Datenschutzkonferenz: Kritik an Vorratsdatenspeicherung von Fluggastdaten

13. November 2017

Jede Flugreise bringt eine Flut von Daten mit sich. Wie bereits berichtet, werden Fluggastdaten auch in Deutschland ab Mai 2018 gespeichert – ähnlich wie in Großbritannien und den USA. EU-Sicherheitsbehörden können im Zuge des Fluggastdatengesetzes (FlugDaG) bis zu 60 verschiedene Datenkategorien bei Fluggesellschaften abfragen. Das Gesetz strebt die Bekämpfung von Terror und schwerer Kriminalität an.

In einer Entschließung der Datenschutzkonferenz sprachen sich die unabhängigen Datenschutzbehörden des Bundes und der Länder für eine Nachbesserung des FlugDaG aus. Insbesondere kritisieren die Behörden die langfristige Speicherung von Fluggastdaten (Passenger Name Records – PNR) aller Passagiere. Sie berufen sich dabei auf den Gerichtshof der Europäischen Union (EuGH), der in seinem Gutachten vom 26. Juli 2017 das Fluggastdaten-Abkommen der EU mit Kanada für nicht mit der Europäischen Grundrechtecharta vereinbar erklärt hat.

Unter dem Deckmantel von Grundsätzen der Datensparsamkeit und der Erforderlichkeit argumentieren die Behörden im Sinne des EuGH. Die öffentliche Sicherheit und der Schutz vor Terrorismus rechtfertigen nicht die Erhebung und Verarbeitung sensibler Daten wie rassische und ethnische Herkunft, religiöse Überzeugungen oder das Sexualleben. Eine präzisere und besonders fundierte Begründung sei dazu nötig.

Wenn es während eines Aufenthalts eines Reisenden keine Anhaltspunkte für terroristische oder schwere Straftaten gibt, habe sich der Zweck der Datenübermittlung erfüllt. Wie der EuGH fordern die Datenschutzbehörden dann eine weitere Speicherung zu verbieten. Nach Ausreise sei eine Vorratsdatenspeicherung ohne objektive Anhaltspunkte für geplante Straftaten nicht gerechtfertigt.

 

Facebook will gegen die unerlaubte Verbreitung intimer Fotos vorgehen

10. November 2017

Facebook will das Posten von intimen Fotos gegen den Willen der darauf Abgebildete verhindern. Dafür hat das Unternehmen ein Pilotprojekt gestartet, das durch das Erstellen eines Hashs ein Hochladen einer bestimmten Bilddatei sperrt.
Dazu sollen die Nutzer bereits vorsorglich die Bilder an Facebook schicken, die sie auf gar keinen Fall veröffentlicht haben wollen. Diese Bilder werden dann geprüft und in einen Hash umgewandelt. Dabei handelt es sich um einen digitalen Fingerabdruck des Bildes, der mit jedem auf Facebook oder Instagram neu hochgeladenen Bild abgeglichen wird. Das Originalfoto wird nach eigenen Angaben darauf hin gelöscht und nur der Hash wird abgespeichert. Stimmt ein neuer Foto-Upload mit einem gespeicherten Hash überein, wird die Datei gesperrt.
Zu bedenken gibt zum einen die Tatsache, dass Mitarbeiter von Facebook die intimen Fotos, die man gerade niemals in fremden Händen haben will, überprüfen müssen. Außerdem ist nicht ganz klar, wie sicher der Hash ist und ob er nicht durch eine kleine Veränderung des Bildes, z.B. Abschneiden einer Ecke, Einfügen eines schwarzen Balkens oder ähnliches, umgehen könnte.

Kategorien: Allgemein
Schlagwörter: ,

Bericht zur Lage – Wenn das Haushaltsgerät zum Sicherheitsrisiko wird

Das in einer immer stärker vernetzten Welt das Internet nicht nur neue Möglichkeiten bietet, sondern durchaus auch eine Gefahrenquelle darstellen kann, wird angesichts immer häufiger auftretender Cyberangriffe deutlich. Unter anderem um solchen Gefahren begegnen zu können, wurde in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegründet.

