14. Dezember 2011
Nachdem der Hamburgische Beauftragte für Datenschutz bereits rechtliche Schritte gegen Facebook angekündigt hat, ist nun auch Bundesverbraucherschutzministerin Aigner aktiv geworden. Sie hat sich nach Meldung der dpa mit einem Brief an die US-Handelskommission FTC gewandt, in welchem sie moniert, dass Facebook das Safe-Harbor-Abkommen verletze.
Nach DPA-Angaben wirft Aigner Facebook insbesondere vor, in Bezug auf die Gesichtserkennung vermutlich die weltweit größte Datenbank mit biometrischen Merkmalen einzelner Personen zu erstellen, ohne über deren biometrische Erfassung klar und verständlich zu informieren
Wenig später erklärte sich Facebook gegenüber der FTC zu strengeren Datenschutzauflaugen in den USA bereit, nachdem zuvor mehrfach gegen datenschutzrechtliche Selbstverpflichtungen verstoßen worden war. Insbesondere verpflichtete sich Facebook nun dazu, neue Funktionen und Einstellungen nicht mehr automatisch freizuschalten, ohne die Einwilligung des Nutzers einzuholen. Diese Praxis hatte in der Vergangenheit vielfach für Kritik gesorgt, so auch bei der Einführung der Gesichtserkennung.
Eben diese von Aigner expliziert kritisierte Gesichtserkennung findet jedoch keinen expliziten Niederschlag in der neuen Vereinbarung mit der FTC (se).
Seitens des Online-Immobilienportals Immoblienscout24 wurde bekannt gegeben, dass Dritten ein unbefugter Zugriff auf unternehmenseigene Datensysteme gelungen ist und (Firmen-)Namen, Kontaktdaten und interne Registrierungs- nummern von Anbietern kopiert werden konnten. Es handele sich nur um Daten, die ohnehin in den Exposés auf der Website veröffentlicht sind, sensible Daten wie Passwörter, Bank- und Zahlungsdaten seien nicht betroffen. Der unbefugte Zugriff soll mittlerweile unterbunden und die Sicherheit der angegriffenen Server wiederhergestellt sein. Dennoch werde den Nutzen empfohlen, ihr Passwort vorsorglich zu aktualisieren. (sa)
13. Dezember 2011
Das
Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat den Landtag
aufgefordert, die Bußgeldzuständigkeit bei Datenschutzverstößen abschließend und zeitlich vor der Novellierung des Landesdatenschutzgesetzes Schleswig-Holsteins festzulegen. Hintergrund dieser Forderung ist, dass im Rahmen der Auseinandersetzung um die
datenschutzrechtliche Zulässigkeit von Facebook-Fanpages zu Teilen die Bußgeldzuständigkeit des ULD
bestritten wurde. Da die Europäische Datenschutzrichtlinie jedoch für die unabhängige Datenschutzaufsicht explizit wirksame “Einwirkungsbefugnisse”, insbesondere die “Befugnis, eine rechtliche Verwarnung an den/die für die Verarbeitung Verantwortlichen zu richten”, fordere, solle das Parlament – schon um teure unnötige Zuständigkeitskonflikte zu vermeiden – eine Klärung herbeiführen, so der Leiter des ULD Thilo Weichert . ” Im Interesse der Wirtschaft, der betroffenen Bürgerinnen und Bürger und der Aufsicht sollte insofern Rechtssicherheit geschaffen werden.” (sa)
12. Dezember 2011
Seitens des sozialen Netzwerkes Google+ wurde bekannt gegeben, dass dessen Nutzern nun eine Funktion zur automatischen Gesichtserkennung angeboten wird. Mit “Find My Face” sollen Gesichter in hochgeladenen Fotos markiert und einem Namen zugeordnet werden können. Die Gesichtserkennung funktioniere jedoch ausschließlich unter Bekannten und fließe nicht in eine öffentliche Google-Suche ein. Ferner sei die automatische Gesichtserkennung nicht standardmäßig aktiviert, sondern der Nutzer müsse die Option erst in den Privatsphäreeinstellungen einschalten. Erst dann werde Google anhand von bereits hochgeladenen und mit Tags versehenen Fotos ein digitales Gesichtsmodell erstellen, dass bei einer späteren Deaktivierung der Funktion automatisch wieder gelöscht werde. Mit dieser Opt-in-Regelung geht Google einen anderen Weg als Facebook, das sich mit seiner von vornherein aktivierten Gesichtserkennung zu umfassender Kritik aus Datenschutzkreisen geführt hat. (sa)
9. Dezember 2011
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat bekannt gegeben, den Datenbankhauptschlüssel des Verfahrens zum Elektro- nischen Entgeltnachweis (ELENA), mit dem ausschließlich ein Zugriff auf die verschlüsselt gespeicherten Entgeltdaten von rund 35 Millionen Arbeitnehmern möglich war, unter Beteiligung des Bundesamtes für Sicherheit in der Informations- technik gelöscht zu haben. Die als Träger des digitalen Schlüssels verwendeten Chipkarten seien überschrieben worden und sollen nun geschreddert werden. Damit sei sichergestellt, dass niemand auf die ELENA-Datenbank zugreifen kann.
