Yahoo: Hackerangriff aus 2013 betraf mehr als drei Milliarden Nutzer

5. Oktober 2017

Der Hackerangriff auf den US-Internetanbieter Yahoo im Jahr 2013 hat nach Medienangaben alle drei Milliarden Nutzer getroffen – und somit zwei Milliarden mehr als bisher bekannt. Die Betroffenen würden per Email informiert, teilte das Unternehmen mit. Zugleich versicherte Yahoo, dass die Hacker weder Passwörter noch Bankdaten entwendet hätten. Yahoo war Anfang des Jahres von dem US-Telekommunikationskonzern Verizon übernommen worden. Danach wurden das Ausmaß und die Umstände der Cyberattacke von 2013 noch einmal überprüft.

Kategorien: Hackerangriffe
Schlagwörter: ,

Analyse medizinischer Daten – zukünftig möglich oder weiterhin durch das Datenschutzrecht unantastbar?

Bisher war eine umfangreiche Datenanalyse innerhalb der Medizin nahezu unmöglich. Grund dafür ist, dass medizinische Daten innerhalb des Datenschutzes eine besondere Art der personenbezogenen Daten darstellen. Diese Daten rechtskonform für eine Analyse nutzbar zu machen setzt dabei eine Anonymisierung der Daten voraus.

Da eine Analyse medizinischer Daten ein großes Potenzial aufweist und durchaus zu einer besseren medizinischen Entwicklung beitragen kann, hat ein deutsches Start-up Unternehmen eine Methode entwickelt die sensitiven Personendaten zu anonymisieren.

Mittels Algorithmen wird dabei eine Systematik der Daten erstellt ohne diese einem speziellen Patienten zuordnen zu können. Das Ergebnis ist eine Ansammlung von rein synthetischen Daten, die der bald wirksamen Datenschutzgrundverordnung nicht unterliegen.

Trotz sinkender Qualität der Daten überwiegen die Möglichkeiten die sich für Unternehmen daraus bilden. Unternehmen soll dabei die Entwicklung neuer Geschäftsmodelle durch Analyse der Daten zusammen mit Partnern ermöglicht werden. So sollen zukünftig alle Bereiche personenbezogener Daten erschlossen werden, ohne die Privatsphäre der Patienten oder Kunden zu beeinträchtigen.

Bezüglich der Frage, welchen Auflagen eine derartige Synthese von Daten zukünftig unterliegen wird, debattieren Juristen und Datenschutzbeauftragte derzeit.  Ob eine vollständige sowie fehlerfreie Synthese unabhängig von der Datenschutzgrundverordnung durchgeführt werden kann, bleibt jedoch abzuwarten.

Kategorien: Allgemein · Gesundheitsdatenschutz
Schlagwörter: ,

USA: Datenspeicherung von Einwanderern zukünftig auf Onlinesuchen und Social Media erweitert

29. September 2017

Die Trump-Regierung verstärkt ihren Überwachungskurs gegenüber Einwanderern nun auch im Internet. Die Datenerhebung und -speicherung von Einwanderern in die USA soll nach Angaben des US-Heimatschutzministeriums weiter angezogen werden. So sollen ab dem 18. Oktober 2017 von allen Einwanderern, auch Green-Card-Inhabern sowie bereits eingebürgerten Einwanderern, zukünftig personenbezogene Daten im Zusammenhang mit Social-Media-Nutzerkonten gespeichert werden. In den für Einwanderer bestehenden „Alien-Files“ sollen demnach der Nutzername bei dem jeweiligen sozialen Netzwerk, ggfs. der Spitzname des Nutzers sowie weitere Informationen zur Identifizierung des Nutzers aufgeführt werden. Darüber hinaus sollen auch die Onlinesucheingaben der Einwanderer und die dazugehörigen Suchergebnisse gespeichert werden.

