Kategorie: Online-Datenschutz

Dobrindt will als Folge von WannaCry das IT-Sicherheitsgesetz verschärfen

17. Mai 2017

Der Bundesminister für digitale Infrastruktur, Alexander Dobrindt (CSU), will das IT-Sicherheitsgesetz verschärfen. Grund für seinen Vorstoß ist der Krypto-Trojaner WannaCry, der in den letzten Tagen für Aufsehen sorgte.

Der Trojaner hat weltweit hunderttausende Windows-Rechner lahmgelegt. Die Ransomware WannaCry ist ein Erpressungstrojaner. Ist der Rechner einmal befallen verschlüsselt das Programm Benutzer- und Systemdateien und fordert den Nutzer auf, einen bestimmten Betrag in Bitcoins zu zahlen, damit die die Dateien wieder freigegeben werden. Zudem versucht das Programm noch weitere Rechner zu infizieren.

Steven Wilson, der Chef der Ermittlergruppe EC3, des europäischen Cybercrimezentrums, sagt: “Das ist der größte Cyberangriff, den wir weltweit bisher gesehen haben und wir können sein Ausmaß auf die Wirtschaft nicht vorhersagen”.

Das Ausmaß des Angriffs ist enorm, auch wenn der Trojaner inzwischen durch Zufall gestoppt wurde und das erpresste Geld wahrscheinlich nicht mehr als 30.000€ einbringen wird. Der Schaden ist riesig. Betroffen sind nicht nur tausende Rechner von Privatpersonen, sondern auch beispielsweise die Deutsche Bahn, die Probleme mit den Anzeigetafeln und Ticketautomaten seit Tagen versucht wieder in den Griff zu kriegen.

Auf Grundlage dessen fordert Bundesminister Dobrindt ein schärferes IT-Sicherheitsgesetz und bringt eine Meldepflicht ins Spiel, damit Infrastrukturen besser geschützt werden. „IT-Störungen sollen zwingend dem Bundesamt für Sicherheit in der Informationstechnik gemeldet werden“.

Streit um das Facebook-Konto einer Verstorbenen

2. Mai 2017

Das Kammergericht Berlin hatte sich kürzlich in einem Verfahren mit der Frage zu beschäftigen, was mit dem Facebook-Konto – insbesondere den Login-Daten und Chats einer Person nach deren Tod passiert. Konkret ging es in dem Verfahren um ein 15-jähriges Mädchen, das aus bislang ungeklärten Umständen an einem Berliner U-Bahnhof verunglückt war und später ihren Verletzungen erlag.

Nachdem Facebook selbst das Konto der Verstorbenen bereits in den Gedenkzustand versetzt hatte, forderten die Eltern des Mädchens Facebook auf, ihnen die Login-Daten herauszugeben. Dadurch hofften sie, durch Hinweise im Facebook-Profil oder den Chats, herausfinden zu können, ob es sich bei dem Unfall möglicherweise um einen Suizid gehandelt habe. Weil Facebook die Herausgabe der Zugangsdaten unter Hinweis auf seine Nutzungsbedingungen verweigerte, klagten die Eltern der Verstorbenen vor dem Landgericht Berlin. Mit Urteil vom 17.12.2015 (Az. 20 O 172/15) entschied dieses, dass Facebook die Zugangsdaten an die Eltern herauszugeben habe. Als Begründung führte es damals an, dass nach herrschender Meinung zwischen dem Nutzer und Facebook ein Vertrag mit dienst- und mietvertraglichen Elementen bestehe und dieser im Rahmen der Gesamtrechtsnachfolge gemäß § 1922 BGB auf die Erben übergehe.

Etwas anderes könne sich nur dann ergeben, wenn der Gesamtrechtsnachfolge das postmortale Persönlichkeitsrecht und der Datenschutz der Verstorbenen entgegenstehen. Allerdings hatte das Landgericht Berlin geurteilt, dass das Bundesdatenschutzgesetz bei Verstorbenen nicht anzuwenden sei und auch nicht in das postmortale Persönlichkeitsrecht eingegriffen werde, wenn Facebook den Eltern der Verstorbenen die Zugangsdaten herausgeben würden. Es schütze mithin das Ansehen der Verstorbenen, als Sachwalter des Persönlichkeitsrecht seien allerdings die Eltern legitimiert, Informationen über die Internetnutzung ihrer Kinder zu erhalten. Dies würde zumindest für das Persönlichkeitsrecht von Minderjährigen gelten. Ob dies genauso für Volljährige gelte, hatte das Landgericht Berlin genauso offen gelassen, wie die Frage nach den Rechten Dritter, die mit der verstorbenen Person bei Facebook gechattet hatten und damit grundsätzlich darauf vertrauten, dass Nachrichten nur vom Facebooknutzer selbst und keinem Dritten gelesen würden.

