Kategorie: Tracking

E-Privacy Verordnung aus Sicht von Politik und Wirtschaft

20. September 2017

Im Mai 2018 tritt neben der europäischen Datenschutzgrundverordnung (DSGVO) auch die sog. E-Privacy-Verordnung in Kraft. Sie ergänzt die DSGVO in Hinsicht auf elektronische Kommunikation. Bereits im Januar berichteten wir über den Entwurf der E-Privacy-Verordnung („Proposal for a Regulation on Privacy and Electronic Communications„, offizieller Entwurfstext) vom 10. Januar 2017.
Im März stellten wir das Wesen, den Anwendungsbereich und wesentliche Neuerungen (z.B. bei Cookies) in einem weiteren Beitrag zur E-Privacy-Verordnung dar.

Ein zentraler Regelungsbereich der E-Privacy-Verordnung betrifft Cookies. Zukünftig sollen die für Verbraucher störenden und für Webseitenbetreiber unansehnlichen Cookie-Warn-Banner obsolet werden.
Mozilla Firefox, Google Chrome oder der Internet Explorer holen ab Mai 2018 die Einwilligungen für das Erheben der Browserdaten ein – und zwar durch „benutzerfreundliche Voreinstellungen“ im Einklang mit den DSGVO-Grundsätzen Privacy by Design und Privacy by Default.
Führende Verlage Deutschlands, so DIE ZEIT, die Süddeutsche und die F.A.Z., äußerten sich kritisch gegenüber der geplanten Cookie-Einstellungen im Browser, wie wir im Mai schilderten. Die Neuregelung begünstige US-Konzerne zu Lasten des Werbefinanzierungsmodells im Nachrichtenmarkt.

Auf der Privacy-Konferenz des Digitalverbands Bitkom am 19. September äußerten sich Vertreter aus Wirtschaft und Politik zur Thematik. Jan Philipp Albrecht, stellvertretender Vorsitzender für Inneres und Justiz der Grünen im EU-Parlament, betonte die Notwendigkeit eines Europäischen Binnenmarkts für elektronische Kommunikation. Die Politik stehe in der Pflicht, nachdem die bisherige Cookie-Einwilligung und Do-Not-Track gescheitert seien. Er begrüßte die geplanten Browser-Voreinstellungen für Cookies grundsätzlich, soweit sie datenschutzfreundlich ausgestaltet werden. Auch Lokke Moerel von der Kanzlei Morrison & Foerster begrüßte die Cookie-Einwilligung durch Browsereinstellungen und fordert vom Gesetzgeber lange Umsetzungsfristen für die Browseranbieter. Da große Datenmengen in der Hand weniger US-Browseranbieter seien, schlug Dirk Woywod von der Bundesdruckerei eine Zertifizierung der Browser vor. Jan Lichtenberg von der Deutschen Telekom bemängelte das Fehlen von Möglichkeiten zur Pseudonymisierung im E-Privacy-Entwurf.

Es bleibt abzuwarten wie die endgültige Fassung der E-Privacy-Verordnung aussehen wird. Das Tracking von Nutzerdaten ist und bleibt ein wichtiges Thema nicht nur für den E-Commerce, da es jeden Webseitenbetreiber betrifft. Bei Neuigkeiten werden wir Sie gerne an dieser Stelle informieren.

 

Uber überwachte Fahrgäste über das Fahrtende hinaus

31. August 2017

Der Taxidienst Uber hat seine Nutzer mit dem sogenannten Post-Trip-Tracking bis zu fünf Minuten nach Fahrtende via GPS überwacht.

Uber ist im Moment dabei sein Image was den Datenschutz angeht aufzupolieren. Im Zuge dessen wird seit dieser Woche eine Maßnahme nicht mehr genutzt. Mit dem Post-Trip-Tracking konnte Uber noch fünf Minuten nach der Fahrt sehen wohin sich der gerade ausgestiegene Fahrgast bewegt.

Die Begründung des Unternehmens, welche auf massive Kritik folgte, ist, dass sichergestellt werden sollte, dass die Fahrgäste auch wirklich an ihrem Ziel ankommen und nicht überfallen werden. Wie ein solcher Überfall hätte verhindert werden sollen, wenn es dazu gekommen wäre, wird von Uber nicht beantwortet.

