Verbraucherschützer fordern starken Datenschutz beim fahrerlosen Fahren

29. April 2016

Dass Computer auch im Straßenverkehr sprichwörtlich das Steuer in die Hand nehmen, ist längst schon keine abstruse Zukunftsmusik mehr. Einparkhilfen, Sicherheitsabstandsregulierer oder Ähnliches sind bereits eingezogen in das Cockpit des PKW. Gleichzeitig kann man in Tageszeitungen regelmäßig Berichte über Tests von vollautomatisierten Autofahrten verfolgen.

Doch wie stehen Verbraucher diesen Entwicklungen gegen über?  – Skeptisch, wie eine Umfrage der Verbraucherzentrale Bundesverband e. V. ergibt.

Demnach sorgen sich ca. 80 % der Befragten um die Sicherheit ihrer Daten im PKW. Wie sicher sind die IT-Systeme wirklich? Wer haftet für einen Schaden, wenn sich über ein Fernzugriff ein Hacker ans Steuer setzt? Wie werten Anbieter die Daten aus, die bei einer Fahrt generiert werden?

Auf diese Fragen verlangen Verbraucherschützer klare und transparente Antworten. Eine höhere Akzeptanz der Verbraucher werde die Digitalisierung der Automobile nur erfahren, wenn für alle ersichtlich geklärt ist, wer wann welche Daten zu welchen Zwecken erhebt und verarbeitet und wann diese schließlich gelöscht werden.

Das BVerfG entscheidet zum BKA-Gesetz: Terrorabwehr nicht um jeden Preis

21. April 2016

Das BKA-Gesetz steht schon länger auf dem Prüfstand, auch wir haben darüber berichtet. Nun ist die Entscheidund aus Karlsruhe da.

Wie u.a. zeitonline berichtet, ist das BKA-Gesetz, das dem Bundeskriminalamt (BKA) weitreichende Befugnisse zur heimlichen Überwachung von Bürgern einräumt, teilweise verfassungswidrig. Oder, wie es das BVerfG gestern, am 20.04.2016, schreibt, ist „die Ermächtigung des Bundeskriminalamts zum Einsatz von heimlichen Überwachungsmaßnahmen zur Abwehr von Gefahren des internationalen Terrorismus zwar im Grundsatz mit den Grundrechten vereinbar“, jedoch genügt „die derzeitige Ausgestaltung von Befugnissen aber in verschiedener Hinsicht dem Verhältnismäßigkeitsgrundsatz nicht“.

Das klingt nicht nur sperrig, sondern bedeutet auch viel Arbeit in der Umsetzung. Das BVerfG kritisiert vor allem fehlende Konkretisierungen von Normen, zu unbestimmte und zu weitgehende Befugnisse  des BKA, den Datenaustausch zwischen Behörden, mangelnde Nachvollziehbarkeit der Maßnahmen sowie unzureichende Löschung.

Die Reaktionen auf das Urlaub sind naturgemäß unterschiedlich. Während Bundesinnenminister Thomas de Maizière von der CDU alles andere als begeistert ist, begrüßt die Bundesbeauftragte für den Datenschutz und die Datensicherheit das Urteil.

Deutschland verlangt von Apple öfter Geräteinformationen als jedes andere Land der Welt

20. April 2016

Wie Apple in seinem jüngst erschienenen Report on Government Information Requests bekanntmacht, wurden durch deutsche Strafverfolgungsbehörden zwischen Juli und Dezember 2015 insgesamt 11989 sog. Device Requests gestellt. Dabei handelt es sich um Anfragen, durch die neben Serien- und IMEI Nummern auch Kontaktdaten von Geräteinhabern ermittelt werden sollen. Ob und in welchem Umfang neben Strafverfolgungsbehörden, wie der Polizei, Informationen auch durch die deutschen Inlandsgeheimdienste (Verfassungschutzbehörden der Länder und des Bundes) abgefragt wurden, ergibt sich aus dem Bericht nicht.

Interessant ist, dass Apple lediglich in 52% der Fälle den Datenauskunftsersuchen der deutschen Behörden nachgibt. Immerhin in fast der Hälfte der Fälle dürfte der Konzern damit von rechtswidrigen bzw. ungerechtfertigten Ersuchen ausgehen, in den USA hingegen ist dies nur in 20% der Anfragen der Fall.

Überraschend ist vor allem aber die gewaltige Anzahl der Gesuche insgesamt. In anderen Mitgliedsländern der EU wurden entsprechende Anfragen deutlich seltener gestellt (Österreich 70, Italien 966, Frankreich 1610, Griechenland 11). Im Vergleich mit den USA (4000 Anfragen) wurden in Deutschland im gleichen Zeitraum nahezu drei Mal so viele Anfragen gestellt. Tatsächlich stammt mehr als die Hälfte aller Anfragen aus Europa, dem mittleren Osten und Afrika zusammengenommen aus der Bundesrepublik.

