Kategorie: Allgemein

Streit um Videokonferenzsysteme – Microsoft mahnt Berliner Datenschutzbehörde ab

20. Mai 2020

Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, „unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen“. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.

Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.

Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .

Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung „keine ernsthafte Befassung mit der DSGVO erkennen“ ließe.

Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich „Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie„. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments „Best-Practice zum Homeoffice“ der Bayerischen Datenschutzbehörde.

Schul-Cloud des Hasso-Plattner-Instituts gehackt

Die Cloud-Software des Hasso-Plattner-Instituts (HPI) wird in mehreren Bundesländern eingesetzt. Nach Angaben vom HPI konnten sich Unberechtigte über einen allgemeinen Einladungs-Link bei dem System anmelden und dabei Nutzerdaten von Anwendern einsehen. So wurde im Saarland eine Liste von ca. 100 Namen von Schülern und Lehrern bekannt. Insgesamt sollen bundesweit 13 Schulen betroffen sein, bei denen sich auffällige Nutzer registriert hatten. 

Das HPI wurde vom saarländischen Datenschutzbeauftragten auf eine potentielle Lücke hingewiesen, über die es Hackern möglich war, sich illegal einen Account in der HPI Schul-Cloud anzulegen. Verdächtigte Nutzer sollen dabei in dem Schul-System eine Gruppe erstellt und versucht haben, Schüler und Lehrkräfte in dieses Team einzuladen.

Die Sicherheitslücke der Schul-Cloud wurde nun geschlossen. Die Funktion eines schulweiten Registrierungslinks wurde nach dem Vorfall aus der Software entfernt. Es sollen stattdessen andere Formen der Nutzerregistrierung verwenden werden – wie z.B. ein persönlicher Einladungs-Link. 

Zudem wurde bei der Überprüfung des Vorfalls eine weitere Datenschutzlücke ersichtlich. In einem Ticketsystem zur Entwicklung der Software, waren zum Teil Tickets öffentlich einsehbar, in denen Fehlermeldungen oder Verbesserungsvorschläge von Nutzern erfasst wurden.

Kein besonderer Kündigungsschutz für freiwillige Datenschutzbeauftragte

13. Mai 2020

Im Urteil vom 5. Dezember 2019 (Az.: 2 AZR 223/19) hat sich das Bundesarbeitsgericht mit dem besonderen Kündigungsschutz für Datenschutzbeauftragte befasst.

Grundsätzlich gilt für interne Datenschutzbeauftragte ein besonderer Kündigungsschutz gemäß § 38 Abs. 2 BDSG in Verbindung mit § 6 Abs. 4 Satz 1 BDSG. Besonderen Kündigungsschutz genießen zum Beispiel auch Arbeitnehmer in Elternzeit oder Betriebsratsmitglieder. Diese Personengruppen können entweder nicht oder nur aus besonders wichtigem Grund gemäß § 626 BGB gekündigt werden.

Ein wichtiger Grund kann zum Beispiel in der Unzumutbarkeit des Fortführens des Arbeitsverhältnisses liegen. Durch die besondere Stellung des Datenschutzbeauftragten soll ein effektiver und ungestörter Datenschutz gewährleistet werden.

Im zugrundliegenden Urteil ist die Gesamtanzahl der Beschäftigten des Unternehmens unter den zum damaligen Zeitpunkt maßgeblichen Schwellenwert von zehn Mitarbeiter gesunken. Das Unternehmen wollte daraufhin seinen internen Datenschutzbeauftragten kündigen.

Das Bundesarbeitsgericht hat diese Kündigung als wirksam eingestuft. Als Begründung führte das Gericht an, dass maßgeblich für die Pflicht zur Benennung eines Datenschutzbeauftragten die Anzahl der Beschäftigten ist. Diese Pflicht entfällt nach aktueller Rechtslage, wenn die Gesamtanzahl der Beschäftigten unter 20 sinkt.

Dem Urteil kommt momentan besondere Relevanz zu teil, da am 26. November 2019 das zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) in Kraft getreten ist. Dadurch stieg der Schwellenwert für die zwingende Benennung eines Datenschutzbeauftragen gemäß § 38 Abs. 1 Satz 1 BDSG von zehn auf 20 Mitarbeiter.