In Berlin wurde nun von Thomas de Maizière und Arne Schönbohm der alljährliche Bericht zur Lage der IT-Sicherheit vorgestellt. Bereiche, die nach dem Bericht etwa besonders gefährdet sind, sind die Bundesverwaltung, die Wirtschaft und die Gesellschaft. Im Bereich der Gesellschaft ist es mit 11 gemeldeten Vorfällen mit kritischem Störpotential im Sektor Energie und 3 im Sektor Wasser zu Vorfällen gekommen, die enorme Auswirkungen auf das Gemeinwesen haben können. Um auch weiterhin ein möglichst hohes Maß an Sicherheit gewährleisten zu können, soll nach Schönbohm das IT-Sicherheitsnetz noch weiter ausgebaut, ein eigenes nationales Verbindungswesen eingerichtet und eine Fokusgruppe Verschlüsselung gegründet werden. Eigene Landesämter für Informationssicherheit soll es hingegen nach de Maizière nicht geben.

Im IT-Lagebereicht 2017 wird auch explizit auf das Internet der Dinge und das daraus resultierende Gefahrenpotential eingegangen. Kennzeichnend für das Internet der Dinge ist es, dass etwa verschiedene Alltags- und Haushaltsgeräte über Schnittstellen mit dem Internet verbunden und somit untereinander kommunizieren oder von dem Nutzer ferngesteuert werden können. Mittlerweile gibt es nicht nur Lautsprecher mit Sprachsteuerung oder Staubsaugerroboter, sondern auch Türschlösser oder mit dem Internet verbundene Kühlschränke. Smarte Kühlschränke sind beispielsweise mit Kameras im Inneren ausgestattet, über die der Besitzer von unterwegs über eine App nachschauen kann, ob er noch genügend Lebensmittel vorrätig hat. Sollte der Nutzer einmal die Temperatur seines Kühlschranks anpassen wollen, so kann er dies auch bequem von unterwegs über die dazugehörige App erledigen.

Die Funkstellen, mit denen solche smarten Haushaltsgegenstände mit dem Internet verbunden sind, stellen oftmals jedoch eine Schwachstelle und ein Risikopotential dar. Mit gezielten Attacken auf die oftmals schlecht gesicherten Funkstellen dieser Haushaltshelfer können Angreifer die Steuerung übernehmen. Bei Geräten mit integrierten Kameras kann es so vorkommen, dass Angreifer unbemerkt Videoaufnahmen vom Inneren des eigenen Hauses anfertigen und so die Privat- und Intimsphäre der Besitzer ausspionieren. Darüber hinaus ist es auch möglich, über die Haushaltsgeräte in das Heimnetzwerk einzudringen oder verschiedene Geräte zu sogenannten Bot-Netzwerken zusammenzuschließen und mit diesen Webseiten im Internet lahmzulegen.

Gerade im Bereich des Internets der Dinge ist daher auch der Nutzer gefragt, sich etwa durch starke Verschlüsselungen, datenschutzbewusste Geräteeinstellungen und eine sorgfältige Produktauswahl möglichst gut gegen Angriffe auf seine Privatsphäre abzusichern.

NRW Justizminister will „Datenpreisschild“ für Apps einführen

NRWs Justizminister Peter Biesenbach fordert die Angabe eines „Datenpreises“ für Apps. Sowohl die Verbraucherzentrale als auch das NRW Justizministerium kritisieren, dass zwar ein Großteil der Apps kostenlos angeboten werde, den Verbrauchern jedoch in den meisten Fällen gar nicht bewusst sei, dass sie die App Anbieter mit den von Ihnen zur Verfügung gestellten personenbezogenen Daten „bezahlen“. Insbesondere über Apps wie „Runtastic“ oder auch „Whatsapp“ stellen die User den Anbietern unzählige personenbezogene Daten, wie ihr Adressbuch, Kalender, Fotos, Chat-Verläufe, Bewegungsprofile oder Gesundheitsdaten zur Verfügung, äußert Biesenbach gegeüber der Rheinischen Post.

