Britische Datenschutzbehörde ICO verzichtet auf Einwilligung beim Setzen von Cookies

Wer die Website des britischen ICO (Information Commisioner’s Office) häufig besucht, wird sich über eine Änderung wundern: Während beim Besuch der Website bisher eine explizite Einwilligung vor dem Setzen von Cookies eingeholt wurde, werden nun ohne Nachfrage Cookie gesetzt. Dies stellt eine Neuinterpretation der eigenen Richtlinie zum Umgang mit Cookies, welche zuletzt im Mai letzten Jahres überarbeitet wurde, dar. Der Nutzer wird nun durch ein Banner am unteren Rand der Website darüber informiert, dass Cookies, welche der Verbesserung der Website dienen sollen, gesetzt wurden. Das Banner verschwindet automatisch, wenn der Nutzer eine andere Seite innerhalb des Angebots aufruft. Über einen Link innerhalb des besagten Banners hat der Nutzer die Möglichkeit, Näheres über die Cookies zu erfahren und “nicht essentielle” Cookies zu deaktivieren. Wenn die Ablehnung von Cookies nicht explizit erklärt wird, vermutet das ICO nach eigener Aussage, dass das Setzen von Cookies in Ordnung sei. Damit ist das ICO, welches bislang eine Vorreiterrolle in Europa innehatte, von einem Opt-In zu einem Opt-Out Modell umgeschwenkt. Bemerkenswert ist die Erläuterung des Sinneswandels: 2011 habe es in der Öffentlichkeit noch kein ausreichendes Wissen über Cookies und deren Verwendung gegeben. Mittlerweile habe sich dies jedoch – auch dank der Tätigkeit des ICO – geändert und es herrsche ein ausreichendes Bewusstsein bezüglich der Cookie-Problematik. Daher halte man es für vertretbar, von einer expliziten Einwilligung zu einer mutmaßlichen Einwilligung zu wechseln.

Ob dies möglicherweise den Tod der Cookie Richtlinie darstellt, oder schlicht eine praktikable und unaufdringliche Umsetzung der selbigen ist, wird sich noch zeigen müssen. Sicher ist jedoch, dass die praktische Umsetzung der Cookie-Richtlinie, die bisher in Deutschland nicht in nationales Recht transformiert wurde, weiterhin große Unklarheiten birgt und der Rechtssicherheit bislang nicht zuträglich ist.

Ryanair: Datenschutz-Leck

Nach Medienberichten, wurde ein Datenschutz-Leck bei JT Touristik hinsichtlich Flügen mit Ryanair entdeckt. Recherchen der dpa nach, seien die Daten von knapp 5000 Ryanair-Flugreisenden wegen der Buchungen über eine einheitliche E-Mail-Adresse für andere Kunden des Reiseveranstalters JT Touristik einsehbar gewesen.

Ihre Kunden hätten eine einheitliche E-Mail-Adresse für den Web Check-In bekommen, wenn sie eine Reise mit einem Ryanair-Flug gebucht haben, so habe JT Touristik bestätigt. Dies habe die Folge gehabt, dass die Einsichtnahme  fremder Buchungen auf der Internet-Seite von Ryanair möglich geworden sei. Laut Aussage von Jasmin Taylor, Geschäftsführerin JT Touristik habe JT Touristik den Fehler bei den aktuellen Buchungen beseitigt und teile seitdem jeder Buchung eine individuelle Email-Adresse zu.

Ein ähnlicher Vorfall ist zu Beginn des Jahres beim Reiseanbieter Urlaubstours entdeckt worden, der zur Online-Unternehmensgruppe Unister gehört.

FTC veröffentlicht Forderungen zum Datenschutz bei mobilen Systemen

Unter dem Titel “Mobile Privacy Disclosures – Building Trust Through Transparency” hat die US-Handelsaufsicht FTC eine Broschüre veröffentlicht, in welcher sie zentrale Forderungen zum Umgang mit Nutzerdaten im mobilen Umfeld formuliert.