Damit gelten Datenschutzbeauftragte in Unternehmen ab zehn Mitarbeitern, aber unter 20 Mitarbeitern, als freiwillige Datenschutzbeauftragte, da für deren Bestellung keine gesetzliche Pflicht mehr vorliegt. Für diese Datenschutzbeauftragten entfällt der besondere Kündigungsschutz, der normalerweise erst nach Abberufung beginnt, ab dem 27. November 2020 automatisch. Ab diesem Datum an gelten Datenschutzbeauftragte in so einem Unternehmen als „normale“ Mitarbeiter, die den entsprechenden gesetzlichen Bestimmungen unterliegen.

Wenn Sie keine Mitarbeiter haben, die Sie zum internen Datenschutzbeauftragten ernennen können oder wollen, können Sie sich hier über externe Datenschutzbeauftragte informieren.

LDI NRW veröffentlicht den Jahresbericht 2019

Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen (im Folgenden: LDI), Helga Block, hat heute den Jahresbericht für 2019 veröffentlicht. Gleichzeitig gab sie auch den Leitungswechsel bekannt, da sie 2020 ihren gesetzlichen Ruhestand antreten wird.

Die datenschutzrechtlichen Eingaben sind, im Vergleich zum Vorjahr, auf über 12.500 weiter angestiegen. Über 2200 Datenpannen wurden in der Zeit gemeldet. Obwohl bereits einige Grundsatzfragen durch das LDI geklärt werden konnten, besteht weiterhin Klärungsbedarf zu den Vorgaben und der Anwendung der DSGVO.

Die Landesbeauftragte hatte sich 2019 schwerpunktmäßig u.a. mit der Evaluation zur DSGVO und den datenschutzrechtlichen Fragen zur inneren Sicherheit, zum Internet und zu den Medien befasst. Besonders kritisierte Helga Block die umfangreichen Eingriffe in die informationelle Selbstbestimmung durch die strategische Fahndung der Polizei. Bei dieser wurden pro Fahndung jeweils 5000 Menschen Teil von Kontrollen und Identitätsfeststellungen, ohne dass das angestrebte Ziel erreicht worden ist. Ein weiteres zentrales Thema war die Veröffentlichung von Informationen zu Entscheidungen des Europäischen Gerichtshofes zum Betrieb von Facebook-Fanpages und zur Einbindung von Social Plugins auf Websites.

Abschließend äußerte sich Helga Block zur aktuellen Situation: „Die Vorlage dieses Berichtes fällt angesichts der Corona-Pandemie in eine Krisenzeit, in der die Freiheitsrechte durch Maßnahmen der Gesundheitsfürsorge stark eingeschränkt werden. Der Schutz der Grundrechte, zu denen auch das Recht auf informationelle Selbstbestimmung gehört, ist auch und gerade in einer solchen schweren Krise ein wesentliches Merkmal unserer freiheitlich-demokratischen Grundordnung, die es zu schützen gilt.“

Perspektivisch sprach sich die Landesbeauftragte für den kommenden Berichtszeitraum für die Wahl eines Ländervertreters aus, der im Europäischen Datenschutzausschuss neben dem Bundesbeauftragten an den Ausschusssitzungen teilnehmen kann.

Neue Leitlinien des Europäischen Datenschutzausschusses zur datenschutzrechtlichen Einwilligung

Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des „Working Papers“ WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.

Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema „Einwilligung“ noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. „Cookie Walls“, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.

„Cookie Walls“ unzulässig

Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als „freiwillig“ abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. „Cookie Walls“ seien demnach unzulässig (Rn. 39).

Scrollen und Wischen nicht als Einwilligung geeignet

Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen „unter keinen Umständen“ eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht „so einfach wie die Erteilung der Einwilligung“ widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.

Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.

Untersuchungsausschüsse fordern Löschverbot von Daten für Ministerhandys

8. Mai 2020

Zuletzt war es zwei Untersuchungsausschüssen im Bundestag nicht möglich die Diensthandys der Minister auszuwerten. Wenn es nach den Vorsitzenden der betreffenden parlamentarischen Ausschüsse geht, soll sich das in Zukunft ändern.

Nach Informationen von Süddeutscher Zeitung, NDR und WDR erfolgte die Initiative aufgrund der Vorkommnisse, die sich bei der Maut-Affäre um Bundesverkehrsminister Andreas Scheuer (CSU) sowie bei der Berateraffäre um Ex- Bundesverteidigungsministerin Ursula von der Leyen (CDU) ereigneten.