Biesenbach will die Anbieter daher zu mehr Transparenz zwingen. Verbraucher sollen ausdrücklich darüber aufgeklärt werden, welche ihrer Daten erhoben werden und insbesondere, an wen die Daten übermittelt werden. Dazu möchte er über eine Bundesratsinitiative eine Gesetzesänderung des Bürgerlichen Gesetzbuchs (BGB) erreichen. Entsprechende Gespräche mit seinen Amtskollegen in den übrigen Bundesländern fänden bereits statt.

In den meisten Fällen greifen die Apps auf deutlich mehr personenbezogene Daten zu, als eigentlich nötig wäre. So erfasst die App „Runtastic“ je nach Konfiguration nicht nur die gelaufenen Strecken, sondern auch die Fotos des oder Adressbücher des jeweiligen Users. Mit den gesammelten Daten lassen sich umfassende Profile der App-User erstellen, die dann zu Werbezwecken weiterverkauft werden.

 

Kategorien: Allgemein · WhatsApp
Schlagwörter: , ,

Krankenhäuser fordern Digitalisierung

Die Digitalisierung auf der ganzen Welt schreitet immer mehr voran. Auch im Bereich der Medizin gibt es immer wieder technische Innovationen die eine gewisse Digitalisierung von Krankenhäusern voraussetzen.

Ein weit verbreitetes Problem dabei ist, dass solche Innovationen meist mit hohen Kosten und viel Aufwand verbunden sind. Dementsprechend gibt es zahlreiche Krankenhäuser, die nicht mit dem technischen Fortschritt Schritt halten können.

Der Geschäftsführer der Deutschen Krankenhausgesellschaft Georg Baum beurteilt die Lage deutscher Krankenhäuser so, dass diese seines Erachtens nach ganze 5 Jahre hinter der Digitalisierung zurückliegen. Neuheiten wie beispielsweise „intelligente Pflaster“, welche die Wundheilung mittels Temperaturmessung überwachen und Unregelmäßigkeiten per App mitteilen oder digitale Bilddaten aus CT- oder MRT-Systemen die Tumore aufspüren können, sind dabei für deutsche Krankenhäuser weitestgehend unerschwinglich.

Bei weiterer Betrachtung solcher Innovationen fällt ein weiteres Problem deutlich ins Gewicht. Die IT Sicherheit und der Datenschutz. Da es sich in der Medizin immer um Gesundheitsdaten und somit sensible personenbezogene Daten dreht, stellt sich die Frage wie man diese ordnungsgemäß schützen kann, dass Dritte in keinem Fall Zugang zu den Daten der Patienten bekommen können.
Die Verwendung von Apps und eine drahtlose Übermittlung der Daten bieten dabei die Gelegenheit für Hackerangriffe, welchen durch sogenannte „Cybersicherheit“ vorgebeugt werden soll. Besonders problematisch sind dabei jene Anwendungen, die mit dem Handy eines Patienten oder des Benutzers gekoppelt werden.

Wie sich die Sachlage zukünftig entwickeln wird und wodurch die Gesundheitsapps und technischen Innovationen geschützt werden ist noch nicht ausgereift. Aktuell jedoch benutzen bereits 45 % der deutschen Smartphone Nutzer Gesundheitsapps in ihrem Alltag.

Ein Jahr Privacy Shield

7. November 2017

Der EU-US Privacy Shield (Privacy Shield) soll die Daten von EU-Bürgern vor dem US-Spähapparat schützen. Kritiker haben jedoch ernste Zweifel, ob dies momentan der Fall ist.