Der BfDI ist mit der Löschung des von ihm verwalteten Datenbankhauptschlüssels seiner Pflicht aus dem am 3. Dezember 2011 in Kraft getretenen
Gesetz zur Aufhebung von Vorschriften zum Verfahren des elektronischen Entgeltnachweises nachgekommen. Das Gesetz verpflichtet die beteiligten Institutionen zur unver- züglichen Löschung aller im Zusammenhang mit dem ELENA-Verfahren entstand- enen Daten und hebt die Meldepflicht der Arbeitgeber auf. (sa)
8. Dezember 2011
Das Bundesministerium des Inneren (BMI) und das Bundesministerium der Justiz (BMJ) haben bekannt gegeben, sich auf eine enge Zusammenarbeit in den Bereichen E-Government und E-Justice verständigt zu haben. Ziel sei es, eine anwenderfreundliche Kommunikation mit der Justiz sowohl per De-Mail als auch über das elektronische Gerichts- und Verwaltungspostfach (EGVP) bundesweit zu ermöglichen und die bisher nahezu ausschließlich papiergebundene Kommunikation dauerhaft abzulösen. Dafür sei u.a. eine grundlegende Modernisierung des Zugangs zu Gerichten und der Justiz unerlässlich, der auch durch den sich derzeit im Entwicklungsstadium befindlichen Entwurf für ein E-Government-Gesetz des Bundes realisiert werden soll.
„Justiz und Verwaltung müssen sich an die moderne Lebenswirklichkeit anpassen. Der elektronische Rechtsverkehr und eine elektronische Aktenführung machen die Kommunikation zwischen Bürgern und Behörden einfacher, effektiver und langfristig kostengünstiger. Dies ist der richtige und wichtige Schritt in die Zukunft.“, so Bundesjustizministerin Leutheusser-Schnarrenberger. (sa)
7. Dezember 2011
Carrier IQ wird zur Zeit in den Medien heiß diskutiert, was sicherlich auch der Behauptung des Unternehmens geschuldet ist, dass Carrier IQ auf über 140 Millionen Geräten laufe.
Was aber hat es mit Carrier IQ auf sich?
Alles nahm seinen Anfang damit, dass der IT-Experte Trevor Eckhart eine Beschreibung der Analyse Software der Firma Carrier IQ veröffentlichte in der er die Software als Rootkit bezeichnete. Daraufhin war man bei Carrier IQ wenig amüsiert, mahnte Eckhart ab und forderte ihn zur Unterlassung auf. Dieser erhielt daraufhin Unterstützung von der US-Bürgerrechtsbewegung EFF (Electronic Frontier Foundation). Kurze Zeit später entschuldigte sich Carrier IQ(Link entfernt) bei Eckhart für das übereilte Säbelgerassel und zog die Androhung juristischer Maßnahmen zurück.