An die Betriebssystem Hersteller (z.B. Blackberry mit Blackberry 10, Google mit Android, Apple mit iOS etc.) richten sich folgende Forderungen:

  • Nutzer sollten explizit benachrichtigt und um Zustimmung gefragt werden, bevor auf sensible  Daten wie Standortinformationen zugegriffen wird.
  • Fotos, Kontaktdaten, Kalenderdaten und die Aufzeichnungsfunktionen der Geräte hält die FTC für etwas weniger schützenswert: In diesem Kontext sollten Betriebssystemhersteller nur überlegen, die soeben genannten Benachrichtigungen und Abfragen einzuführen.
  • Es sollte eine einheitliche Übersicht geschaffen werden, die es den Nutzern ermöglicht, schnell zu überblicken, auf welche Inhalte Apps zugreifen können.
  • Die Schaffung eines einheitlichen Symbols, welches auf die Übertragung persönlicher Daten hinzuweist, sei anzudenken.
  • Die Betriebssystem-Hersteller sollten Best-Practise Ansätze fördern und gegenüber den Nutzern öffentlich machen, welche Prüfkriterien die Apps vor der Aufnahme in die jeweiligen Stores durchlaufen.
  • Der Do Not Track Ansatz sollte auf Betriebssystemebene verankert werden [Anmerkung: Bisher bieten ausschließlich vereinzelte Browser wie der Firefox für Android diese Funktion]

Mit einem zweiten Forderungskatalog wendet sich die FTC an Hersteller von Apps:

  • Diese sollten eine einfach abrufbare Datenschutzrichtlinie bereitstellen, welche im besten Fall über die Stores der Betriebssystem-Hersteller abrufbar sein sollte.
  • Solange keine explizite Benachrichtigungs- und Zustimmungsroutinen durch das Betriebssystem bereitstehen, solle dies durch die Hersteller für die jeweiligen Apps gewährleistet werden.
  • Es sei zu überlegen, Selbstregulierungsgremien, Industrieorganisationen etc. beizutreten, die Unterstützung bei der Entwicklung einheitlicher, kurzer Datenschutzerklärungen böten.
  • Die Kommunikation mit Werbenetzwerken sollte verbessert werden, damit die App-Hersteller die Third-Party-Tools, die sie in ihre Apps einbauen, besser verstehen und die Nutzer entsprechend informieren könnten.

Auch an die Werbeindustrie richtet sich die FTC und fordert, spiegelbildlich zum letztgenannten Punkt, die Kommunikation mit den App-Herstellern zu verbessern. Weiterhin sollte auch die Werbebranche dazu beitragen, die effektive Durchsetzung von Do-Not-Track auf mobilen Geräten zu ermöglichen.

Letzten Endes adressiert die FTC auch Zusammenschlüsse von App-Herstellern, die Lehre, Datenschutzexperten und Usability-Experten mit folgenden Anregungen:

  • Es sollten kurze Datenschutzerklärungen entwickelt werden.
  • Es müssten standardisierte Wege vorangetrieben werden, die es Nutzern ermöglichten, über App Grenzen hinweg den Umgang mit Daten zu vergleichen.
  • App-Hersteller müssten für Datenschutzbelange sensibilisiert werden.

Ausgangspunkt sämtlicher vorgenannten Punkte sind drei Grundforderungen:

  1. Privacy by Design: Unternehmen sollten in jedem Entwicklungsstadium den Datenschutzbelange berücksichtigen.
  2. Eine einfache Wahl für Nutzer: Zum relevanten Zeitpunkt und im relevanten Kontext sollten die Nutzer um eine Einwilligung gebeten werden.
  3. Größere Transparenz:  Die Unternehmen sollten Details über die Erhebung und Verwendung von Nutzerdaten offenlegen.

Insgesamt lässt sich festhalten, dass die gesammelten Vorschläge allesamt gut und vernünftig klingen; einzig krankt es daran, dass es sich nur um nichtverbindliche Ausführungen handelt, zu deren Umsetzung keine der angesprochenen Gruppen verpflichtet ist. Nichtsdestotrotz ist zu hoffen, dass einige der Vorschläge in Zukunft umgesetzt werden. Teilweise wird dies bereits heute schon getan: Android informiert vor Installation einer App über die von der App angeforderten Berechtigungen, wohingegen iOS beim Zugriff auf bestimmte Daten (Kontakte, Ortsinformationen etc.) eine explizite Einwilligung verlangt. Beide Systeme bieten heute schon die Möglichkeit, zumindest das herstellereigene Werbetracking zu deaktivieren. [Android: Einstellungen > Konten > Google > Anzeigen – iOS: Einstellungen > Allgemein > Info > Werbung oder oo.apple.com per Browser aufrufen)