Bürgerrechtler kritisieren, dass von dieser neuen Art der Überwachung nicht nur Einwanderer betroffen sein werden, sondern auch Dritte, die in unmittelbaren Kontakt mit den Einwanderern stehen würden. Sie sehen darin einen weiteren Eingriff in die Privatsphäre. Und auch die Meinungsfreiheit könne durch derartige Maßnahmen eingeschränkt werden, indem die Menschen aus Angst vor oder in dem Wissen, dass sie überwacht werden,sich nicht mehr trauen, ihre persönliche Meinung und insbesondere politische Haltung frei in der Öffentlichkeit zu äußern.

Neben LinkedIn droht auch Facebook die Sperrung in Russland

Bekanntermaßen versucht die russische Regierung seit mehreren Jahren die Kontrolle über das Internet auszuüben. Nun droht auch Facebook, sollte es nicht bis 2018 einwilligen, einem russischen Gesetz Folge zu leisten, nach dem russische Nutzerdaten auch auf Servern in Russland gespeichert werden sollen, die Sperrung. Dieses Gesetz über die Speicherung personenbezogener Daten von Russen ist bereits seit 2015 in Kraft.
Twitter hat gegenüber Moskau dem Datenumzug bereits zugestimmt, dieser soll Ende 2018 abgeschlossen sein. Das soziale Netzwerk LinkedIn dagegen wurde von russischen Behörden bereits geschlossen, nachdem es vor Gericht zweimal gegen die drohende Sperrung erfolglos vorgegangen war.
Eine weitere, kürzlich ausgeübte, Kontrollmaßnahme der russischen Führung erfolgte durch einen Gesetzesbeschluss, der die Nutzung von Virtuellen Privaten Netzwerken und von Anonymisierungs-Software im Internet einschränkt.
Alexander Scharow, der Leiter der Aufsichtsbehörde für Medien, Telekommunikation und Datenschutz in Russland erklärte, dass das Gesetz für alle gelte und dass seitens der Regierung keine Ausnahmen gemacht würden.

Reform des § 203 StGB: Wer ist eigentlich Geheimnisträger?

26. September 2017

Der Bundesrat hat am 22.09.2017 eine Gesetzesänderung des § 203 StGB beschlossen, indem er den Entwurf des Bundestages angenommen hat (wir berichteten). Die Norm stellt die Verletzung des Privatgeheimnisses durch bestimmte dort genannte Berufsträger unter Strafe. Darunter fallen Ärzte, Jugendberater, Apotheker aber auch Rechtsanwälte. In Abs. 3 kommen außerdem die „berufsmäßig tätigen Gehilfe und Personen, die bei [diesen Berufsgeheimnisträgern] zur Vorbereitung auf den Beruf tätig sind“ hinzu, an die das Geheimnis (aus Berufsgründen) offenbart werden kann. Damit sind vor allem Sekretäre/innen, Referendare/innen, Arzthelfer/innen oder ähnliche Berufsgruppen gemeint.
Seit dem Erlass der, der jetzt überarbeiteten, Norm haben sich die Arbeitsbedingungen, -abläufe und -möglichkeiten verändert: Immer mehr Tätigkeiten werden an Dienstleister abgegeben, so dass zu dem Kreis der (potentiell) Wissenden beispielsweise IT-Dienstleister, Serverbetreiber oder E-Mail–Provider hinzugekommen sind. Dies ist angesichts der Formulierung des § 203 StGB problematisch und bot Anlass zu einer Gesetzesänderung.
In dem neuen § 203 StGB wird eine Weitergabe des Geheimnisses an Personen erlaubt, die an beruflichen oder dienstlichen Tätigkeiten der Berufsgeheimnisträger mitwirken, soweit sie für die Tätigkeitsausübung erforderlich ist (Abs. 3). Damit sind viele bereits heute in Anspruch genommene (Dritt-)Dienstleister gemeint, auch der Beauftragte für den Datenschutz findet ausdrücklich Erwähnung. Eine Offenbarung des Geheimnisses durch diese Personen wird wiederum unter Strafe gestellt.
Dadurch hat der Gesetzgeber die Gesetzeslage an die realen Verhältnisse angepasst und so mehr Rechtsklarheit geschaffen. Die Anforderung, dass die Offenbarung für die Tätigkeitsausübung erforderlich sein muss, bleibt dabei der Maßstab für eine Weitergabe von geheimen Informationen.

