14. Oktober 2016
Es ist längst keine Seltenheit mehr, dass Kunden und Besuchern in Geschäften, Restaurants etc. mittels WLAN die Nutzung des Internets angeboten wird. Auf den ersten Blick ist dies für viele Nutzer ein willkommenes Goodie. Doch wie sicher sind die angebotenen Internetzugänge wirklich? Der Nutzer bleibt meisten im Unklaren darüber, welche Daten über ihn im Rahmen der Nutzung erhoben werden.
Dies verdeutlichen die Versuchsergebnisse eines Mitglieds des Chaos Computer Clubs (ccc), der das WLAN-Angebot in den ICE-Zügen der Deutschen Bahn auf die Probe stellte. Die technischen Voreinstellungen des WLAN waren hier so gestaltet, dass es Angreifern ohne weiteres möglich gewesen sei, Zugriff auf personenbezogene Daten der Internetnutzer zu erhalten. Unter anderem konnten Standortdaten und weitere Informationen über das Surfverhalten der Nutzer erhoben werden, was die Erstellung von Bewegungsprofilen ermöglicht.
Wie auf netzpolitik.org berichtet, erklärte zwischenzeitlich ein Sprecher der Deutschen Bahn, dass die Sicherheitslücke zeitnah geschlossen werde. Zurzeit investiert die Bahn ca. 100 Mio. Euro, um Fahrgästen der 1. und 2. Klasse eine kostenlose Internetnutzung zur Verfügung zu stellen.
Wer gleichwohl auch unterwegs Surfen will und vertrauliche und oder personenbezogenen Daten online bearbeiten oder per E-Mail versenden will, sollte einen VPN-Tunnel verwenden, der den Datentransfer datenschutzkonform gestaltet und die Privatsphäre des Nutzers schützt.
6. Oktober 2016
Am vergangenen Dienstag, 04.10.2016, gab Mastercard öffentlich bekannt, dass es ab sofort das biometrische Zahlungsverfahren Identity Check Mobile in Deutschland anbiete. Diese neue Zahlungstechnologie nutze für die Verifizierung der Identität der Karteninhaber biometrische Verfahren wie Fingerabdruck- oder Gesichtserkennung. Dieses Verfahren vereinfache das Online-Shopping enorm, so das Kreditkartenunternehmen. Nach erfolgreich durchgeführten Tests in den Niederlanden sowie in den USA und Kanada wolle Mastercard das Verfahren nun nicht nur in Deutschland, sondern auch in elf weiteren europäischen Ländern wie Österreich, Beligen, Niederlande, Großbritannien, Spanien, Teschechien, Ungarn, Dänemark, Norwegen, Schweden und Finnland einsetzen. Ein weltweiter Rollout sei bereits für das Jahr 2017 geplant.
Mit Identity Check Mobile soll nun die Eingabe eines Passwortes nicht mehr erforderlich sein. Stattdessen sollen Mastercard-Inhaber nicht nur von deutlich schnelleren digitalen Einkaufserlebnissen, sondern gleichzeitig auch von erhöhter Sicherheit ohne Kompromisse profitieren, so der Präsident von Enterprise Risk & Security bei Mastercard. Insbesondere die Gefahr eines Betruges soll dadurch minimiert werden, dass bei Erstellen des Selfies und der darauf folgenden Gesichtserkennung der Karteninhaber in die Kamera zwinkern muss. Damit könne das Verfahren nicht durch das Vorhalten eines bloßen Fotos durch einen Unbefugten umgangen werden. Die anschließende Übermittlung des Bildes an einen Server zum Abgleich des Bildes mit dem dort hinterlegten Bild erfolge ausdrücklich verschlüsselt, einem Beitrag der Webseite datenschutzbeauftragter-info.de zufolge. Nach Abgleich der Bilder erfolge die sofortige Löschung. Auch bei Nutzung des Fingerabdruckscanners des Smartphones solle nicht der Fingerabdruck selbst an den Server, sondern ein – bei einem als korrekt erkanneten Fingerabdruck generierter – Bestätigungstoken übermittelt werden.
5. Oktober 2016
Wie das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) mitteilt, bestehen erhebliche Mängel hinsichtlich des Datenschutzes beim Internet der Dinge (engl: Internet of Things, IoT).
Das BayLDA untersuchte im Rahmen einer internationalen Prüfaktion des Global Privacy Network (GPEN) gemeinsam mit weiteren 25 Aufsichtsbehörden aus verschiedenen Ländern sogenannte smarte Alltagsgeräte, vom Fitnesstracker über das Smart-TV bis hin zur vernetzten Zahnbürste. Im Fokus standen vor allem die Datenschutzbestimmungen für die Nutzung der Geräte.