 

Twitter: Hacking-Angriff auf Nutzerdaten

Der Mikroblogging-Dienst Twitter ist nach eigenen Angaben Opfer eines Hacking-Angriffs geworden, bei dem Daten von bis zu 250.00 Nutzern erbeutet wurden. Die Passwörter der betroffenen Nutzerkonten seien mittlerweile zurückgesetzt und die Nutzer  mittels E-Mail informiert worden. Der Angriff werde aufgrund der an den Tag gelegten Raffinesse nicht als Amateurwerk bewertet. Ferner gehe man nicht davon aus, dass es sich um einen Einzelangriff handelt, sondern dass auch andere Firmen und Organisationen auf vergleichbare Weise angegriffen wurden. Dies sei der Grund für die frühe Veröffentlichung des Angriffs. Das Unternehmen unterstütze die Ermittlungsbehörden bei ihren Untersuchungen – letztlich um das Internet für alle Nutzer sicherer zu machen.

Facebook installiert neues Tracking-Verfahren

Eines der datenschutzrechtlich relevantesten Verfahren hinsichtlich der Effektuierung von kundenspezifischer Werbung ist das sogenannte Tracking. Dabei werden Tracking-Cookies verwendet, kleine Datenmengen, die sich beim Surfen auf einer Seite auf dem Rechner ablegen, ohne dass der Nutzer hiervon zumeist Kenntnis nimmt. Diese ermöglichen dem Werbetreibenden, den Nutzer auf danach besuchten Seiten wieder zu erkennen und dementsprechende werberelevante Rückschlüsse auf dessen Interessen zu schließen. Mittlerweile, wohl auch aufgrund der fortschreitenden datenschutzrechtlichen Sensibilisierung der Nutzer, bestehen einfach zu bedienende Maßnahmen zur Löschung oder Sperrung dieser Cookies.

Das marktführende soziale Netzwerk Facebook hat nun nach einem Bericht von heise.de eine neue Methode mit dem Namen “Optimized CPM” installiert, die diese Maßnahmen potentiell umgehen kann. Das neue Tracking soll über die Facebook-ID stattfinden und so die vorhandenen Sicherungsmaßnahmen gegen Cookies faktisch ins Leere laufen lassen. Denn im Gegensatz zu den Lösch- und Sperrmöglichkeiten hinsichtlich der Cookies, bestehen diese für die Facebook-ID nicht. So können Nutzer auch browser- oder endgeräteübergreifend identifiziert werden. Facebook erhofft sich durch diese Neuerung, den Werbekunden noch detailliertere Informationen über das Surfverhalten der Nutzer zur Verfügung stellen zu können. Die neue Methode lässt zudem erkennen, welche Handlungen Facebook-User nach dem Klick auf eine Anzeige bei Facebook vornehmen. Der Werbekunde kann so erkennen, ob die von ihm geschaltete Werbung zu den erwünschten Reaktionen der Kunden führt.

Facebook ist dabei jedoch auf die “Mitwirkung” seiner Nutzer angewiesen. Denn loggt sich ein User, entgegen der nach Angaben von Facebook üblichen Praxis, nach Beendigung seiner Nutzung aus dem Social-Network aus, ist eine weitere Verfolgung ausgeschlossen.

Datenschützer fordern Transparenz von Skype und Microsoft

Für viele Internetnutzer bedeutete die Einführung der kostenlosen und flächendeckend verfügbaren Voice-Over-IP-Videotelefonie einen spürbaren Fortschritt in der technischen Entwicklung. Als Vorreiter und Marktführer des Metiers positionierte sich von Anfang an der Anbieter Skype, der erstmals im Jahr 2003 (damals noch als Skyper 1.0) auf dem Markt erschien und mittlerweile über 650 Millionen Nutzer zählt. 2011 übernahm der Software-Gigant Microsoft das Unternehmen. Mittlerweile lassen sich nahezu alle internetfähigen Endgeräte mit Skype ausstatten.