Facebook-App mit Whatsapp verknüpft

22. September 2017

Nach einem Update der Facebook-App können Whatsapp-Nutzer den Messengerdienst nunmehr direkt über die Facebook-App aufrufen. Nach Öffnen der Facebook-App findet sich unter dem Profilnamen des jeweiligen Nutzers ein Symbol, durch das nach Anklicken Whatsapp geöffnet werden kann, sofern der Messengerdienst auf dem Smartphone installiert ist. Eine ähnliche Verknüpfung hatte Facebook schon zum Bildernetzwerk Instagram implementiert.

Aus datenschutzrechtlicher Sicht ist dieses Vorgehen druchaus kritisch zu beäugen, nachdem der Austausch personenbezogener Daten zwischen Facebook und Whatsapp erst vor Kurzem untersagt worden war (wir berichteten). Offen ist bisher allerdings die Frage, ob es bei der Verknüpfung tatsächlich nur um eine reine Verknüpfung handelt oder ob es dadurch auch zu einem Datenaustausch kommt. Ist letzteres der Fall, müsste die datenschutzrechtliche Zulässigkeit geprüft werden. Ob die Verknüpfung auch in der iOS-Variante Einzug halten soll, ist bislang nicht bekannt.

 

Kategorien: Allgemein

Der Wahl-O-Mat aus datenschutzrechtlicher Perspektive

21. September 2017

Am Sonntag wird wieder gewählt. Die Bundestagswahl 2017 steht an und neben den etablierten Parteien gibt es auch eine Vielzahl an kleinen, unbekannten Parteien. Die oft ellenlangen und verklausulierten Wahlprogramme zu lesen, ist für viele Wähler eine Zumutung, sodass der Wahl-O-Mat – ein Angebot der Bundeszentrale für politische Bildung – eine praktische Hilfe darstellt.

Viele Wähler nutzen den Wahl-O-Mat vor der Wahl als Entscheidungshilfe. Der Wahl-O-Mat gleicht die Antworten der Nutzer auf die 38 gestellten Fragen mit den Positionen der Parteien ab. Da stellt sich die Frage, wie der Wahl-O-Mat mit den Daten zur politischen Einstellung der Nutzer umgeht. Immerhin handelt es sich bei der politischen Einstellung um sensible Daten.

Stiftung Warentest hat den Datenschutz sowohl der Android- als auch der iOS-App des Wahl-O-Mat auf den Prüfstand gestellt und kommt zu folgendem Ergebnis:

Eigentlich ist alles gut. Die Apps fragen nur wenige Daten ab, darunter sind weder der Klarname des Nutzers noch dessen E-Mailadresse, was dazu führt, dass der Nutzer nicht identifiziert werden kann. Die politische Einstellung lässt sich demnach nicht auf eine konkrete Person zurückführen. Kritisiert wird von den Testern, dass sowohl die Android- als auch die iOS-App mit Google Servern kommunizieren und überprüfen, ob der Nutzer dort ein Konto besitzt. Da sich die Abfrage aber lediglich auf die reine Existenz eines solchen Kontos bezieht, ist dies nur ein kleiner Kritikpunkt. Die Bundeszentrale rechtfertigt diesen Abgleich damit, dass dem Nutzer mit Google- Konto Push-Nachrichten geschickt werden können, zum Beispiel eine Erinnerung, am Sonntag wählen zu gehen.

Die Push-Nachrichten können aber von den Nutzern der Apps deaktiviert werden.

Insgesamt kommt der durchgeführte Test zu dem Ergebnis, dass die Apps als unkritisch anzusehen sind.