Der transatlantische Datenpakt ist seit gut einem Jahr in Kraft und wurde jetzt einer ersten Überprüfung unterzogen. Der Privacy Shield ist der Nachfolger des Safe Harbor Abkommens, welches in einer aufsehenerregenden Entscheidung des EuGH aufgehoben wurde.

Zweck des Privacy Shield ist, in den USA ein ähnliches Datenschutzniveau zu erreichen wie in der EU, sodass die Daten der EU-Bürger in den USA genauso geschützt sind wie hier zu Lande. Dabei soll insbesondere erreicht werden:

  • die Daten sollen sicher sein vor ausufernder Massenüberwachung durch US-Behörden (zB die NSA),
  • eine Ombudsperson, die im US-Außenministerium etabliert wird, an die sich EU-Bürger direkt wenden können,
  • keine Speicherung auf unbestimmte Zeit von personenbezogenen Daten von EU-Bürgern durch Unternehmen.

2400 Firmen haben sich seit der Einführung für den Schutzschirm zertifiziert. Dazu gehören Branchenriesen wie Amazon, Tesla, Facebook und Google. Die Wichtigkeit des Privacy Shield als Datenschutzregelung ist demnach nicht von der Hand zu weisen. Neben der Zertifizierung bleiben als rechtliche Grundlage nur Standardvertragsklauseln.

Die erste Überprüfung zeigt allerdings, dass der Privacy Shield immer noch umstritten ist und das zentrale Forderungen, wie die Ombudsperson, von Seiten der US-Regierung noch nicht umgesetzt sind. Zudem hat US-Präsident Trump bereits kurz nach Amtsantritt versucht den Datenschutz für Nichtamerikaner per Dekret aufzuheben.

Dennoch ist die verantwortliche EU-Justizkommissarin Vera Journová nicht unzufrieden mit dem Verlauf des ersten Jahres. Es wird zwar gemahnt, dass die Ombudsperson möglichst schnell ernannt werden sollte, aber sie ist sich sicher, dass die USA die Sorgen der Europäer inzwischen ernst nehmen.

Kritiker bemängeln allerdings weiterhin, dass zu wenig getan wird, um die bestehenden Ansprüche durchzusetzen und das der Privacy Shield die im Safe Harbor Urteil formulierten Anforderungen nicht erfüllt.

Europäisches Parlament verabschiedet Entwurf für die ePrivacy-Verordnung

6. November 2017

Am 26.10.2017 hat das Europäische Parlament einen Entwurf für die ePrivacy – Verordnung beschlossen. Anders als die EU-Datenschutzgrundverordnung (DSGVO), die sich im Wesentlichen auf die Verarbeitung personenbezogener Daten bezieht, bezieht sich die ePrivacy – Verordnung auf die Verarbeitung von Kommunikationsdaten. Die beiden Verordnungen sollen gleichranging nebeneinander stehen und so einen möglichst ganzheitlichen Datenschutz gewährleisten. Die ePrivacy – Verordnung soll, wie auch die DSGVO, am 25.05.2018 in Kraft treten.

In dem vom Europäischen Parlament verabschiedeten Entwurf haben sich die Parlamentarier unter anderem dafür ausgesprochen, dass auch internetbasierte Kommunikationsdienste wie beispielsweise Whatsapp oder Skype von der Verordnung erfasst werden sollen. Darüber hinaus soll die Datenweitergabe an Dritte, etwa zu Werbezwecken, nur noch nach ausdrücklicher Zustimmung erlaubt sein und Webbrowser standardmäßig so voreingestellt werden, dass das Tracking von Webseiten einfacher zugelassen oder abgelehnt werden kann. Weiterhin sprechen sich die Parlamentarier in ihrem Entwurf der ePrivacy – Verordnung dafür aus, dass es ein Recht auf Ende – zu – Ende – Verschlüsslung geben soll.