Gegen das Urteil legte Facebook Berufung ein und so kam der Rechtsstreit nun vor das Kammergericht Berlin. Dieses regte nun zunächst einen Vergleich an, in dem es vorschlug, die Chat-Verläufe mit geschwärztem Namen an die Eltern herauszugeben. Offen ließ das Gericht dabei, ob die Chats papiergebunden oder digital herausgegeben werden müssen, sollten die Parteien mit dem Vergleich einverstanden sein. Die Parteien haben nun zwei Wochen Zeit, sich für oder gegen den Vergleich zu entscheiden. Sollten die Parteien das Vergleichsangebot ausschlagen, ist zur Klärung des Rechtsstreits eine höchstrichterliche Entscheidung durch den Bundesgerichtshof möglich.

Google bietet persönliche Standortfreigabe in Echtzeit an

28. April 2017

Google bietet seinen Nutzern eine neue Funktion des Live-Trackings an. Danach kann der Nutzer über Google Maps seinen aktuellen Standort in Echtzeit mit von ihm vorher ausgewählten Kontakten auf dem Smartphone oder dem PC teilen.

Aus datenschutzrechtlicher Perspektive ist das Abrufen der Standortdaten in Echtzeit, welche personenbezogene Daten nach dem Bundesdatenschutzgesetz (BDSG) darstellen, kritisch zu betrachten. Um eine Vereinbarkeit mit den Bestimmungen des BDSG zu erzielen, müsste der betroffene Nutzer vor Datenerhebung grundsätzlich darüber informiert werden, welche konkreten personenbezogenen Daten erhoben, gespeichert und für welche Zwecke genau verarbeitet werden. Auch muss den Nutzern die jederzeitige und einfach zu handhabende Löschung seiner  erhobenen personenbezogenen Daten ermöglicht werden.

Der Nutzer des Live-Trackings kann genau einstellen, welche Personen aus seiner Kontaktliste die Standortangaben angezeigt bekommen und den konkreten Zeitraum für die Freigabe festlegen sowie die Übermittlung jederzeit wieder deaktivieren. Die damit angebotene, zielgerichtete Freischaltung des Nutzers gegenüber einer bestimmten Person kann somit als Einwilligung in die Übermittlung der personenbezogenen Standortdaten angesehen werden. Zudem zeigt ein Symbol auf der eigenen Google Maps Karte dem Nutzer an, dass er seinen Standort gerade aktiv mit seinen Kontakten teilt.

Trotz dieser teilweisen datenschutzrechtlichen Konformität, ist davon asuzugehen, dass Google die zusätzlichen Datenangaben der Nutzer im Hinblick auf Sucheingaben nach Restaurants, Geschäften u.s.w. auswerten wird, um sein eigenes Angebot zu erweitern. Denn anhand von Standortdaten und Nutzerverhalten lassen sich immer mehr Informationen über den Nutzer gewinnen. Ob diese Anhäufung personenbezogner Daten von der Einwilligung des Nutzers im Rahmen von Googles Nutzungsbedingungen umfasst ist, bleibt daher stark zu bezweifeln.

Unroll.me verkauft Daten seiner Nutzer an Dritte

26. April 2017

Bei dem kostenlosen unroll.me handelt es sich um ein Programm, das das Email-Postfach seiner Nutzer aufräumt. Dazu werden beispielsweise Gmail-Konten nach Newslettern und Spam durchsucht, so dass diese im Anschluss abbestellt werden können.

Während ihrer Recherche-Arbeit über den Fahrdienstvermittler Uber ist die New York Times gleichzeitig auf die Praktiken von unroll.me aufmerksam geworden. Der Dienst nutzt den Zugriff auf die E-Mail-Konten seiner Nutzer neben dem Aufräumen nämlich auch dazu, Informationen über diese herauszufinden und sie anschließend anonymisiert weiter zu verkaufen.

Nutzer kritisieren den Verkauf ihrer Daten und argumentieren, dass auch ihre nicht-personenbezogenen Daten Rückschlüsse auf sie zuließen.

Der Gründer und Geschäftsführer von unroll.me, Jojo Hedaya, verweist in einer Stellungnahme auf seinem Blog ausdrücklich auf die Datenschutzbestimmungen seines Dienstes, in denen darauf hingewiesen wird, dass unroll.me nicht-personenbezogene Daten seiner Nutzer sammeln, nutzen, übertragen, verkaufen und offenlegen darf. Er versichert jedoch, dass unroll.me nicht auf die persönlichen Daten zugreift und diese dementsprechend auch nicht veröffentlicht oder verkauft werden.