Bis zum Update war es so, dass Uber den Fahrgast via GPS auch tracken konnte, wenn die App nur im Hintergrund lief, um dies zu verhindern musste die Anwendung komplett geschlossen werden. Seit dieser Woche wird die GPS-Position nur noch erfasst, wenn die Anwendung im Vordergrund ist.

Allerdings bedeutet das nicht, dass es zukünftig dabei bleibt. Bis November letzten Jahres bestand die Möglichkeit das GPS-Tracking im Hintergrund durch App-Einstellungen zu unterbinden, diese Möglichkeit wurde durch ein Update entfernt und es kam zu dem Zustand wie er bis zu diesem Update herrschte. Der Sicherheitschef von Uber Joe Sullivan hat jedoch gegenüber Reuters klargestellt, dass es zu einem Hop oder Top wie zuletzt nicht mehr kommen werde, sondern das wieder der Nutzer entscheiden kann, ob er das Post-Trip-Tracking aktiviert, wenn es eine erneute Änderung diesbezüglich gibt.

Das Update wird zunächst nur für iPhone-Nutzer verfügbar sein. Ein Update für Android-Nutzer soll zeitig folgen.

Kategorien: Tracking
Schlagwörter: ,

ePrivacy-Verordnung: Verlage wehren sich gegen Cookie-Banner im Browser

30. Mai 2017

In Ergänzung zur EU-Datenschutzgrundverordnung (DSGVO), wird 2018 die ePrivacy-Verordnung in Kraft treten. Dabei sollen nach dem mit der DSGVO eingeführten Privacy-by-Design-Grundsatz, die Cookie-Banner nach der EU-Kommission zukünftig nicht mehr auf jeder Website, sondern in den Browsern auftauchen. Privacy-by-Design soll die Berücksichtigung des Daten- bzw. des Persönlichkeitsrechtsschutzes bereits in der Phase der Technikentwicklung sicherstellen. Browser-Hersteller müssen demnach alle technischen Voreinstellungen Privatsphäre-freundlich ausgestalten. Damit erfolgt die Einwilligungserklärung der Nutzer zur Datenerhebung zukünftig zentral.

Deutschlands führende Verlage äußerten sich in einem offenen Brief an das EU Parlament kritisch gegenüber dieser neuen Regelung, denn sie befürchten damit keinen Zugriff mehr auf die für ihr Geschäft notwendigen Nutzerdaten zu haben. Zudem, so argumentieren u.a. die Zeit, die Süddeutsche und die F.A.Z., würden die neuen Regelungen die browsermarktführenden US-Internetkonzerne wie Google, Apple oder Microsoft weiterhin begünstigen. Diese bekämen noch mehr Einfluss auf den Nachrichtenkonsum der Verbraucher und auf das ob und wie der Zugriffsfreigabe von Verbraucherdaten gegenüber den Verlagen. Damit besteht zudem die Gefahr, dass der Nutzer die Kontrolle über seine Daten zunehmend verliert womit ein Verstoß gegen das datenschutzrechtliche Transparenzgebot vorliegt.

Darüber hinaus kann der Regelungsentwurf zu Lasten des digitalen Nachrichtengeschäftes dazu führen, dass kaum noch Nutzer dem Datentransfer zustimmen. Soweit die Verlage nicht mehr auf sogenannte Third-Party-Cookies zugreifen können, kann außerdem die Möglichkeit der Verlage, den Nutzern relevante Inhalte und Werbung anzuzeigen, und damit das Werbefinanzierungsmodell von Nachrichten, behindert werden.

Auch aus Datenschutzkreisen wird der neue Regelungsentwurf kritisiert. So monierten die Datenschützer der Artikel-29-Gruppe, dass mit dem neuen Regelungsentwurf der Einwilligungserklärung der Nutzer nach vorheriger Belehrung entgegen gewirkt werde. Die Datenschützer setzten sich dafür ein, unterschiedliche Tracking-Ziele gesondert freischalten zu lassen. Demnach würden z.B. die für Werbung genutzten Daten, von solchen Daten, die der Navigationsverbesserung auf Websites dienen, getrennt werden.

Französische Datenschutzbehörde verhängt Strafe gegen Facebook

17. Mai 2017

Wegen der „massiven Kombination“ von Nutzerdaten, der nicht widersprochen werden kann, hat die französische Datenschutzaufsichtsbehörde CNIL gegen Facebook eine Strafe in Höhe von 150.000 Euro verhängt. Damit meint die CNIL die Praxis von Facebook, die Daten der Nutzer so zu verknüpfen, dass diese gezielt mit Werbung angesprochen werden können, ohne das sich der Nutzer hiergegen wehren kann. Auch die Möglichkeit des Nutzers, dem Tracking durch Cookies zu widersprechen gäbe es nicht.

