Schlagwort: Social Media

HIV-Nutzerdaten bei der Dating-App „Grindr“ nicht sicher

10. April 2018

Um die Dating-App Grindr rankt sich erneut ein Datenskandal. Nachdem der ägyptische Geheimdienst  im Jahr 2014 die Standortanzeige zahlreicher App-User dazu nutzte, Jagd auf homosexuelle Männer zu machen, gerät die App nun erneut in die Kritik. Diesmal geht es um Gesundheitsdaten.

Einem kürzlichen Bericht von CNN zufolge hat die bei homo- und bisexuellen Männern beliebte Dating-App Grindr HIV-Nutzerdaten an die Datendienste Apptimize und Localystics weitergegeben. Neben Angaben zum HIV-Status und dem Datum des letzten HIV-Tests zählen auch die E-Mail- und GPS-Adressen der Nutzer zu den weitergegebenen Daten. Geraten diese Informationen in die falschen Hände, können die Konsequenzen für Betroffene kaum schlimmer sein, zumal durch die damit mögliche Identifizierung von Personen auch die Gefahr einer gesellschaftliche Ächtung einhergeht. Wie konkret diese Gefahr tatsächlich einzustufen ist, ist allerdings unklar: Laut CNN hat die schwedische Non-Profit-Forschungsorganisation SINTEF herausgefunden, dass die Daten teilweise in reinem Textformat und völlig unverschlüsselt übermittelt worden sind, was Grindr jedoch bestreitet.

Grindr hat derweil reagiert und die Datendienste zur Löschung aufgefordert. Zudem verspricht der App-Anbieter für die Zukunft, Daten dieser Art nicht mehr weiterzugeben.

Auch wenn es die Weitergabe solch sensibler Daten kaum zu rechtfertigen vermag, hat der Appell von Grindr an einen eigenverantwortlichen Umgang der Nutzer mit ihren persönlichen Daten durchaus seine Berechtigung. Letztlich kann jeder Nutzer über die Einstellungsfunktion selbst entscheiden, welche Daten er von sich preisgeben möchte. So lässt sich das Risiko einer unerwünschten Datenweitergabe von vornherein ausschließen.

Facebook überarbeitet seine Datenschutztools

28. März 2018

Aufgrund der anhaltenden Kritik im Zuge des Datenskandals hat Facebook nun seine Prviatsphäre-Tools überarbeitet. Ziel sei es, den Nutzern mehr Kontrolle über Ihre Daten zu ermöglichen. Um dies zu erreichen wuden die Einstellungen zur Prviatsphäre otpisch derart angepasst, dass der Zugang vereinfacht wurde und einzelne Einstellungsmöglichkeiten leichter auffindbar sind. Dadurch soll es den Nutzern möglich sein, transparenter zu erkennen, welche Informationen durch Facebook geteilt werden. Um eine solche erhöhte Transparenz zu ermöglichen, sollen die Mitglieder des Social-Media-Netzwerks in leicht verständlicher Sprache darüber informiert werden, wie personenbezogene Daten gesammelt und sodann verarbeitet werden. Hierzu wurde eine zeitnahe Aktualisierung der Datenrichtlinien angekündigt. In diesem Zusammenhang teilt Facebook mit, dass es nicht darum ginge „neue Berechtigungen zum Sammeln, Nutzen oder Teilen von Daten zu erlangen.“ Vielmehr ginge es um eine offengelegte Verarbeitung der Daten. Hierzu arbeitet das Unternehmen mit Aufsichtsbehöden und Datenschutz-Experten zusammen.

Die angekündigten Maßnahmen stehen dabei im Lichte der Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai diesen Jahres Anwendung findet. Die Verordnung sieht unter anderem vor, dass Betroffene transparent darüber informiert werden, wie und durch wen ihre personenbezogenen Daten verarbeitet werden. Um den erhöhten Pflichten der DSGVO nachzukommen, arbeite Facebook bereits „seit geraumer Zeit“ an der Anpassung der Prozesse.

Social-Media-Nutzung in Behörden: Datenaufsichtsbehörde Baden-Württemberg veröffentlicht Richtlinie

2. November 2017

Die baden-württembergische Datenaufsichtsbehörde hat heute eine erste Richtlinie für die Nutzung von Social Media durch öffentliche Stellen herausgegeben. Sie regelt Nutzungsauflagen, die vor allem die Öffentlichkeitsarbeit und Bereitstellung allgemeiner Informationen betreffen. Dabei geht es vor allem um die Nutzung von Social-Media-Plattformen wie Twitter und Facebook, auf denen z.B. Sicherheitsbehörden aktuelle Kurzinformationen an Versammlungsteilnehmer veröffentlichen, Kommunen ihr touristisches Angebot bewerben oder einige Behörden zu besetzende Stellen ausschreiben wollen. Bislang wurde eine solche Nutzung von den Datenaufsichtsbehörden der Bundesländer eher kritisch beäugt und äußerst destriktiv behandelt. An konkreten Vorgaben für einen datenschuztkonformen Umgang mit Social-Media fehlte es bislang allerdings. Da die Vorbehalte bei den Behörden selbst allerdings ohnehin auf „erschreckend geringe Resonanz“ stießen, wie der Landesdatenschutzbeauftrage Baden-Württembergs Stefan Brink erklärte, hat seine Behörde nun die oben genannte Richtlinie erstellt, „um sich der Realitität anzunähern“.