Im Kern der Anschuldigungen steht der Vorwurf, dass Carrier IQ die Möglichkeiten hat, Tastatureingaben, Standortinformationen, die installierten Apps (…) – kurzum – fast alle relevanten Daten aufzuzeichnen, die auf einem Smartphone anfallen. Zweifelsfrei nachgewiesen ist bisher, dass die auf einem HTC-Gerät für den US-Markt installierte Carrier IQ Software Suchanfragen und gewählte Telefonnummern schon während des Eintippens aufzeichnet. Carrier IQ sah sich daraufhin veranlasst, eine Pressemitteilung (Linke entfernt) herauszugeben, in der klargestellt wurde, dass Carrier IQ zwar einen weitreichenden Zugriff auf die Daten des Gerätes habe, aber keine Inhalte von SMS, E-Mails, Photos sowie Audio und Videoinhalten sammele. Beispielsweise könne die Software nachvollziehen, ob eine SMS korrekt gesendet wurde, aber nicht was in der SMS gestanden habe. [Update 12.12.11] Ineinem Update der Pressemelung vom 12.12.2011 gestand Carrier IQ dann ein, dass es auf Grund eines Bugs in einigen seltenen Fällen doch dazu gekommen sei, dass der Inhalt der SMS übermittelt worden sei. Dieser Inhalt wäre aber kodiert und damit nicht durch Menschen lesbar gewesen. [/Update] Weiterhin wisse man auch, welche Apps den Akku leersaugen, Screenshots würden jedoch nicht erstellt. Auch auf die Frage warum Carrier IQ auf den Geräten installiert ist, gibt die Pressemeldung Aufschluss: Carrier IQ werde im Interesse der Netzbetreiber installiert, um diesen eine Verbesserung der Servicequalität zu ermöglichen. Der Mitteilung kann man auch entnehmen, dass es nicht “eine” Carrier IQ Version, sondern jeweils auf den Kunden zugeschnittene Lösungen gibt.
Dies ließe vermuten, dass sich Carrier IQ Software nur auf Geräten befindet, die spezifisch auf den Netzbetreiber angepasst sind (sog. Branding). Ganz so einfach ist es jedoch nicht, da auch Apple’s populäres iPhone Carrier IQ Software nutzt(e). In einem Rundschreiben an die Medien gab die Firma aus Cupertino bekannt, dass die Unterstützung von Carrier IQ mit iOS 5 für die meisten Geräte eingstellt wurde. Gegenüber ars technica führte Apple aus, dass das iPhone 4 auch mit iOS 5 noch Carrier IQ Software verwendet. Mit einem zukünftigen Update soll die Software jedoch aus sämtlichen iOS Geräten entfernt werden. Fraglich ist allerdings, ob dies auch für “alte” Geräte gilt, die nicht auf iOS 5 geupdatet werden können. Die Apple-Implementierung bietet gegenüber den Androidversionen die Besonderheit, dass es sich um ein Opt-In Verfahren handelt. Standardmäßig ist die Option laut Angaben von Apple ausgeschaltet. iPhone-Nutzer können unter Einstellungen>Allgemein>Info>Diagnose & Nutzung überprüfen, ob das automatische Senden von Diagnose & Nutzungsdaten aktiviert ist. Ebenfalls kann dort eingesehen werden, welche Diagnose & Nutzungsdaten erhoben wurden. Die Daten werden im Falle der iOS-Implementierung nicht an Mobilfunknetzbetreiber gesendet, sondern an Apple selbst.
Dies wirft die Frage auf, wer (nach bisherigem Kenntnisstand) von Carrier IQ betroffen ist:
Zugegeben haben bisher die US Provider AT&T, Sprint und T-Mobile USA den Einsatz von Carrier IQ auf ihren Geräten. Wie eben erläutert, setzt(e) auch Apple die Software in gewissem Umfang ein. HTC und Motorola haben angegeben die Geräte auf Wunsch der Provider mit der Software auszustatten, wobei HTC explizit betonte, dass dies für den europäischen Markt nicht geschehe. Auch auf Smartphones von Samsung und Huawei wurde Carrier IQ Software nachgewiesen.
Die deutschen Provider Telekom, E-Plus und Vodafone haben angegeben, die Software nicht zu nutzen. Mehr Spielraum lässt die Aussage von O2 zu: O2 erhält nach eigenen Angaben keine Kundendaten durch Carrier IQ. Dies schließt jedoch nicht aus, dass die Software auf O2 Geräten installiert (und möglicherweise deaktiviert) ist.
Googles Nexus Geräte (One, S, S 4G und Galaxy) laufen mit einem weder durch Hersteller noch durch Provider angepassten Android-Betriebssystem und sind daher frei von Carrier IQ Software. Auch auf Geräten von HP, Palm, RIM und sämtlichen Windows Phone 7 Geräten ist bisher keine Spur von Carrier IQ nachzuweisen gewesen.