Nach Ansicht der französischen Datenschutzaufsichtsbehörde sei auch die Datenschutzerklärung nur ungenügend. So informiere Facebook die Nutzer nur unzureichend darüber, dass es auf anderen Webseiten Daten zum Surfverhalten selbst von solchen Internetnutzern sammle, die kein Konto bei dem Online-Netzwerk haben. Ferner hole das Social-Media-Unternehmen nicht die ausdrückliche Einwilligung seiner Nutzer ein, wenn diese in ihrem Profil sensible Daten, wie z.B. zu politischen und religiösen Einstellungen oder zur sexuellen Orientierung angeben.

Zur verhängten Strafe kam es erst, nachdem die CNIL Facebook im Januar 2006 aufgefordert hatte, sich an die geltenden französischen Vorschriften zu halten, Facebook dieser Forderung aber nicht innerhalb der vorgesehenen drei Monate in zufriedenstellendem Maße nachkam. Dabei ist zu beachten, dass die Strafe in Höhe von 150.000 Euro die höchstmögliche Strafe ist, die die CNIL verhängen kann. Gegen die Strafe kann Facebook innerhalb von vier Monaten Einspruch beim Staatsrat, dem obersten Verwaltungsgericht Frankreichs, einlegen.

Das Verfahren und die nun verhängte Strafe ist Teil von gemeinsamen Untersuchungen des Datenschutzes bei Facebook der Datenschutzbehörden Frankreichs, Deutschlands, der Niederlande, Belgiens sowie Spaniens. Im November 2014 hatte Facebook angekündigt, seine Datenschutzrichtlinien und dem Umgang mit den Cookies zu überarbeiten. Daraus resultierte unter anderem, dass Nutzerdaten zwischen WhatsApp und Facebook nicht ausgetauscht werden dürfen.

 

Google bietet persönliche Standortfreigabe in Echtzeit an

28. April 2017

Google bietet seinen Nutzern eine neue Funktion des Live-Trackings an. Danach kann der Nutzer über Google Maps seinen aktuellen Standort in Echtzeit mit von ihm vorher ausgewählten Kontakten auf dem Smartphone oder dem PC teilen.

Aus datenschutzrechtlicher Perspektive ist das Abrufen der Standortdaten in Echtzeit, welche personenbezogene Daten nach dem Bundesdatenschutzgesetz (BDSG) darstellen, kritisch zu betrachten. Um eine Vereinbarkeit mit den Bestimmungen des BDSG zu erzielen, müsste der betroffene Nutzer vor Datenerhebung grundsätzlich darüber informiert werden, welche konkreten personenbezogenen Daten erhoben, gespeichert und für welche Zwecke genau verarbeitet werden. Auch muss den Nutzern die jederzeitige und einfach zu handhabende Löschung seiner  erhobenen personenbezogenen Daten ermöglicht werden.

Der Nutzer des Live-Trackings kann genau einstellen, welche Personen aus seiner Kontaktliste die Standortangaben angezeigt bekommen und den konkreten Zeitraum für die Freigabe festlegen sowie die Übermittlung jederzeit wieder deaktivieren. Die damit angebotene, zielgerichtete Freischaltung des Nutzers gegenüber einer bestimmten Person kann somit als Einwilligung in die Übermittlung der personenbezogenen Standortdaten angesehen werden. Zudem zeigt ein Symbol auf der eigenen Google Maps Karte dem Nutzer an, dass er seinen Standort gerade aktiv mit seinen Kontakten teilt.

Trotz dieser teilweisen datenschutzrechtlichen Konformität, ist davon asuzugehen, dass Google die zusätzlichen Datenangaben der Nutzer im Hinblick auf Sucheingaben nach Restaurants, Geschäften u.s.w. auswerten wird, um sein eigenes Angebot zu erweitern. Denn anhand von Standortdaten und Nutzerverhalten lassen sich immer mehr Informationen über den Nutzer gewinnen. Ob diese Anhäufung personenbezogner Daten von der Einwilligung des Nutzers im Rahmen von Googles Nutzungsbedingungen umfasst ist, bleibt daher stark zu bezweifeln.