Auch bei sog. Account Requests, also Anfragen hinischtlich Adress- und weiterer Daten bzgl iTunes- bzw. iCloud-Accounts liegt Deutschland mit 130 weit vorn, nur in den USA und im Vereinigten Königreich wurden weltweit im gleichen Zeitraum mehr derartige Anfragen gestellt.

Gründe für die besondere Neugier deutscher Behörden lassen sich aus dem Bericht freilich nicht ableiten. Eine besonders hohe Diebstahlquote von Geräten mit dem Apfel in Deutschland erscheint, vor dem Hintergrund der gewaltigen Disproportionalität im Vergleich zu anderen Ländern, als Erklärung aber eher auszuscheiden.

Ob von Seiten der Politik oder Justiz eine Erklärung hierzu abgegeben wird, ist nicht bekannt.

EU-Parlament beschließt Fluggastdatenspeicherung

18. April 2016

Das EU-Parlament stimmte vergangenen Donnerstag in Straßburg der Richtlinie zur EU-Fluggastdatenspeicherung zu. Zeitgleich dazu erfolgte die Verabschiedung der EU-Datenschutzgrundverordnung. Während einerseits in der EU das „Recht auf Vergessenwerden“ normiert wird, werden die Fluggastdaten in der EU weitgehend gespeichert.

Der neuen Richtlinie zufolge dürfen nunmehr Fluggastdatensätze (sog. PNR – Passenger Name Records) zu Zwecken der Verhütung, Aufdeckung und strafrechtlichen Verfolgung terroristischer Strafdaten und schwerer Kriminalität verwendet werden. Die Luftfahrtgesellschaften werden verpflichtet, die Fluggastdaten für Flüge von der EU in Drittländer und andersherum den nationalen Behörden zu übermitteln, während Fluggastdaten für Flüge innerhalb der EU lediglich verarbeitet werden dürfen, nachdem die EU-Kommission davon in Kenntnis gesetzt wurde.

Fluggäste müssen sich in Zukunft also auf mehr staatliche Überwachung einstellen. Konkret handelt es sich u. a. um Angaben zum Reiseverlauf, zu Buchungsinformationen oder zur Zahlung. Für die Erhebung, Speicherung und Erhebung der PNR-Daten sowie deren Übermittlung an die zuständigen Behörden sollen PNR-Zentralstellen zuständig sein, deren Einrichtung durch die Mitgliedstaaten erfolgt. Die Fluggastdaten werden nach der Richtlinie für eine Dauer von fünf Jahren gespeichert, sechs Monate nach deren Übermittlung müssen sie jedoch unkenntlich gemacht werden.

Die Richtlinie sieht verschiedene Datenschutzmechanismen vor. Beispielsweise ernennen die nationalen PNR-Zentralstellen Datenschutzbeauftragte, die für die Einhaltung datenschutzrechtlicher Bestimmungen zuständig sind. Die Verarbeitung der PNR-Daten muss ferner protokolliert und dokumentiert werden. Werden durch die Verarbeitung besondere personenbezogene Daten (z. B. ethnische Herkunft oder Gesundheitsdaten) kenntlich, ist diese Verarbeitung untersagt.

Die Mitgliedstaaten haben nach der noch ausstehenden formellen Billigung der Richtlinie durch den Rat zwei Jahre Zeit, die Richtlinie umzusetzen.

 

Kategorien: Allgemein
Schlagwörter:

BDI Berlin: Umgang mit Datenträgern bei gemieteten IT-Geräten

Im betrieblichen Alltag gehen mehr und mehr Unternehmen dazu über, allein wegen der hohen Anschaffungskosten IT-Geräte (z. B. Multifunktionsdrucker, Laptops, Festplatten) zu mieten oder zu leasen. Dabei gerät schnell in Vergessenheit, dass Geräte, die über einen nicht flüchtigen Langzeitspeicher wie Festplatten und sog. „Flashspeicher-Bausteine“ verfügen, beim bestimmungsgemäßen Gebrauch (z. B. Kopieren und Faxen) personenbezogene Daten erzeugen. Diese Daten werden für einen unbestimmten Zeitraum auf diesen Speichern abgelegt. Daher sollte bei der Rückgabe von geleasten oder gemieteten IT-Geräten darauf geachtet werden, dass nicht versehentlich personenbezogene Daten an den Leasinggeber oder Vermieter weitergegeben werden.