Für den Nutzer stellt sich die Situation also wie folgt dar: Mit Windows Phone, Web OS und Blackberry Geräten ist man nach bisherigen Erkenntnissen auf der sicheren Seite. Bei Apple kann man die Funktion, wie oben beschrieben, zumindest abschalten. Android Nutzer können mit einem Tool von Trevor Eckhart herausfinden, ob ihre Geräte von Carrier IQ (und sonstiger Loging-Software) betroffen sind. Eine Abschaltung der Software ist dabei nicht vorgesehen, kann aber im Einzelfall gerätespezifisch mit etwas Aufwand bewerkstelligt werden.
Juristische Reaktionen auf Carrier IQ
Auf Grund der Berichterstattung durch die Medien hat US-Senator Al Franken, seines Zeichens Vorsitzender des Unterausschusses für Datenschutz und Technologie, Carrier IQ, die Netzbetreiber und die Gerätehersteller aufgefordert, bis Mitte Dezember ausführliche Informationen vorzulegen. Insbesondere will er dabei wissen, ob gewählte Telefonnummern und der Inhalt von SMS aufgezeichnet werden. Gestützt auf den sogenannten Federal Wiretap Act sind nach Medienberichten in den USA mittlerweile auch Sammelklagen gegen Carrier IQ, Apple, HTC, Samsung, Sprint, AT&T und T-Mobile USA eingereicht wurden. Auch die deutschen Datenschützer sind nicht untätig geblieben: Einem Bericht von Bloomberg zufolge hat der Bayerische Landesdatenschutzbeauftragte, Thomas Kranig, Apple um Details bezüglich dem Einsatz von Carrier IQ gebeten. (se)
6. Dezember 2011
Medienberichten zufolge hat das Bundesministerium der Justiz (BMJ) anvisiert, den Schutz vor unerlaubten Werbeanrufen und zweifelhaften Gewinnspielen deutlich zu verbessern. Geplant sei zum einen, die Höhe für Bußgelder in diesem Bereich von derzeit 50.000 Euro auf 300.000 Euro zu erhöhen. Zum anderen sollen Verträge über Gewinnspieldienste künftig nur noch wirksam sein, wenn sie schriftlich, per Fax oder per E-Mail geschlossen wurden. Dieses Formerfordernis soll den Verbraucher zusätzlich vor Übereilung warnen und damit u.a. der Praxis entgegen- wirken, dass Callcenter im Auftrag von Firmen am Telefon anbieten, den Angeruf- enen kostenpflichtig bei diversen Gewinnspielen einzutragen, was zu erheblichen und für den Verbraucher intransparenten monatlichen Zahlungsverpflichtungen führen kann. (sa)
5. Dezember 2011
Die EU-Kommissarin Viviane Reding hat sich im Rahmen einer Rede vor der International Association of Privacy Professionals dafür eingesetzt, dass die Bestimmungen für rechtlich verbindliche Selbstverpflichtungen von Unternehmen zum Datenschutz (“Binding Corporate Rules”) in Europa verbessert werden. Das System solle dafür vereinfacht und insgesamt konsequent(er) umgesetzt werden. Dafür schlug sie – neben der Kürzung der Zeit und Kosten des Genehmigungs- verfahrens – u.a. vor, dass künftig nur noch eine Datenschutzbehörde als zentrale Anlaufstelle für die Selbstverpflichtungen zuständig sein soll, die dann EU-weit anerkannt würden. Das derzeitige Procedere führe dazu, dass auf Basis der EU-Datenschutzrichtlinie Selbstverpflichtungen von verschiedenen Behörden begutachtet werden, die wiederum unterschiedliche, z.T. auch widersprüchliche Methoden anwenden. Außerdem sei erforderlich, dass die rechtlichen Befugnisse der nationalen Behörden ausgebaut werden, da derzeit viele nicht in der Lage seien, Verstöße effektiv zu sanktionieren. Daneben forderte Reding eine Anpassung des Systems an Innovationen, z.B. neue Formen der Datenver- arbeitung wie etwa das Cloud Computing. (sa)