E-Privacy Verordnung aus Sicht von Politik und Wirtschaft

20. September 2017

Im Mai 2018 tritt neben der europäischen Datenschutzgrundverordnung (DSGVO) auch die sog. E-Privacy-Verordnung in Kraft. Sie ergänzt die DSGVO in Hinsicht auf elektronische Kommunikation. Bereits im Januar berichteten wir über den Entwurf der E-Privacy-Verordnung („Proposal for a Regulation on Privacy and Electronic Communications„, offizieller Entwurfstext) vom 10. Januar 2017.
Im März stellten wir das Wesen, den Anwendungsbereich und wesentliche Neuerungen (z.B. bei Cookies) in einem weiteren Beitrag zur E-Privacy-Verordnung dar.

Ein zentraler Regelungsbereich der E-Privacy-Verordnung betrifft Cookies. Zukünftig sollen die für Verbraucher störenden und für Webseitenbetreiber unansehnlichen Cookie-Warn-Banner obsolet werden.
Mozilla Firefox, Google Chrome oder der Internet Explorer holen ab Mai 2018 die Einwilligungen für das Erheben der Browserdaten ein – und zwar durch „benutzerfreundliche Voreinstellungen“ im Einklang mit den DSGVO-Grundsätzen Privacy by Design und Privacy by Default.
Führende Verlage Deutschlands, so DIE ZEIT, die Süddeutsche und die F.A.Z., äußerten sich kritisch gegenüber der geplanten Cookie-Einstellungen im Browser, wie wir im Mai schilderten. Die Neuregelung begünstige US-Konzerne zu Lasten des Werbefinanzierungsmodells im Nachrichtenmarkt.

Auf der Privacy-Konferenz des Digitalverbands Bitkom am 19. September äußerten sich Vertreter aus Wirtschaft und Politik zur Thematik. Jan Philipp Albrecht, stellvertretender Vorsitzender für Inneres und Justiz der Grünen im EU-Parlament, betonte die Notwendigkeit eines Europäischen Binnenmarkts für elektronische Kommunikation. Die Politik stehe in der Pflicht, nachdem die bisherige Cookie-Einwilligung und Do-Not-Track gescheitert seien. Er begrüßte die geplanten Browser-Voreinstellungen für Cookies grundsätzlich, soweit sie datenschutzfreundlich ausgestaltet werden. Auch Lokke Moerel von der Kanzlei Morrison & Foerster begrüßte die Cookie-Einwilligung durch Browsereinstellungen und fordert vom Gesetzgeber lange Umsetzungsfristen für die Browseranbieter. Da große Datenmengen in der Hand weniger US-Browseranbieter seien, schlug Dirk Woywod von der Bundesdruckerei eine Zertifizierung der Browser vor. Jan Lichtenberg von der Deutschen Telekom bemängelte das Fehlen von Möglichkeiten zur Pseudonymisierung im E-Privacy-Entwurf.

Es bleibt abzuwarten wie die endgültige Fassung der E-Privacy-Verordnung aussehen wird. Das Tracking von Nutzerdaten ist und bleibt ein wichtiges Thema nicht nur für den E-Commerce, da es jeden Webseitenbetreiber betrifft. Bei Neuigkeiten werden wir Sie gerne an dieser Stelle informieren.

 

Datenschutz bei der bevorstehenden Bundestagswahl

Am kommenden Sonntag kehrt nach 4-jähriger Legislaturperiode das Ereignis der Bundestagswahl wieder. Die Wahl bringt dabei den ein oder anderen Aspekt des Datenschutzes mit sich. Der folgende Kurzbeitrag stellt mit einem Augenzwinkern dar, was Sie bei der Wahrnehmung Ihres Wahlrechts nicht tun sollten.