Mit der immensen Nutzerzahl geht auch ein enormer Datentransfer einher. Auch hoch sensible Daten sind dabei betroffen. Doch Skype lässt sich beim Thema Datenschutz scheinbar nur ungern in die Karten gucken. Wie das Online-Portal der Zeit berichtet, haben sich nun Aktivisten zusammen getan, um von dem Unternehmen klare Aussagen bezüglich der Weitergabe von Daten zu erhalten. Bislang seien entsprechende Anfragen immer mit der Antwort quittiert worden, eine Verschlüsselung der Daten werde gewährleistet, man halte sich an die öffentlich einsehbaren Datenschutzrichtlinien. Unter der Führung des Kanadiers Nadim Kobeissi, Gründer des Chat-Programms Cryptocat, formulierten nun Aktivisten und Datenschützer einen offenen Brief an Skype, in dem Klarheit bezüglich der aufgetretenen Ungereimtheiten gefordert wird. Es wird eine differenzierte Erklärung dazu gefordert, welche Daten Skype genau und wie speichert, und ob, beziehungsweise inwieweit, diese staatlichen Einrichtungen zur Verfügung gestellt werden. Der Brief findet dabei Unterstützung durch eine breite und teilweise prominente Masse. So beteiligen sich etwa die sich für digitale Bürgerrechte einsetzenden Organisationen Electronic Frontier Foundation und Reporter ohne Grenzen an der Aktion.

 

Kritik am Regierungsentwurf zur Novelle der Bestandsdatenauskunft

Die Opposition hat sich eindeutig gegen den Regierungsentwurf zur Novelle der Bestandsdatenauskunft in seinem jetzigen Zustand ausgesprochen. Die im Entwurf normierten Voraussetzungen einer Bestandsdatenauskunft, so der SPD-Politiker Michael Hartmann, seien nicht ausreichend, um die Anforderungen des Bundesverfassungsgerichts in Karlsruhe zu erfüllen. Insbesondere sei ein Richtervorbehalt erforderlich, bevor ein Zugriff auf Bestandsdaten (z.B. Name, Anschrift etc.) des Inhabers eines Telekommunikationsanschlusses erfolgen dürfe.

Die Linke sieht es als problematisch an, dass der Entwurf keinerlei Regelungen dahingehend enthalte, wann Behörden auf Pins, PUKs oder auf sonstige Zugangssicherungscodes zugreifen dürfen. Zumal stelle solch ein Zugriff ohne eine konkrete Gefahrenlage, die der Gesetzentwurf bisher nicht vorsehe, einen Verstoß gegen die Verfassung dar.

Ebenfalls skeptisch gaben sich die Grünen (Bündnis 90/Grüne), da die geplanten Eingriffe zu dem geplanten Ziel unverhältnismäßig seien.

Gisela Piltz, innenpolitische Sprecherin der FDP räumte ein, dass es noch Veränderungen des Entwurfes bedürfe. Sie fügte an, dass der Zugriff der Provider auf Zugangssicherungscodes praktische Probleme hervorriefe. Ebenfalls meinte sie, dass auch in verfassungsrechtlicher Sicht noch Hindernisse bestehen.

Ole Schröder, CDU-Staatssekretär im Bundesinnenministerium, sieht neue Regelungen, insbesondere für eine effektive Strafverfolgung bei Straftaten im Internet, als unbedingt notwendig an. Die Zuordnung von IP Adressen sei meist der einzig erfolgreiche Weg.

 

 

BSI: Warnung vor Schadcode in vermeintlichen ELSTER-Steuerbescheid

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf eine Spam-Welle hin, mit der aktuell angebliche ELSTER-Steuerbescheide an Bürger versendet werden. Die Spam-Mail informiere den Empfänger, dass “von Ihrem Finanzamt bzw. Ihrer Steuerverwaltung über das Verfahren ELSTER eine verschlüsselte Zip-Datei zur Abholung bereitgestellt” wurde. Diese Datei enthalte jedoch einen Schadcode. Bislang seien als Versandadressen “finanzamt-online@elster.de”, “online@elster.de”, “einkommensteuerbescheid@elster.de” und “steuerverwaltung@elster,de” verwendet worden. Die Versandadressen könnten jedoch variieren. Derzeit werde diese Spam-Mail von vielen Virenschutzprogrammen nicht zuverlässig erkannt. Empfehlenswert sei es daher, die Spam-Datei zu löschen.