Dazu hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BDI Berlin) in ihrem jüngst vorgestellten 15. Tätigkeitsbericht Stellung bezogen. Neben dem expliziten Hinweis, dass gerade auch Multifunktionssysteme, die in das eigene Netzwerk integriert werden können und internetfähig sind, ähnliche Sicherheitsvorkehrungen benötigen wie PCs oder Server, appelliert sie, dass die einsetzende Stelle sicherstellt, dass bei der Rückgabe gemieteter/ geleaster IT-Geräte die in den Geräten enthaltenen Datenträger – sofern diese nicht hinreichend verschlüsselt sind, was regelmäßig ausreichend ist – datenschutzkonform gelöscht sind bzw. die Datenträger datenschutzkonform vernichtet werden. Die Löschung/ Vernichtung durch ein in Deutschland zertifiziertes Unternehmen sei dabei regelmäßig als datenschutzkonform einzustufen.

Hosting-Provider will Ordner löschen – und ruiniert sein Unternehmen

15. April 2016

Wie gleich mehrere Online-Medien mit Verweis auf die Online-Community „Server Fault“ berichten, hat ein Kleinunternehmer durch die Eingabe eines Löschbefehls nicht nur den anvisierten Zielordner gelöscht, sondern gleich seinen kompletten Datenbestand – inklusive Back-Ups. Umso dümmer, dass das Unternehmen vor allem das Hosting geschäftlicher Websites betreibt, oder ja: betrieben hatte.

Um den Zielordner zu löschen, erteilte er den Befehl „rm -rf {foo}/{bar}“. Dabei beinhaltet das Kürzel „rf“ (recursive force) das Kommando einer Löschung unter Ignorieren aller Systemwarnungen. Dieser Löschbefehl bedarf allerdings der weiteren Information, welches Ziel denn überhaupt zu löschen sei. Offenbar war es die unterlassene Spezifizierung des Befehls, die zur Löschung sämtlicher Verzeichnisse, Ordner und Unterordner auf dem Server führte.

Der Unternehmer wandte sich ratsuchend an die Online-Community. Helfen könne ihm jetzt aber nur noch ein Anwalt, so der Tenor.

Die Tipps eines Users kann man aus Datensicherheitsaspekten allerdings nur unterschreiben:

  • BackUps sichern.
  • Tools, die nicht bekannt sind, nicht nutzen.
  • Einen Befehl nie überall auf einmal nutzen.
  • Befehle vor der Eingabe doppelt und dreifach checken.

Für den Unternehmer dürften diese Tipps wohl zu spät kommen.

EU-Parlament verabschiedet Datenschutzgrundverordnung

EU-Parlament verabschiedet Datenschutzgrundverordnung

Diesen Donnerstag hat das Parlament der Europäischen Union die Datenschutzgrundverordnung verabschiedet. Damit endet nach über vier Jahren der Gesetzgebungsprozess. Die Datenschutzgrundverordnung ersetzt die seit 1995 geltende EU-Datenschutz-Richtlinie.

Die Mitgliedsstaaten haben nun zwei Jahre lang Zeit die EU-Datenschutzgrundverordnung in nationales Recht zu integrieren. Im Unterschied zu der bislang geltenden Datenschutz-Richtlinie, die den Mitgliedsstaaten lediglich umzusetzende Mindeststandards vorschreibt, werden durch die Grundverordnung ab 2018 europaweit einheitliche Standards gelten.

Wie bereits auf datenschutzticker.de berichtet, sollen durch die Grundverordnung zum einen die Rechte der EU-Bürger gestärkt und Rechtsklarheit und -sicherheit für Unternehmen hergestellt werden, die Daten von Europäern verarbeiten und nutzen.

WhatsApp – Revolution durch und durch?

8. April 2016

Die Nachricht, dass WhatsApp nun die Nachrichten seiner Nutzer verschlüsselt, ging durch alle Kanäle. WhatsApp selbst zieht die Marketingregister, preist den Datenschutz und den Mehrwert für die Kunden.

Die nun eingeführte Ende-zu-Ende-Verschlüsselung (kurz: e2e) bewirkt, dass die Nachrichten nur vom Sender und Empfänger gelesen werden können. Wenn die Nachricht unterwegs abgefangen wird, zeigt sich nur wirrer Datensalat. Was vor drei Jahren (also vor Snowden) noch undenkbar gewesen wäre, ist nun Wirklichkeit – eine Milliarde Menschen nutzen nun plötzlich e2e-Verschlüsselung, und das, ohne es wirklich zu merken oder etwas dafür tun zu müssen.

Aber auch wenn die Verschlüsselung als Revolution gefeiert wird – WhatsApp führt streng genommen nur endlich auch das ein, was Threema, Telegram und andere schon lange machen.