Neue Regelungen zur Vorratsdatenspeicherung widersprechen europarechtlichen Vorgaben

6. Februar 2017

Wie die Mitteldeutsche Zeitung (MZ) berichtet kommt ein Gutachten des Wissenschaftlichen Dienstes des Bundestages, welches der Zeitung vorliegt, zu dem Ergebnis, dass die neuen Regelungen zur Vorratsdatenspeicherung, welche Ende 2015 in Kraft traten, nicht mit europarechtlichen Vorgaben vereinbar sind.

Europarechtlich sind die Regelungen nicht haltbar, weil sie gegen Vorgaben des Europäischen Gerichtshofs (EuGH) verstoßen. Wie der EuGH jüngst wieder bekräftigte ist die Speicherung von Vorratsdaten nur bei Vorliegen einer schweren Straftat zulässig und nicht vorbehaltlos, wie das Gesetz es vorsieht.

Laut hiesigem Gesetz müssen Zugangsanbieter Verbindungsinformationen zehn Wochen und Standortdaten vier Wochen speichern und zwar von allen Nutzern, es entsteht ein Generalverdacht gegen jeden. Lediglich E-Mails werden nicht gespeichert.

Anderer Meinung ist Bundesjustizminister Heiko Maas (SPD) der fortlaufend betonte, dass die Regelungen der höchstrichterlichen Rechtsprechung vollumfänglich gerecht werden.

Die Gegner der Vorratsdatenspeicherung befürchten einen unverhältnismäßigen Eingriff in die Grundrechte. Es wurden bereits Verfassungsbeschwerden gegen die neuen Regelugen eingereicht in der Hoffnung, dass das Bundesverfassungsgericht auch dieses Mal den Bedenken zustimmt und hohe Maßstäbe für die Vorratsdatenspeicherung anlegt, sodass ein Gang zum EuGH vermieden werden kann.  In der Vergangenheit wurden durch die Speicherungsgegner bereits mehrere Verfassungsbeschwerden erhoben und das Vorgängergesetz wurde vom Bundesverfassungsgericht als verfassungswidrig gekippt.

Datenschutz bei Wearables mangelhaft

7. Dezember 2016

Datenschutzaufsichtsbehörden aus Bayern, Brandenburg, Hessen, Niedersachsen, Nordrhein-Westfalen und Schleswig-Holstein sowie die Bundesdatenschutzbeauftragte haben sog. Wearables einer besonderen Prüfung unterzogen.

Das Ergebnis: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Insbesondere wurden Geräte wie Fitness-Armbänder oder Activity-Tracker, die Körperaktivitäten wie Schrittzahl, Herzfrequenz, Schlafrhythmus oder Körpertemperatur erfassen, unter die Lupe genommen. Wie aus einer gemeinsamen Pressemitteilung der Aufsichtsbehörden hervorgeht, wurde vor allem überprüft, welche Daten die Wearables erheben und ob die Daten an Dritte weitergegeben werden sowie die Gewährleistung von Auskunfts- und Löschungsansprüche durch den Anbieter. Im Einzelnen fanden sie dabei heraus, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen, wobei unklar bliebe, was dort mit den Daten im Einzelnen geschehe. Ferner erfüllen bereits die Datenschutzbestimmung meistens nicht die gesetzlichen Anforderungen, d. h. die Nutzer werden über Funktionalität der Geräte und Umfang der Datenverarbeitung gar nicht ausreichend informiert. Die Unsicherheit endet auch nicht bei Verkauf oder Verlust des Geräts, denn viele Geräte bieten keine Möglichkeit, Daten selbstständig vollständig zu löschen. Auch sei unklar, wie lange die Daten bei Hersteller oder Betreiber gespeichert werden.

Die Aufsichtsbehörden kündigten nun an, innerhalb ihrer Zuständigkeiten die Hersteller aufzufordern, die Mängel zu beseitigen.

Browser-Plugins protokollieren Surfverhalten

23. November 2016

Installierte Browser-Plugins (auch Add-ons genannt) wie Web of Trust und Proxtube protokollieren das Surfverhalten von Anwendern, um die gesammelten Daten anschließend zu verkaufen. Diese Daten können die intimsten Seiten eines Nutzers aufdecken und sind für die Werbeindustrie hoch interessant, um dem Surfer maßgeschneiderte Werbung zu präsentieren.