Zum Abschluss verspricht er, dass die Praktiken für die Nutzer in Zukunft deutlicher zu erkennen sein sollen, als dies bisher in den Datenschutzbestimmungen der Fall ist.

Zwei-Faktor-Authentifizierung durch Geräusche-Vergleich

25. April 2017

Die inzwischen sehr stark verbreiteten mehrstufigen Authentifizierungssysteme sollen dafür sorgen, dass eine Anmeldung bei Internet-Diensten und damit auch eine Übermittlung von personenbezogenen Daten im Internet sicher ablaufen kann. Jedoch erzeugen die etwas mühsamen Arten der Anmeldung beim Nutzer häufig Unmut, und so nutzt noch immer ein Großteil der User ein und dasselbe Passworte für eine Vielzahl von Konten.

Ein Start-Up-Unternehmen von Angehörigen der ETH Zürich, die Futurae Technologies AG, hat nun eine Methode entwickelt, wie der Login im Internet in Zukunft auf eine simple Art und Weise sicherer gestaltet werden kann: Sie ließen sich mit “#SoundProof” ein Produkt patentieren, das ein schnelles und sicheres Authentifizierungs-Verfahren ermöglicht. Es benötigt lediglich zwei elektronische Geräte mit Mikrofon, auf denen die entwickelte App läuft, um sodann deren Hintergrundgeräusche miteinander zu vergleichen. Stellt es durch Aufnahme der Umgebungsgeräusche für die Dauer von drei Sekunden sicher, dass sich beide Geräte im gleichen Raum befinden, erfolgt die Authentifizierung. Der große Vorteil bei dieser Methode im Vergleich zu bekannten Zwei-Faktor-Authentifizierungen ist, dass der Nutzer das zweite Gerät nicht bedienen muss, es kann sogar etwa im Nebenraum verbleiben, vorausgesetzt, die Türen zwischen den Räumen sind geöffnet. Die Tonaufnahmen bleiben dabei lokal auf dem jeweiligen Gerät, übermittelt wird lediglich das Ergebnis der Auswertung.

Futurae Technologies führt bereits heute Pilotprojekte u. a. bei Schweizer Banken durch.

Spam-Mails von DHL im Umlauf

7. April 2017

Die Polizei Niedersachsen hat eine Pressemitteilung herausgegeben, in der sie vor betrügerischen E-Mails im Design von DHL warnt.

DHL verschickt nicht nur Pakete über den Postweg, sondern auch dazugehörige Mitteilungen die den Empfänger über den Tag der Lieferung informieren. Diese Mitteilungen werden momentan von Betrügern genutzt. Die Täter geben sich als der Paketdienst aus und verschicken im Namen des Versandriesen gefälschte E-Mails die eine Schadsoftware enthalten.

Die E-Mails haben den Betreff “Ihr DHL Paket kommt am…“. Wenn der Empfänger diese Mail öffnet und den darin enthaltenen Link anklickt, um die Sendungsverfolgung zu öffnen wird er auf Internetseiten weitergeleitet, die eine Schadsoftware in Form eines Javascripts enthalten.

Die gefälschten E-Mails können Nutzer an der Optik feststellen. Die Umlaute werden nicht richtig angezeigt und auch der Link zur Sendungsverfolgung kann bestenfalls als kryptisch bezeichnet werden. Es wird empfohlen den Link nicht zu öffnen, zudem ruft die Polizei Niedersachsen Betroffene auf eine Anzeige bei der örtlichen Polizei zu erstatten.

Britische Innenministerin fordert Zugriffsmöglichkeiten auf Messenger-Apps

5. April 2017

Nicht zuletzt aufgrund des Terroranschlages in London vor rund einer Woche äußerte sich die britische Innenministerin Amber Rudd in einem TV-Interview mit dem BBC kritisch zu den fehlenden Zugriffsmöglichkeiten auf verschlüsselnde Messenger-Apps wie WhatsApp. “Früher hat man Briefumschläge mit Dampf geöffnet oder Telefone abgehört, wenn man herausfinden wollte, was Leute taten, auf legale Weise, mit richterlichen Beschlüssen, aber in dieser Situation müssen wir sicherstellen, dass unsere Geheimdienste die Möglichkeit haben, Dinge wie verschlüsseltes WhatsApp zu durchdringen.”

