf.

Die neue Regelung aus § 8 TMG sieht nun vor, dass Anbieter eines freien WLANs nicht mehr wegen des Fehlverhaltens ihrer Nutzer auf Schadensersatz oder Beseitigung sowie Unterlassung einer Rechtsverletzung in Anspruch genommen werden können. Dementsprechend können keine mit der Störerhaftung in Zusammenhang stehenden Sanktionen mehr anfallen.

Ausgenommen von dieser Regelung sind aber weiterhin Anbieter, die mit ihren Nutzern zusammenarbeiten.

Überzeugt wurde das Bundeswirtschaftsministerium dabei durch das große gesellschaftliche und wirtschaftliche Potenzial, das eine solche Gesetzesänderung mit sich bringt. Sowohl Gastronomen, Unternehmen als auch privaten Personen ist es nun erlaubt das eigene WLAN der Öffentlichkeit zugänglich zu machen.

Fristlose Kündigung wegen Verstoßes gegen das Bundesdatenschutzgesetz

Die Leiterin einer Altenpflegeschule im Saarland sowie eine weitere Mitarbeiterin wurden fristlos entlassen, nachdem sie verschiedene Ausbildungsnachweise eines Lehrbeauftragten der Einrichtung an die vermeintlichen Aussteller versendet hatten, um deren Echtheit überprüfen zu lassen. Wie unter anderen die Süddeutsche Zeitung berichtete, habe es im Vorfeld Anlass zu Zweifeln an der Qualifikation des Kollegen gegeben, die jedoch durch eine interne Prüfung der Personalabteilung weder hätten ausgeräumt noch bestätigt werden können. So sei der Entschluss gereift, Bescheinigungen über eine Altenpflegerausbildung , ein Universitätsdiplom sowie eine Lehrberechtigung für katholischen Religionsunterricht von den jeweils zuständigen Stellen überprüfen zu lassen.

Allerdings sind im Rahmen der Prüfung vor der Übersendung Fehler in Hinsicht auf die umfassende Schwärzung der personenbezogenen Daten des betroffenen Mitarbeiters unterlaufen. Tatsächlich führte die Überprüfung zu der Erkenntnis, dass sämtliche Dokumente gefälscht worden waren. Dies soll sich teilweise aus Abgleichen der Personendaten sowie anhand sonstiger unstimmiger Angaben auf den Dokumenten ergeben haben. Nach verschiedenen Medienberichten hat der Mitarbeiter die Urkundenfälschungen eingeräumt und einem Aufhebungsvertrag zugestimmt. Zudem hat die Trägerin der Fachschule Strafanzeige erstattet.

Gleichwohl erhielten auch die beiden an der Aufdeckung Beteiligten fristlose Kündigungen, die sich darauf stützten, dass die Übermittlung von Auszügen aus den Personalunterlagen eigenmächtig erfolgt ist und insbesondere gegen datenschutzrechtliche Bestimmungen und die Verpflichtung zur Verschwiegenheit verstoßen wurde.

Die Schulleiterin hält eine fristlose Kündigung für ungerechtfertigt und hat Klage vor dem Arbeitsgericht erhoben. In diesem Verfahren wird sich das Gericht, nachdem es bislang zu keiner gütlichen Einigung zwischen den Beteiligten gekommen ist, insbesondere mit der Frage befassen müssen, ob die vermeintlichen Verstöße gegen das Datenschutzrecht eine fristlose Kündigung rechtfertigen können oder nicht doch zunächst eine Abmahnung angemessen gewesen wäre.

Cybercrime – Jeder zweite Deutsche war schon Opfer

12. Oktober 2017

Im vergangenen Jahr ist fast jeder zweite Deutsche Opfer von Cybercrime geworden. Dies ergab eine Umfrage im Auftrag des Digitalverbands BITKOM. Das häufigste Delikt ist dabei die Infizierung des Computers mit Schadprogrammen wie Viren. 43 Prozent der Internetnutzer wurden Opfer eines solchen Angriffs.
Bei rund jedem Fünften wurden Zugangsdaten zu Online-Diensten wie sozialen Netzwerken oder Online-Shops gestohlen (19 Prozent) oder persönliche Daten illegal genutzt (18 Prozent). Jeder Sechste (16 Prozent) ist beim Online-Shopping oder Online-Banking betrogen worden. Acht Prozent berichten von massiven Beleidigungen, fünf Prozent von sexueller Belästigung im Web. In jedem zweiten Fall von Cybercrime (54 Prozent) ist auch ein finanzieller Schaden entstanden.