Die internationale Prüfgemeinschaft kommt dabei zu dem Schluss, dass erhebliche Mängel bestehen. Überwiegend seien die Nutzer weder über die Art und den Umfang der Erhebung und Nutzung ihrer Daten noch über die Speicherung oder Löschung der Daten informiert. Etwa ein Drittel der untersuchten Unternehmen stelle keine Kontaktinformationen für Rückfragen bereit. Insgesamt sei die Datenverarbeitung intransparent und, gerade im Bereich von Gesundheitsdaten, nicht ausreichend geschützt.
Thomas Kranig, der Präsident des BayLDA, begrüßt die gemeinsame Prüfaktion und kündigte an, nun mit den jeweiligen Unternehmen in Kontakt zu treten um für die Erfüllung der datenschutzrechtlichen Anforderungen zu sorgen.
28. September 2016
Mit einer Verwaltungsanordnung hat am 27.09.2016 ordnet der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, Facebook an, es ab sofort zu unterlassen, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Bereits durch WhatsApp übermittelte Daten hat Facebook zu löschen.
Wie bereits berichtet, hatte WhatsApp im August 2016 Änderungen seiner Nutzungsbedingungen bekannt gegeben, die vorsehen, dass WhatsApp die Telefonnummern seiner Nutzer und Informationen wann der Nutzer aktiv war an Facebook übermittelt.
Nach den Regelungen des Bundesdatenschutzgesetzes ist die Übermittlung von personenbezogenen Daten nur dann zulässig, wenn entweder eine gesetzliche Grundlage dies erlaubt oder die Betroffenen hierein eingewilligt haben. Beides liegt bei der Datenübermittlung an Facebook jedoch nicht vor.
Die Anordnung gegen Facebook erfolgt im Sinne des Rechts auf informationelle Selbstbestimmung. Es müsse die Entscheidung der WhatsApp-Nutzer sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen, so Caspar.
23. September 2016
Angestellten im öffentlichen Dienst eilt nicht unbedingt der Ruf als Stimmungskanone voraus. Dieses Klischee hat ein Mitarbeiter der Kommunalverwaltung im rheinland-pfälzischen Bad Kreuznach eindrucksvoll widerlegt. Auch wenn es wohl kaum die Absicht des Angestellten gewesen sein dürfte, den wohl größten Eindruck ausgerechnet bei Datenschützern zu hinterlassen.
Um sich bei der Fan-Choreografie im Rahmen eines Heimspiels des Fußball-Zweitligisten 1. FC Kaiserslautern zu beteiligen, fertigte der fleißige Fußballfan eine gehörige Menge rosa-weißes Konfetti, welches in der Fankurve in die Luft geschmissen und im Stadion großflächig verteilt wurde. Aufmerksame Besucher der Partie erkannten allerdings in den wohl mehr schlecht als recht zerkleinerten Papierschnipseln vertrauliche Dokumente der Kommunalverwaltung Bad Kreuznachs, so rosafarbene Formulare, mit denen Bedürftige Mietkostenzuschüsse beantragen konnten, aber auch Anwaltspost zu Unterhaltsforderungen.
Diese Dokumente wurden schon von der Behörde nicht geschreddert, sondern unversehrt als Altpapier entsorgt. Einen gehörigen Anteil an der bunten Choreografie darf sich also auch die Stadt Bad Kreuznach als verantwortliche Stelle zuschreiben.
Dass Kaiserslautern sein Heimspiel gegen den Gast aus Dresden auch noch verlor, dürfte den gebrauchten Tag für den Konfettiproduzenten komplettiert haben.
Wie Yahoo gestern abend mitteilte, wurden etwa 500 Millionen Nutzer-Accounts von Unbekannten gestohlen. Bei den vom Zugriff betroffenen Daten handelt es sich wohl um Namen, E-Mailadressen, Telefonnumern und Geburtsdaten.
Auch wenn die Nachricht von gestern abend, 22.09.2016, stammt, fand der Diebstahl wohl bereits 2014 statt. Yahoo hat nun an alle betroffenen Nutzer entsprechende informatorische E-Mails versandt mit dem Hinweis, ihr Passwort so schnell wie möglich zu ändern. Zwar seien die Passwörter wohl nach wie vor verschlüsselt gewesen und keinerlei Bankdaten betroffen. Da jedoch auch Sicherheitsfragen nebst deren Antworten für die Angreifer abrufbar waren, können somit nicht nur die Nutzer sondern auch die Angreifer die Passwörter ändern oder zurücksetzen.