Vor dem Hintergrund, dass Attentäter eines Terroranschlags oftmals im Vorhinein mit Mitwissern oder Mittätern mit Hilfe der Messenger-Apps kommunizieren – Berichten zufolge so auch vor dem Terroranschlag in London – sei es “vollkommen inakzeptabel”, dass Sicherheitsbehörden die Nachrichten der Apps nicht einsehen können. Hierbei ginge es ihr nicht um die Möglichkeit auf alle Chat-Nachrichten zuzugreifen, sondern um “vorsichtig durchdachte, gesetzlich abgesicherte Vereinbarungen”. Bestenfalls strebe sie es an, dass die App-Hersteller freiwillig mit der britischen Regierung zusammenarbeiten und damit keine Gesetze nötig wären. Rudd kündigte an, sich mit ihrem Anliegen an die Unternehmen zu wenden.

Darüber hinaus forderte sie die Unternehmen auf, extremistische Veröffentlichungen bereits vor der Veröffentlichung wirksamer zu blockieren. “Die Firmen kennen die Technik und die Hashtags am besten, um zu verhindern, dass dieses Zeug online geht, nicht nur, um es nachträglich zu sperren”. Auch an diesem Punkt bevorzuge sie eine freiwillige Vereinbarung mit dem Firmen, anstatt neue Gesetze einzuführen. Kritisch sehe sie daher die vom deutschen Justizminister Heiko Maas geplanten hohen Geldstrafen für Plattformbetreiber, die illegale Inhalte nicht schnell löschen.

 

iCloud-Account Fernlöschung durch Erpresser am 7.April 2017

29. März 2017

Unbekannte Erpresser drohen Apple, dass sie iCloud-Accounts aus der Ferne löschen, wenn Apple die geforderte Summe in bitcoins nicht zahlt.

Die Erpresser nennen sich “Turkish Crime Family“ und behaupten sie seien im Besitz von mehreren hundert Millionen iCloud-Zugangsdaten, wie ZDNet berichtet.

Mit Hilfe dieser Zugangsdaten lässt sich die iCloud-Fernortungsfunktion aktivieren. Durch diese Funktion lassen sich Apple-Geräte orten, aus der Ferne sperren und löschen. Wie die Angreifer an diese Daten gekommen sind ist fraglich, denn Apple betonte bereits, dass kein Einbruch in iCloud vorliegt. Allerdings lässt sich die Echtheit anhand einer übermittelten Liste überprüfen.

Was kann der Apple-Nutzer, gegen die Ankündigung der Erpresser eine Fernlöschung des iCloud-Accounts am 7.April vorzunehmen, tun?  Die Nutzer sollten das Passwort ihrer Apple-ID ändern und kein Passwort benutzen, dass sie bereits anderswo nutzen. Zudem sollte das iOs-Backup auf den aktuellsten Stand gebracht werden, sodass falls etwas passiert die gelöschten Daten wieder aufgespielt werden können. Außerdem kann die Funktion “Mein iPhone suchen“ abgeschaltet werden. Das führt zwar dazu, dass das iPhone nicht mehr von Dritten gelöscht werden kann, aber auch der Nutzer selbst kann es im Falle eines Verlustes nicht mehr aufspüren und aus der Ferne löschen.

Datenschutzbeauftragte: Datenschutz als Bildungsauftrag

20. März 2017

Die Landes-Datenschutzbeauftragte Niedersachens Barbara Thiel hat ein eigenständiges Schulfach Medienkompetenz gefordert. Der Ansatz des Kultusministeriums in Hannover, das Thema in alle Unterrichtsfächer zu integrieren, reiche nicht aus, sagte die Behördenleiterin der Deutschen Presse-Agentur. “Jugendliche unterschätzen die Gefahren mobiler Medien und gehen zu leichtfertig mit ihren persönlichen Daten um”. Dies gehe nicht nur aus Studien hervor, die belegten, dass deutsche Schüler im europäischen Vergleich beim Umgang mit Computern hinterherhinkten.

Ziel des Unterrichtsfaches Medienkompetenz sei es, den Kindern und Jugendlichen aufzuzeigen, dass sie die Herrschaft über ihre Daten verlieren können, wenn sie ins Internet gehen. Dabei fehle es nicht nur bei den Kindern und Jugendlichen an der nötigen Aufklärung, sondern auch bei einem Großteil der erwachsenen Bevölkerung. “Datenschutz ist ein Bildungsauftrag, damit muss man eigentlich schon im Kindergarten anfangen.” Als mögliche “Lehrer” nannte Thiel Medienscouts, die heute schon in den Schulen beraten und dies gemeinsam mit Datenschützern machen könnten.