Auf der Grundlage des nun verabschiedeten Entwurfs wird es in einem nächsten Schritt zu Verhandlungen zwischen dem Europäischen Parlament, der Europäischen Kommission und den Mitgliedstaaten kommen. Im Zuge dieser Trilog-Verhandlungen kann sich der Inhalt der ePrivacy – Verordnung durchaus noch grundlegend ändern. Aufgrund der noch ausstehenden Verhandlungsrunden ist davon auszugehen, dass eine endgültige Fassung der ePrivacy – Verordnung erst kurz vor dem eigentlichen Inkrafttreten im Mai 2018 verabschiedet werden wird. Für betroffene Unternehmen hätte dies zur Folge, dass ihnen nur eine kurze Zeitspanne zur Vorbereitung und Umsetzung der notwendigen Maßnahmen bleiben würde.

Social-Media-Nutzung in Behörden: Datenaufsichtsbehörde Baden-Württemberg veröffentlicht Richtlinie

2. November 2017

Die baden-württembergische Datenaufsichtsbehörde hat heute eine erste Richtlinie für die Nutzung von Social Media durch öffentliche Stellen herausgegeben. Sie regelt Nutzungsauflagen, die vor allem die Öffentlichkeitsarbeit und Bereitstellung allgemeiner Informationen betreffen. Dabei geht es vor allem um die Nutzung von Social-Media-Plattformen wie Twitter und Facebook, auf denen z.B. Sicherheitsbehörden aktuelle Kurzinformationen an Versammlungsteilnehmer veröffentlichen, Kommunen ihr touristisches Angebot bewerben oder einige Behörden zu besetzende Stellen ausschreiben wollen. Bislang wurde eine solche Nutzung von den Datenaufsichtsbehörden der Bundesländer eher kritisch beäugt und äußerst destriktiv behandelt. An konkreten Vorgaben für einen datenschuztkonformen Umgang mit Social-Media fehlte es bislang allerdings. Da die Vorbehalte bei den Behörden selbst allerdings ohnehin auf „erschreckend geringe Resonanz“ stießen, wie der Landesdatenschutzbeauftrage Baden-Württembergs Stefan Brink erklärte, hat seine Behörde nun die oben genannte Richtlinie erstellt, „um sich der Realitität anzunähern“.

Laut Brink tragen die Behörden eine datenschutzrechtliche Mitverantwortung. So müssen sie vor der Erstellung eines Accounts ein klares Nutzungskonzept festlegen. Es muss Zweck, Art und Umfang der Nutzung beschreiben, Verantwortlichkeiten für die redaktionelle und technische Betreuung und für die Wahrnehmung der Betroffenenrechte festlegen. Auch die Datenschutzgrundverordnung (DSGVO) sollen die Behörden bereits beachten und so eine Datenschutzfolgenabschätzung vornehmen. Zwar besteht nach der Richtlinie keine Meldepflicht gegenüber der Datenschutzaufsichtsbehörde, das datenschutzrechtliche Nutzungskonzept soll aber allgemein zugänglich sein und als Grundlage für künftige Prüfungen dienen.

Brink legt den Behörden zudem auf, die Pflichten des Telemediengesetzes zu beachten. Darunter fallen vor allem das Stellen eines Impressums und das Zugänglichmachen spezifischer Datenschutzerklärungen, die den jeweiligen Nutzer umfassend über der Verarbeitung seiner personenbezogenen Daten informieren sollen.

Er kündigte an, die Einhaltung dieses vorgegebenen Handlungsrahmens insbesondere ab Januar 2018 verstärkt zu überprüfen, wies zeitgleich aber bereits daraufhin, dass mit der DSGVO ab Mai 2018 weitere Anpassungen notwendig werden, um den Anforderungen der DSGVO zu entsprechen. Interessant ist unterdessen die Tatsache, dass sich die Datenschutzaufsichtsbehörden der Länder selbst bisher der Nutzung von Social-Media-Plattformen verwehren, während auf der europäischen Ebene etwa die französische Aufsichtsbehörde CNIL, die den Vorsitz der europäischen Artikel-29-Gruppe innehat, einen englischen und einen französischen Twitter-Account betreibt.