Sofern Sie als Wahlberechtigte(r) nicht bereits die Briefwahl wahrgenommen haben und dabei für den Fall, dass der Brief nicht ankommt, Ihren Absender auf der Lasche des Umschlags notiert haben, geben Sie Ihre Stimme am Wahlsonntag klassisch im Wahlbüro ab. Nach Vorlage des Personalausweises und Ihrer Wahlbenachrichtigung, auf der Sie als Gedächtnisstütze Ihre Vorauswahl für die Direktkandidaten skizziert haben, werden die Unterlagen ausgehändigt und Sie können in einem sichtgeschützten Bereich eine Auswahl treffen. Allerdings erwischen Sie womöglich die Stoßzeit und finden sich aufgrund erneut gigantischer Wahlbeteiligung in einer langen Schlange wieder. Vielleicht können die Kreuzchen in einem unbeobachteten Moment auch auf dem Rücken des wartenden Vordermanns gesetzt werden. Nach wütendem Hinweis eines Wahlhelfers, dass dies so nicht zulässig sei, besinnen Sie sich doch auf die Wahl am dafür vorgesehenen Sitzplatz. Immerhin konnte den anderen Wartenden aber dadurch ein Gefallen getan werden, dass man sich den Platz hinter dem Sichtschutz mit dem Nachbarn teilt, der sich zu Ihnen in die Schlange gesellt hat. Erstmal ein Selfie für das Soziale Netzwerk mit nettem Gruß an alle Nichtwähler. Ob es einen Unterschied macht, wo Sie auf dem Wahlzettel Ihre Unterschrift setzen? Da Sie aus dem Fehler vor vier Jahren gelernt haben, werfen Sie im Anschluss Ihren Stimmzettel ohne den Personalausweis in die Wahlurne. Letztes Mal war der Wahlhelfer nach diesem Versehen überhaupt nicht hilfsbereit und so mussten Sie bis nach 18 Uhr warten, bis er endlich das Schloss an der Urne entfernte und Sie Ihr Ausweisdokument entgegen nehmen konnten. So ein Aufwand. Im heutigen Zeitalter sollten Wahlen längst über die gängigen digitalen Kanäle, z.B. über Whatsapp, ablaufen können.

Kategorien: Allgemein
Schlagwörter: ,

Windows 10 Enterprise kann datenschutzkonform im Unternehmen eingesetzt werden

19. September 2017

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat die Datenströme in Microsofts Betriebssystem Windows 10 untersucht. Im 19-seitigen Prüfbericht kommen die Datenschützer zu dem Ergebnis, dass die Enterprise-Version des Betriebssystems mit gewissen Einstellungen an den Gruppenrichtlinien datenschutzkonform eingesetzt werden kann.

Im Mittelpunkt der Prüfung stand die automatisierte Übermittlung von Nutzerdaten an Microsoft. Auch sog. Telemetrie-Daten sorgten im Vorfeld für Kritik an Windows 10. Die Windows-Telemetrie ist meist voreingestellt und übermittelt im Hintergrund Daten über die Art der Nutzung an Microsoft. Dazu gehören technische Daten wie z.B. Absturzberichte oder Typ der verwendeten Hardware. Die vom Betriebssystem ermittelten Daten kann Microsoft u.a. für Werbung oder Produktverbesserungen verwenden.

Die Prüfer des BayLDA stellten fest, dass die Unternehmensversion von Windows 10 mit wenig Aufwand datenschutzkonform konfiguriert werden kann. Kritische Datenübertragungen lassen sich mit gezielten Einstellungen in den Windows Gruppenrichtlinien unterbinden. Die Prüfung des BayLDA fand in Abstimmung mit anderen europäischen Aufsichtsbehörden statt. Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO) wie z.B. „Privacy by Design“ bewerteten die Prüfer nicht.

Bis Mai 2018 plant Microsoft zwei neue Betriebssystem-Updates. Wie die Aufsichtsbehörden das aktualisierte Windows 10 mit Blick auf den Datenschutz und eventuell der DSGVO bewerten, bleibt abzuwarten.

1 13 14 15 16 17 163