Die Schüler sollten vor allem Antworten auf Fragen wie “Wozu ist mein Gerät in der Lage und was macht es mit mir?” erhalten. Ein weiteres Thema sei der Selbstdatenschutz: Den Schüler sollten technische Möglichkeiten aufgezeigt und erklärt werden, wie sie sich selbst schützen und absichern können.

 

Die E-Privacy-Verordnung

15. März 2017

Wir berichteten bereits Anfang des Jahres über den offiziellen Entwurf der E-Privacy-Verordnung. Dieser wurde am 10. Januar 2017 veröffentlicht. Nachdem er im November bereits geleakt wurde.

Die E-Privacy-Verordnung soll die EU-Datenschutzgrundverordnung (DSGVO) ab Mai 2018 ergänzen und parallel zu dieser in Kraft treten. Die Notwendigkeit einer ergänzenden Verordnung liegt darin, dass es in den verschiedenen Mitgliedsstaaten der EU unterschiedliche Regelungen gibt. Deutlich wird dies am Beispiel der Cookies. In Deutschland gilt die sogenannte Opt-Out Regelung, diese benötigt keine aktive Zustimmung des Nutzers, wohingegen in anderen Ländern die Opt-In Regelung genutzt wird. Bei Opt-In werden umfassende Informationen an den Nutzer heran getragen und es Bedarf einer aktiven Einverständniserlärung.

Die E-Privacy-Verordnung wird die E-Privacy-Richtlinie (RL 2002/58/EG) und die Cookie-Richtlinie (RL 2009/136/EG) ersetzen. Zweck der neuen Verordnung ist die Anpassung der elektronischen Kommunikation an das Schutzniveau der DSGVO, zudem soll das Vertrauen der Bürger in den digitalen Binnenmarkt gestärkt werden.

Die neue Verordnung ist, ähnlich wie die DSGVO, nicht abschließend, sondern enthält Öffnungsklauseln. Demnach steht dem nationalen Gesetzgeber Spielraum für Regelungen zur Verfügung.

Die E-Privacy-Verordnung erweitert den sachlichen Anwendungsbereich deutlich. Es sind nunmehr nicht mehr nur die klassischen Telekommunikationsanbieter von der Verordnung erfasst, sondern auch die sogenannten “Over-The-Top-Dienste” (OTT). Zu diesen zählen beispielsweise WhatsApp, Skype und Facebook.

Bemerkenswert sind auch die Neuerungen.

So wird bei Cookies in Zukunft differenziert zwischen Cookies die keine Auswirkung auf die Privatsphäre des Nutzers haben und solchen die für die Privatsphäre des Nutzers relevant sind. Erstere bedürfen keiner vorherigen Information und auch keiner Einwilligung des Nutzer. Letzere dürfen nur nach ausdrücklicher Zustimmung des Nutzer benutzt werden. Dies lässt sich über die, bereits aus der DSGVO bekannten, ‘benutzerfreundlichen Voreinstellungen’ im Web-Browser realisieren. Dort kann der Nutzer die Zustimmung in allgemeiner Form für solche Arten von Cookies erteilen und muss diesen nicht bei jedem Besuch auf einer Website separat zustimmen. Die Betreiber von Web-Browsern sind folglich in der Pflicht die Browser so zu updaten, dass dem Nutzer eine solche Voreinstellung ab Mai 2018 zur Verfügung steht.

Auch das Direktmarketing wird erneuert. Sowohl via E-Mail als auch was das Telefonmarketing betrifft gilt ab in Kraft treten der Verordnung, dass Marketing nur noch nach vorheriger Einwilligung erlaubt ist. Eine Ausnahme betrifft die bereits bestehenden Kundenbeziehungen. Bei diesen darf solange weiter Marketing betrieben werden, bis der Kunde einen Widerspruch dagegen tätigt.

Betreiber von Websites, die sich über Werbung finanzieren, dürfte die folgende Neuerung freuen. Betreiber dürfen prüfen, ob der Nutzer einen Adblocker verwendet und wenn dem so ist, dürfen sie ihm den Zugang zur Website versagen.

Zudem wurden auch die Bußgelder erhöht. Diese wurden an die Höhe der Bußgelder in der DSGVO angepasst. Das bedeutet, dass bei Verstößen gegen die Verordnung demnächst Bußgelder bis 20.000.000,00€ oder bis zu 4% des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres fällig werden können.

Es bleibt allerdings noch abzuwarten, ob die Verordnung in dieser Form auch wirklich im Mai 2018 in Kraft tritt, oder ob noch entscheidende Änderungen an dem Entwurf vorgenommen werden.

1 44 45 46 47 48 90