Zuerst ist das Add-on Web of Trust als Datenschutzrisiko entdeckt worden. Web of Trust war ein Add-on, dass das Surfen sicherer machen sollte. In den Datenschutzrichtlinien des Unternehmens wurde auf das Sammeln von Daten und die Weitergabe an Dritte hingewiesen und mitgeteilt, dass die Daten anonymisiert werden. Dies ist jedoch, wie der NDR schon Anfang des Monats aufdeckte, nicht der Fall. Nach Aufdeckung der Missstände ist Web of Trust inzwischen aus dem Plugin-Verzeichnis von Mozilla verschwunden, sodass diesbezüglich keine Gefahr mehr besteht.

Proxtube hingegen gibt es immer noch. Proxtube ist dafür da, die GEMA-Sperre bei Youtube-Musikvideos zu umgehen. Ob jeder Schritt des Nutzers dokumentiert wird oder ob dafür eine bestimmte Konfiguration erforderlich ist, ist bisher nicht abschließend geklärt.

Was kann der Nutzer tun? Grundsätzlich können installierte Add-ons gelöscht werden, das ist nicht nur vorteilhaft um dem Datenausspähen entgegen zu wirken, sondern durch jedes Add-on wird auch der Browser verlangsamt. Bezüglich Proxtube ist zu sagen, dass mit Beilegung des Rechtsstreits zwischen der GEMA und Youtube und der daraus folgenden Abschaffung der GEMA-Sperre, für das Plugin ohnehin kein Bedarf mehr besteht. Der Anwender sollte sich vor Installation eines Add-ons also die Fragen stellen, ob es wirklich benötigt wird und wie sich kostenlose Dienste finanzieren.

Pokémon Go – Entwickler Niantic abgemahnt

28. Juli 2016

Das Spiel Pokémo Go ist nun schon seit einiger Zeit in aller Munde bzw. Hände. Während die Spieler, bei denen von Teenagern bis Frührentnern alle Altersgruppen vertreten sind, die kleinen Monster jagen, beschäftigen sich Daten- und Verbraucherschützer mit den rechtlichen Nebenwirkungen der App.

So hat der Bundesverband der Verbraucherzentrale (vzbv) bereits das kalifornische Unternehmen Niantic, das die App entwickelt hat, abgemahnt. Ingesamt 15 Klauseln der umfangreichen Nutzungs- und Datenschutzbestimmungen verstoßen nach Ansicht ds vzbv gegen deutsches Recht.

Kritisch sieht der vzbv insbesondere, dass durch die verpflichtende Angabe personenbezogener Daten im Rahmen der Anmeldung ein anonymes Spielen so gut wie unmöglich sei. Darüber hinaus gebe Niantic keinen konkreten Zweck der Datennutzung an und behalte sich vor, die Nutzerdaten an beliebige unbeteiligte Dritte zu übermitteln.

Der vzbv hat Niantic nun aufgefordert, bis zum 09. Augsut eine strafbewehrte Unterlassungserklärung hinsichtlich der Verwendung der 15 abgemahnten Klauseln abzugeben.

Dass die Nutzung von Pokémon Go nicht nur datenschutzrechtliche sondern auch tatsächliche Risiken birgt, hat kürzlich ein Vorfall in Niedersachsen gezeigt. Wie heise online berichtet, waren dort drei Spieler auf der Jagd nach den Monstern auf einem Truppenübungsplatz gelaufen, auf dem gerade mit scharfer Munition geschossen wurde.

Facebook implementiert „Local Awareness“-Funktion

23. Juni 2016

Eine neue Funktion im sozialen Netzwerk Facebook bietet Dienstleistern neuerdings die Möglichkeit ihren tatsächlichen Erfolg von Werbeanzeigen in dem Netzwerk zu verifizieren. Hierbei können die Händler ihre Angebote auf Facebook mit einem geographisch definierten Gebiet verbinden. Bekommt anschließend ein Nutzer einer Werbeanzeige angezeigt und betritt mit eingeschalteter Ortungsfunktion im Mobilfunkgerät ein Geschäft des Händlers in dem Gebiet, wird dies durch Facebook registriert. Zudem sollen mit Hilfe von Programmierschnittstellen zwischen den Kassensystemen der Händler und Facebook tatsächlich getätigte Einkäufe erfasst werden können. Facebook gab an, dass die Händler die Kunden jedoch nicht einzeln erfassen könnten.

1 2 3 5