Gleichzeitig wird bei aller Begeisterung um die Verschlüsselung der Nachrichten ein Aspekt nur selten angesprochen: Die Metadaten bleiben nach wie vor unverschlüsselt. Wer mit wem wann kommuniziert hat, ist nach wie vor für WhatsApp erkenn- und verwertbar. Und das ist oft spannender als der eigentliche Inhalt der Nachrichten. WhatsApp ändert auch nach wie vor nicht seine regelmäßigen Suchen durch die Adressbücher der Nutzer nach weiteren WhatsApp Nutzern und gehört weiterhin zu Facebook, aber das nur am Rande.

Um es kurz zu machen: Ja, die Verschlüsselung der WhatsApp Nachrichten wird gefeiert. Ja, es ist ein guter Schritt in die richtige Richtung. Aber es bleiben nach wie vor genügend interessante Daten zur Auswertung übrig. Unverschlüsselt.

 

 

Bundesinnenminister Thomas de Maizière für europäischen Datenaustausch

6. April 2016

Nach den Terroranschlägen von Brüssel hat sich Bundesninnenminister Thomas de Maizière (CDU) erneut für eine stärkere Verknüpfung der europäischen Behörden ausgesprochen. „Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang“, konstatierte Bundesinnenminister Thomas de Maizière in den Tagesthemen der ARD. „An den Außengrenzen des Schengenraums sind zu viele Lücken.“ so de Maizière weiter, „Wir brauchen ein Ein- und Ausreiseregister für den Schengenraum.“ De Maizière reiht sich mit seinen Forderungen in eine traditionelle Riege seiner Amtsvorgänger ein, die mit ähnlichen Aussagen bereits den Datenschutz gegenüber den Sicherheitsaspekten zurück stehen lassen wollten. So hatte etwa Hans-Peter Friedrich (CDU) im Jahr 2013 den Begriff des „Supergrundrechts“ für die Sicherheit der Bürger intoniert und sich dabei seinerseits auf seinen Amtsvorgänger Otto Schily (SPD) und dessen Aussagen aus dem Jahr 1997 berufen. Gegenwind bekommt de Maizière unter anderem von Peter Schaar. Der ehemalige Bundesdatenschutzbeauftragte erklärte gegenüber dem Tagesspiegel: „Ich finde es falsch, den Datenschutz hier zum Prügelknaben zu machen“. Schaar konstatierte weiter, dass sofern es bei der Kooperation hapere, dies oft daran liege, dass „das Meldeverhalten der nationalen Behörden an europäische Institutionen, etwa an das Schengen-Informationssystem oder an Europol, von Land zu Land höchst unterschiedlich“ sei.

Studie zu Apps und Webdiensten – Umgang mit Auskunfts- und Löschungsansprüchen der Nutzer

4. April 2016

Einer Pressemitteilung der Gesellschaft für Informatik zufolge sei es für App-und Internetnutzer oftmals schwierig, bei Dienste-Anbietern ihre Rechte auf Auskunft und/oder Löschung geltend zu machen. Dies ist das Ergebnis einer Studie der Universitäten Hamburg und Siegen. Im Rahmen der Studie machten Wissenschaftler bei – hierzulande besonders beliebten – Anbietern von 120 Internetseiten und 150 Smartphone-Apps, Auskunfts- und Löschungsanprüche geltend. Lediglich bei einem Viertel der Anbieter war das Ergebnis befriedigend; erst beim zweiten Versuch gelang eine zufriedenstellende Antwort. Fast 60 Prozent der Anbieter hingegen gab nicht oder nur ungenügend Auskunft.

Besorgniserregend ist ferner, dass es den Wissenschaftlern teilweise gelang, unter Angabe einer gefälschten E-Mail-Adresse Auskunft über gespeicherte personenbezogene Daten zu erlangen. Die Dienste-Anbieter überprüften demnach vor Erteilung der Auskunft nicht, ob es sich bei dem Anfragenden in Wirklichkeit um den Dateninhaber handele oder nicht.

„Die Ergebnisse der Studie zeigen deutlich, wie verantwortungslos teilweise die Internetanbieter mit personenbezogenen Daten umgehen. Allein deshalb sollte grundsätzlich das Gebot der Datensparsamkeit gelten, sprich: Die Nutzer sollten grundsätzlich so wenig Daten über sich preisgeben wie möglich, also nur die Daten, die für einen Dienst unbedingt erforderlich sind.“, sagt Hannes Federrath, Vizepräsident der Gesellschaft für Informatik e.V. (GI) und Sprecher des GI-Fachbereichs „Sicherheit“.

Die Ergebnisse der Studie werden auf der am 7. April 2016 in Bonn stattfindenden Konferenz „Sicherheit 2016“ dargestellt.

Kategorien: Allgemein
Schlagwörter: , , ,
1 2 3 121