„Die zunehmende Vernetzung und die verbreitete Nutzung digitaler Technologien lockt auch Kriminelle an. Internetnutzer sollten sich mit technischen Hilfsmitteln wie aktuellen Virenscannern und Firewalls schützen, zugleich muss aber auch das Wissen der Nutzer über mögliche Angriffe im Netz und Schutzmöglichkeiten verbessert werden“, fordert BITKOM-Präsidiumsmitglied Winfried Holz. Denn

Die Opfer sehen wenig Chancen die Täter zu ergreifen, so haben gut 65 % der Opfer nichts gegen die Cybercrime-Fälle unternommen. Nur 18 % haben überhaupt eine Anzeige bei den Strafverfolgungsbehörden erstattet.Rund jedes zweite Cybercrime-Opfer (45 Prozent), das keine Anzeige erstattet hat, glaubt, dass die Täter ohnehin nicht gefasst werden, jedem Dritten (34 Prozent) ist zudem der Aufwand zu hoch. 13 Prozent sagen, dass Polizei und Staatsanwaltschaft Cybercrime nicht ernst nehmen, zwölf Prozent waren sich nicht sicher, ob ihr Fall überhaupt von den Behörden verfolgt würde und acht Prozent glauben, dass sich die Ermittler mit dem Thema schlicht nicht auskennen.

Dabei sollten sich die Opfer an die Strafverfolgungsbehörden wenden. „Verbrechen in der digitalen Welt sind kein Kavaliersdelikt. Bei allen Landeskriminalämtern gibt es inzwischen eine Zentrale Ansprechstelle Cybercrime, an die sich betroffene Bürger und Unternehmen wenden können“, so Holz. „Die staatlichen Stellen müssen jetzt technologisch und personell besser ausgestattet werden, damit sie solche Vorfälle ebenso verfolgen können wie Verbrechen in der analogen Welt.“

Testversionen des „Google Home Mini“ hörten auch ohne Sprachbefehl zu

Zukünftig soll es ein Mini-Version des Google Lautpsrechers Google Home mit integriertem Sprachassistenzsystem geben, der „Google Home Mini“ soll ab dem 19. Oktober auf den US-amerikanischen Markt kommen.

Zuvor hatte Google im Rahmen einer Promo-Aktion mehrere Testgeräte an Journalisten vergeben. Dabei fiel auf, dass einige der Testgeräte durchgehend ihrer Umgebung zuhörten und die so gesammelten Daten speicherten. Wie Mitarbeiter von Google anschließend feststellten, beruhte dies auf einer Fehleinstellung. Die betroffenen Geräte nahmen durchgehend sogenannte „Phantom“-Berührungen wahr. Der „Google Home Mini“ hört nämlich nicht nur auf Sprachbefehle, sondern lässt sich auch per Knopfdruck bedienen.

Google versicherte, dass die Knopfdruck-Option vorerst deaktiviert und anschließend neu konfiguriert werde. Dazu wurde den Testpersonen gegenüber versprochen, dass ihre Aktivitäts-Protokolle auf den Servern gelöscht würden.

Der Vorfall bestätigt einmal mehr die datenschutzrechtlichen Bedenken hinsichtlich vernetzter Lautsprecher.  Auch wenn der Fehler nun behoben wurde und voraussichtlich bei den Kunden, die den Mini demnächst erwerben können, nicht mehr auftreten wird, bleibt die Angst vieler Kunden, durchgehend belauscht zu werden, weiterhin bestehen.

Kategorien: Allgemein
Schlagwörter: , ,
1 2 3 151