Laut Brink tragen die Behörden eine datenschutzrechtliche Mitverantwortung. So müssen sie vor der Erstellung eines Accounts ein klares Nutzungskonzept festlegen. Es muss Zweck, Art und Umfang der Nutzung beschreiben, Verantwortlichkeiten für die redaktionelle und technische Betreuung und für die Wahrnehmung der Betroffenenrechte festlegen. Auch die Datenschutzgrundverordnung (DSGVO) sollen die Behörden bereits beachten und so eine Datenschutzfolgenabschätzung vornehmen. Zwar besteht nach der Richtlinie keine Meldepflicht gegenüber der Datenschutzaufsichtsbehörde, das datenschutzrechtliche Nutzungskonzept soll aber allgemein zugänglich sein und als Grundlage für künftige Prüfungen dienen.

Brink legt den Behörden zudem auf, die Pflichten des Telemediengesetzes zu beachten. Darunter fallen vor allem das Stellen eines Impressums und das Zugänglichmachen spezifischer Datenschutzerklärungen, die den jeweiligen Nutzer umfassend über der Verarbeitung seiner personenbezogenen Daten informieren sollen.

Er kündigte an, die Einhaltung dieses vorgegebenen Handlungsrahmens insbesondere ab Januar 2018 verstärkt zu überprüfen, wies zeitgleich aber bereits daraufhin, dass mit der DSGVO ab Mai 2018 weitere Anpassungen notwendig werden, um den Anforderungen der DSGVO zu entsprechen. Interessant ist unterdessen die Tatsache, dass sich die Datenschutzaufsichtsbehörden der Länder selbst bisher der Nutzung von Social-Media-Plattformen verwehren, während auf der europäischen Ebene etwa die französische Aufsichtsbehörde CNIL, die den Vorsitz der europäischen Artikel-29-Gruppe innehat, einen englischen und einen französischen Twitter-Account betreibt.

Neues Snapchat-Feature „Snap Map“ erfasst automatisch Aufenthaltsort der Nutzer

26. Juni 2017

Letzte Woche präsentierte der Video-Messenger Snapchat ein neues Feature. „Snap Map“ erlaubt es dem Nutzer, seinen aktuellen Standort freizugeben und damit anderen Nutzern in Echtzeit mitzuteilen, wo er sich gerade befindet. Der jeweilige Aufenthaltsort wird auf einer Weltkarte angezeigt und soll Nutzern des Messengerdienstes zeigen, wo sich ihre Freunde gerade aufhalten und was sie gerade erleben.

Aus datenschutzrechtlicher Sicht stellt diese Funktionsweise einen nicht unerheblichen Eingriff in das allgemeine Persönlichkeitsrecht in Ausgestaltung des Rechts auf informationelle Selbstbestimmung dar. Zwar ist die neue Funktion grundsätzlich freiwillig und der Nutzer wird aufgefordert, diese aktiv einzuschalten, im Tutorial fehlt es jedoch an der Erklärung, dass eine einmal akivierte Standortfreigabe bestehen bleibt, was bedeutet, dass der Standort jedes Mal aktualisiert wird, wenn der Nutzer die Snapchat-App öffnet.

Wie ein Test der neuen Funktion von The Verge zeigt, ist der Karteneintrag so genau, dass man bei genauem Hinsehen sogar die Hausnummer des Hauses erraten konnte, an dem sich der Nutzer, der die Standortaktulaisierung aktivierte, befand. Auch auf den Detailgrad der angezeigten Weltkarte wird bis dato im Rahmen des Tutorials nicht hingewiesen und dürfte viele Nutzer überraschen. Besonders problematisch ist die neue Funktion, weil vor allem junge Leute die App nutzen und gerade diese die genauen Details und Einstellmöglichkeiten oftmals nicht erfassen können und schnell überlesen.

Wie ein Snapchat-Sprecher The Verge mitteilt, fragt die App in regelmäßigen Abständen nach, ob der Standort weiterhin bei jedem Öffnen aktualisiert werden solle. Zudem würde seitens Snapchat sichergestellt, dass die Standortdaten in „kurzen Zeitabständen“ gelöscht werden. So bleibe der Standort acht Stunden auf der Karte einsehbar, wenn die App in diesem Zeitraum nicht geöffnet und der Standort erneut aktualisiert wird.