BfDI: De-Mail bietet viele Vorteile

Nach einer Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Schaar können Zweifel, die an der Zuverlässigkeit, Vertraulichkeit und Integrität einer einfachen E-Mail zu Recht bestehen, durch die Nutzung von De-Mails grundsätzlich ausgeräumt werden. Im Vergleich zum klassischen Postweg oder der E-Mail verbessere eine De-Mail die Sicherheit und auch den Datenschutz in den Kommunikationsbeziehungen mit den Bürgern. In den meisten Bereichen könne eine De-Mail ohne zusätzliche Sicherheitsmaßnahmen verwendet werden. Aufmerksamkeit sei jedoch dort angebracht, wo sensible Daten (z.B. Gesundheitsdaten) versandt werden sollen. Denn es bestünde das Restrisiko, dass insbesondere Administratoren des De-Mail-Anbieters vom Nachrichteninhalt Kenntnis nehmen können, da eine durchgängige Verschlüsselung (“Ende-zu-Ende-Verschlüsselung”) – entgegen der Empfehlung des BfDI - nicht verpflichtend für das De-Mail-Verfahren ist. Daher  müsse auf die Versendung mittels De-Mail verzichtet werden, wenn sensible Daten betroffen sind und keine zusätzlichen Schutzmaßnahmen realisiert wurden.

 

BITKOM: EU-Datenschutzgrundverordnung “schießt über Ziel hinaus”

Anlässlich des 7. Europäischen Datenschutztages hat der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) vor einer Überregulierung aus Brüssel gewarnt. Die kürzlich von dem Europaparlament vorgelegten Vorschläge für eine weitere Verschärfung der EU-Datenschutzgundverordnung seien nicht geeignet, das Ziel, den Datenschutz zu modernisieren, zu erreichen.

Der Schutz der Privatsphäre werde nicht dadurch verbessert, dass jeder Datenverarbeitung mit bürokratischen Hürden versehen wird, kommentierte der Hauptgeschäftsführer der BITKOM Rohleder die Vorschläge. Viele bislang kostenlose Online-Dienste würden nach der EU-Datenschutzgrundverordnung nicht mehr möglich sein. Der Grundsatz “Keine Datenverarbeitung ohne Einwilligung” klinge zwar sinnvoll, sei aber in der Praxis kaum unzusetzen und schränke die Benutzerfreundlichkeit massiv ein. Die ITK-Branche unterstütze die Bemühungen der EU, den Datenschutz in Europa auf ein einheitlich hohes Niveau zu bringen. Dabei müsse aber auch verhindert werden, dass die Regelungen eine sinnvolle Nutzung von Daten zu stark einschränken oder unmöglich machen.

Einer der Schwachpunkte der EU-Datenschutzgrundverordnung sei, dass deren Anwendungsbereich auszuufern drohe und damit Sachverhalte des täglichen Lebens und Wirtschaftslebens erfasst würden, die keinen Zusammenhang mehr mit dem eigentlichen Schutzzweck der EU-Datenschutzgrundverordnung aufweisen. Weitere Schwachpunkte seien, dass – um die zahlreichen Einwilligungserklärungen für die Datenverarbeitung bei Online-Angeboten korrekt einzuholen – letztlich mehr Daten erhoben werden müssten als zuvor und Arbeitnehmer auf freiwillige Leistung ihrer Arbeitgeber (z.B. Aktien- oder Gesundheitsprogramme) verzichten müssen, weil diese die Daten künftig nicht mehr legal verarbeiten können. Zuletzt würden die Rahmenbedingungen für Start-ups und die Entwicklung innovativer Geschäftsmodelle wegen der Unsicherheiten im Hinblick auf die künftige Zulässigkeit von Datenverarbeitungen massiv verschlechtert und damit die Wettbewerbsfähigkeit Europas in jeder Hinsicht erheblich beeinträchtigt.

 

Archiv: « 1 2 3 4 5 ... 27 28 29 30 31 32 33 ... 78 79 80 81 82 »