E-Mail Versand durch Berufsgeheimnisträger rechtswidrig

Laut dem sächsischen Datenschutzbeauftragten Andreas Schurig entsprechen unverschlüsselte E-Mails von Berufsgeheimnisträgern nicht mehr dem technischen Stand.

Bei Ärzten, Apothekern, Rechtsanwälten und Sozialarbeitern reiche die unverschlüsselte E-Mail nicht mehr aus. Um ihren Pflichten nachzukommen, müssen Berufsgeheimnisträger zusätzlich ihre elektronische Kommunikation verschlüsseln.

In seinem Tätigkeitsbericht für den nicht öffentlichen Bereich begründet Schurig das Verschlüsselungserfordernis mit der problemlosen Einsehbarkeit von unverschlüsselten E-Mails. Die unverschlüsselte E-Mail vergleicht er mit dem Versand einer Postkarte, die ebenfalls jeder mitlesen kann. Dadurch entsprecht sie nicht mehr dem geltenden Datenschutzrecht.

Bei Berufsgeheimnisträgern sind die Auswirkungen noch intensiver. Laut Schurig soll eine unverschlüsselte E-Mail potentiell gegen § 203 I StGB verstoßen. Der § 203 StGB betrifft die Verletzung von Privatgeheimnissen sowie Betriebs- und Geschäftsgeheimnissen. Die Verletzung erfolgt durch die unbefugte Offenbarung des Geheimnisses. Davon sind nicht nur Anwälte erfasst, sondern ebenso Versandapotheken bei Bestätigungen von Bestellungen.

Kategorien: Allgemein
Schlagwörter: , ,

Niederländische Datenschutzbehörde bewertet Windows 10 als nicht datenschutzkonform

27. Oktober 2017

Nach einem Bericht der niederländischen Datenschutzbehörde ist das Betriebssystem Windows 10 Home und Windows 10 Pro nicht datenschutzkonform. Damit kommt sie zu einem gegensätzlichen Ergebnis als das Bayerische Landesamt für Datenschutzaufsicht im September (wir berichteten).

Laut Behörde werde vor allem nicht klar genug informiert, welche Daten für welche Zwecke erfasst und ausgewertet werden, sodass die Datenverwendung für Nutzer nicht abschätzbar sei. Vor allem kann auch nicht dadurch auf eine wirksame Einwilligung geschlossen werden, dass eine Opt-Out-Funktion in den Datenschutz-Einstellungen angeboten (aber nicht genutzt wird) bzw. die Voreinstellungen nicht aktiv geändert werden.

Gesammelt und gespeichert werden URL von den besuchten Internetseiten, die Nutzung von Apps, aber auch Telemetrie-Daten wie Absturzberichte oder Nutzungsdauer von Eingabegeräten (wie Maus und Touchscreen). Wenn Opt-Out nicht gewählt worden ist, wird so personalisierte Werbung auf Windows, Edge und Apps angezeigt. Nach der Niederländischen Behörde macht Microsoft nicht deutlich genug, dass beim Surfen Daten gesammelt werden.

Laut der bayerischen Datenschutzaufsicht hingegen würde es ausreichen, dass die Datenflüsse kontrollierbar seien. Dennoch hatte auch das BayLDA festgehalten, dass durchaus noch Handlungsbedarf besteht, einer Nutzung von Windows 10 aber im Unternehmen mit Microsoft Gruppenrichtlinien und den richtigen Einstellungen nichts entgegensteht. Die europäischen Datenschutzbehörden beurteilten diese Einschätzung als verfrüht, vor allem da die Gruppenrichtlinien noch nicht vorgelegt worden sind.

Auf den Bericht der niederländischen Datenschutzbehörde hin, hat Microsoft angedeutet, dass alle rechtswidrigen Funktionen beseitigt werden sollen.

Kategorien: Allgemein
Schlagwörter: ,
1 2 3 4 5 154