Die betroffenen Nutzer sollten nun nicht nur ihr Yahoo Passwort, sondern auch alle anderen Passwörter ändern. Kritisch ist insbesondere die Nutzung eines Passworts für mehrere Konten, ebenso wie die gleichen Antworten auf die häufig genutzten Sicherheitsabfragen.
Immer wieder sind insbesondere Internetplattformen von Angriffen dieser Art betroffen. Allen Nutzern wird empfohlen, ein möglichst sicheres Passwort zu verwenden und verschiedene Passwörter für die unterschiedlichen Nutzerkonten zu verwenden.
20. September 2016
Was nach der Übernahme des Messenger-Dienstes WhatsApp durch den Social-Network-Anbieter Facebook von Datenschützern befürchtet wurde, hat sich nunmehr bewahrheitet – Facebook nutzt personenbezogene Daten, welche WhatsApp von den Nutzern erhebt und schließlich weitergibt.
Auch wenn beide Unternehmen nunmehr einem Konzern angehören, ist ein solcher Datenaustausch nicht ohne Weiteres zulässig – im Datenschutzrecht gilt kein sogenanntes Konzernprivileg.
So sah sich nun der Bundesverband der Verbraucherzentralen (VZBV) gezwungen, WhatsApp dafür abzumahnen, dass personenbezogene Daten an die Konzernmutter Facebook weitergegeben werden. Die Juristen des VZBV sehen insbesondere die Einwilligungserklärungen der Nutzer, auf die sich WhatsApp beruft, als unzureichend an, und den Tatbestand der Verbrauchertäuschung dadurch erfüllt, dass sich der Konzern zuvor öffentlich dahingehend erklärt hatte, WhatsApp solle auch nach der Übernahme durch Facebook unabhängig bleiben. Der Verband verlangt daher auch die Abgabe einer entsprechenden Unterlassungserklärung.
Im Fokus steht dabei vor allem die Weitergabe von Telefonnummern aus der Kontaktliste der Nutzer, welche Facebook unter anderem nutzt, um im Netzwerk die Nummernhalter als Freunde vorzuschlagen. Vorausgegangen war eine Änderung der Nutzungsbedingungen seitens WhatsApp, die eben einen solchen Datenaustausch rechtfertigen soll. Eine Einwilligung in die Datenübermittlung muss allerdings aktiv vom Betroffenen erklärt werden. Das sieht der gegenwärtige Prozess nicht vor. Dazu kommt, dass die Einwilligung jeweils nur vom Betroffenen höchstpersönlich erklärt werden kann; der Nummernhalter wird aber gar nicht miteinbezogen.
Sollte WhatsApp die Unterlassungserklärung nicht abgeben und die monierte Praxis abstellen, wird der Verband Klage erheben. Erst im Februar 2016 hatte eine Änderung des Unterlassungsklagegesetzes das Verbandsklagerecht auch bei Datenschutzverstößen überhaupt ermöglicht.
16. September 2016
Während in der geplanten Reform des Telekommunikationsgesetzes (TKG) die Störerhaftung nahezu abgeschafft werden soll, hat nun der Europäische Gerichtshof (EuGH) eine nicht unerhebliche Entscheidung zur Urheberrechtsverletzung in offenen WLANs entschieden.
Die Störerhaftung besagt, dass der Betreiber eines offenen WLAN-Netzes für Rechtsverletzungen verantwortlich ist, und zwar auch dann, wenn ein anderer als der Betreiber, die Handlung begangen hat. Aus diesem Grund gibt es hierzulande nur selten offene Netze, da es für den Betreiber kaum nachzuvollziehen ist, wer sich in seinem Netz befindet und welche Handlungen der Nutzer dort vornimmt. Damit setzt sich der Betreiber eines offenen WLANs einem großen Rechtsrisiko aus.
Mit der Reform des Telekommunikationsgesetzes soll nun das sogenannte Providerprivileg ausgebaut werden. Dadurch, dass nicht automatisch der Betreiber eines Netzes haftet, sollen im Bundesgebiet mehr offene Netze entstehen können, da das Rechtsrisiko für den Betreiber deutlich geringer ausfällt.
Das Landgericht München hatte sich mit einem Fall der Störerhaftung zu befassen, bei dem ein Geschäftsbetreiber, der ein offenes WLAN angeboten hat, über das ein Nutzer illegal Musik heruntergeladen hat, für die Tathandlung haften soll. Das Landgericht München hat in diesem Fall den EuGH um Stellungnahme angerufen.