Nutzer der App, die das neue Feature nicht nutzen wollen, sollten in den sog. „Geistmodus“ (Ghost Mode) wechseln.

Streit um das Facebook-Konto einer Verstorbenen

2. Mai 2017

Das Kammergericht Berlin hatte sich kürzlich in einem Verfahren mit der Frage zu beschäftigen, was mit dem Facebook-Konto – insbesondere den Login-Daten und Chats einer Person nach deren Tod passiert. Konkret ging es in dem Verfahren um ein 15-jähriges Mädchen, das aus bislang ungeklärten Umständen an einem Berliner U-Bahnhof verunglückt war und später ihren Verletzungen erlag.

Nachdem Facebook selbst das Konto der Verstorbenen bereits in den Gedenkzustand versetzt hatte, forderten die Eltern des Mädchens Facebook auf, ihnen die Login-Daten herauszugeben. Dadurch hofften sie, durch Hinweise im Facebook-Profil oder den Chats, herausfinden zu können, ob es sich bei dem Unfall möglicherweise um einen Suizid gehandelt habe. Weil Facebook die Herausgabe der Zugangsdaten unter Hinweis auf seine Nutzungsbedingungen verweigerte, klagten die Eltern der Verstorbenen vor dem Landgericht Berlin. Mit Urteil vom 17.12.2015 (Az. 20 O 172/15) entschied dieses, dass Facebook die Zugangsdaten an die Eltern herauszugeben habe. Als Begründung führte es damals an, dass nach herrschender Meinung zwischen dem Nutzer und Facebook ein Vertrag mit dienst- und mietvertraglichen Elementen bestehe und dieser im Rahmen der Gesamtrechtsnachfolge gemäß § 1922 BGB auf die Erben übergehe.

Etwas anderes könne sich nur dann ergeben, wenn der Gesamtrechtsnachfolge das postmortale Persönlichkeitsrecht und der Datenschutz der Verstorbenen entgegenstehen. Allerdings hatte das Landgericht Berlin geurteilt, dass das Bundesdatenschutzgesetz bei Verstorbenen nicht anzuwenden sei und auch nicht in das postmortale Persönlichkeitsrecht eingegriffen werde, wenn Facebook den Eltern der Verstorbenen die Zugangsdaten herausgeben würden. Es schütze mithin das Ansehen der Verstorbenen, als Sachwalter des Persönlichkeitsrecht seien allerdings die Eltern legitimiert, Informationen über die Internetnutzung ihrer Kinder zu erhalten. Dies würde zumindest für das Persönlichkeitsrecht von Minderjährigen gelten. Ob dies genauso für Volljährige gelte, hatte das Landgericht Berlin genauso offen gelassen, wie die Frage nach den Rechten Dritter, die mit der verstorbenen Person bei Facebook gechattet hatten und damit grundsätzlich darauf vertrauten, dass Nachrichten nur vom Facebooknutzer selbst und keinem Dritten gelesen würden.

Gegen das Urteil legte Facebook Berufung ein und so kam der Rechtsstreit nun vor das Kammergericht Berlin. Dieses regte nun zunächst einen Vergleich an, in dem es vorschlug, die Chat-Verläufe mit geschwärztem Namen an die Eltern herauszugeben. Offen ließ das Gericht dabei, ob die Chats papiergebunden oder digital herausgegeben werden müssen, sollten die Parteien mit dem Vergleich einverstanden sein. Die Parteien haben nun zwei Wochen Zeit, sich für oder gegen den Vergleich zu entscheiden. Sollten die Parteien das Vergleichsangebot ausschlagen, ist zur Klärung des Rechtsstreits eine höchstrichterliche Entscheidung durch den Bundesgerichtshof möglich.

meetOne nach Sicherheitsleck wegen Spam in der Kritik

6. August 2012

Die Datingplattform meetOne soll einem Bericht von heise.de zufolge die Adressbücher auf den Smartphones der Nutzer heimlich kopiert haben. Anschließend seien die Kontakte der Nutzer mit Spam-E-Mails zur Anmeldung bei meetOne aufgefordert worden.

Zudem seien die Adressdaten über eine ungesicherte Verbindung unverschlüsselt auf die Server von meetOne übertragen worden. Die Empfänger erhielten später Benachrichtigungen, wonach eine Flirtnachricht bei meetOne für sie eingegangen sei. Auf Nachfrage von heise Security bei dem Mitbegründer von meetOne, Nils Henning, sah dieser sich außer Stande, Angaben über die Herkunft der Adressen machen. Betreiber der Plattform sei inzwischen die Meetone International LLC mit Sitz in den USA. Nur dort könne aufgeklärt werden, woher die Daten stammen.

Erst Ende Juli war eine Sicherheitslücke bei meetOne bekannt geworden, über die zahlreiche persönliche Daten inklusive Passwörter in Klartext durch die Änderung von URL-Parametern ausgelesen werden konnten.