Der Europäische Gerichtshof hat nun entschieden, dass Geschäftsleute, die kostenloses WLAN anbieten, nicht für Urheberrechtsverletzungen, die durch andere Nutzer innerhalb dieses Netzes verursacht werden, haften. Den Betreiber des WLANs treffen jedoch Pflichten, das Netzwerk, zum Beispiel durch ein Passwort, zu sichern, wie chip online berichtet.
Was die geplante Verbreitung offener WLANs betrifft, zeigt sich einmal mehr, wie deutlich Realität und Wunsch auseinander liegen. Die Kontroversen zur Störerhaftung werden trotz des Urteils erhalten bleiben.
14. September 2016
Das Oberlandesgericht Frankfurt entschied in seinem Urteil vom 28.07.2016 Az. U 93/15, dass Einwilligungserklärungen in E-Mail- und Telefonwerbung dann unzulässig sind, wenn sich die Erklärung auf eine Vielzahl werbender Unternehmen bezieht und die Geschäftsbereiche der Unternehmen so unbestimmt formuliert sind, dass für den Erklärenden nicht klar erkennbar ist, welche Produkte und Dienstleistungen beworben werden.
Im vorliegenden Fall klagten Verbraucherschützer gegen den Veranstalter eines Online-Gewinnspiels. Auf der Webseite des Beklagten konnten Nutzer an einem Gewinnspiel teilnehmen und gleichzeitig einwilligen, dass ihre personenbezogene Daten von den „…in der Liste aufgeführten Sponsoren für die jeweils angegebenen Produkte und Dienstleistungen…“ zu E-Mail- und Telefonwerbung verwendet werden dürfen. Die Begriffe „Liste“, „Sponsoren“, „Produkte“ und „Dienstleistungen“ waren jeweils mit Links zu einer Liste hinterlegt, welche die einzelnen teilnehmenden Unternehmen sowie deren Geschäftsbereich enthielt. Die so erhobenen personenbezogenen Daten wurden von dem Beklagten an die teilnehmenden Unternehmen übermittelt.
Das Landgericht verpflichtete den Beklagten, die beschriebene Einwilligungserklärung nicht mehr zu verwenden. Die Berufung des Beklagten gegen das Urteil des Landgerichts blieb erfolglos. Als Begründung führt das OLG an, dass eine wirksame Einwilligungserklärung stets Freiwilligkeit und Kenntnis der konkreten Sachlage beim Betroffenen voraussetzt. Die Kenntnis über die konkrete Sachlage bezweckt, dass der Betroffene informiert entscheiden kann, wem er zu welchen Zwecken seine personenbezogenen Daten mitteilt.
Eine informierte Entscheidung kann der Betroffene jedenfalls dann nicht treffen, wenn die beworbenen Produkte und Dienstleistungen lediglich pauschaliert mit Oberbegriffen wie „Vermögenswirksame Leistungen“, „Telekommunikationsprodukte“ oder „Versandhandel“ beschrieben werden.
Wirksame Einwilligungen, die den Anforderungen der §§ 4a und 28 Abs. 3 Bundesdatenschutzgesetz entsprechen, lagen im vorliegenden Falle somit nicht vor.
Die anstehende Bundestagswahl im Herbst 2017 wirft ihre Schatten voraus, der Wahlkampf hat begonnen, auch wenn noch keine Plakate die Straßen zieren. Die SPD plant die Neuordnung der Zuständigkeit für den Datenschutz in ihr Wahlprogramm aufzunehmen. Ziel der Sozialdemokraten ist es, diesen aus dem Bereich des Innen- in den des Justizministeriums zu verschieben. Dies begründen Sie mit der veränderten Charakteristik des Datenschutzes, der mehr und mehr Bürgerrechte und Verbraucherschutz betrifft, so Gerold Reichenbach, Berichterstatter für Datenschutz der SPD-Bundestagsfraktion. Beides seien nach Auffassung der Partei „originäre Bereiche“ dieses Ressorts.
Für das Innenministerium bestünde hingegen zunehmend ein „innerer Interessenkonflikt zwischen dem Schutz der Vertraulichkeit und der Integrität der Daten der Bürger einerseits und dem Aufklärungsinteresse der Sicherheitsbehörden andererseits“. Daher sei die Zuordnung veraltet und überholt.
Pages: 1 2 ... 148 149 150 151 152 ... 274 275 