Was war zuvor passiert?

Als bekannt wurde, dass im Zuge des Untersuchungsausschusses zur Maut-Affäre die Daten auf den Diensthandys des Bundesverkehrsministers und weiterer führender Beamten gelöscht worden sind, war die Empörung im Bundestag – quer durch die Fraktionen – vorprogrammiert. Die Grünen sprachen sogar von „systematischer Löschung“. Denn einen solchen Vorgang durften die Abgeordneten nicht zum ersten mal bezeugen. Als Abgeordnete 2019 in der Berateraffäre die Handydaten der früheren Bundesverteidigungsministerin Ursula von der Leyen (CDU) auswerten wollten, waren die Daten ebenfalls gelöscht worden.

„Diensthandys sind kein rechtsfreier Raum (…)“

„Mir stinkt, dass wir über gelöschte Handydaten diskutieren müssen“, zitiert die Süddeutsche Zeitung (SZ) den Vorsitzenden des Untersuchungsausschusses, der mit der Maut-Affäre betraut ist, Udo Schiefner (SPD). „Daten von Diensthandys müssten gesichert werden, wie alle anderen Kommunikationsdaten der Ministerien auch. Wie soll das Parlament sonst seine Kontrollfunktion umfassend wahrnehmen?“ In dieselbe Kerbe schlägt der Vorsitzende des Untersuchungsausschusses zu den teuren Beraterverträgen im Bundesverteidigungsministerium, Wolfgang Hellmich (SPD). Denn auch er sieht „erheblichen Regelungsbedarf“ und fordert eine Überarbeitung der bestehenden Regelungen durch die Bundesregierung, in der „geregelt sein muss, dass die Diensthandys der Minister für Untersuchungsausschüsse verfügbar sein müssen“. „Diensthandys sind kein rechtsfreier Raum. Es geht hier um die Wahrung der parlamentarischen Rechte“, sagt Hellmich.

Die Status quo Rechtslage

Eigentlich ist die Rechtslage klar: Die Geschäftsordnung der Bundesministerien sowie die sogenannten Registraturrichtlinie schreiben vor, dass dienstliche Inhalte der Ministerhandys grundsätzlich zu archivieren sind. „Klingt erst einmal gut“, mag der aufmerksame Leser nun denken. Der Teufel liegt hier im Detail. Denn die Ministerinnen und Minister können selbst entscheiden, welche Kommunikation für den jeweiligen Sachvorgang relevant ist und somit eine nicht nachvollziehbare Vorabauswahl der zu archivierenden Daten treffen. Das liegt daran, dass Minister ihre Diensthandys auch für private Zwecke nutzen dürfen. In diesem Fall findet „eine Speicherung von SMS und Telefonkontakten außerhalb der Geräte mit Blick auf den Daten- und Persönlichkeitsschutz nicht statt“, so die Bundesregierung.

Mit ihrem Vorstoß wollen Schiefner und Hellmich nun verbindliche und härtere Regelungen erwirken. Das Problem an der Sache ist nur, dass dafür das Bundeskabinett die Gemeinsame Geschäftsordnung verschärfen müsste. Und wer ist Teil des Bundeskabinetts? Richtig, die Minister.

Bundesverfassungsgericht lehnt Eilantrag gegen Auswertung von Patiendaten ab

Das Bundesverfassungsgericht lehnte, mit am 30. April 2020 veröffentlichten Beschluss, einen Antrag auf vorläufige Außerkraftsetzung des Vollzugs, neu in das SGB V eingefügter Vorschriften, ab.

Mithilfe dieser neu eingefügten Vorschriften (§ 68a Abs. 5 SGB V und §§ 303a ff. SGB V) sollte es gestattet werden, Daten von gesetzlich Krankenversicherten in pseudonymisierter oder anonymisierter Form, für Zwecke der medizinischen Forschung und hinsichtlich der digitalen Innovation zu nutzen. Hierbei sollen personenbezogene Daten der gesetzlich Versicherten wie Alter, Geschlecht oder Wohnort sowie bestimmte Gesundheitsdaten an den Spitzenverband Bund der Krankenkassen als Sammelstelle der Daten übermittelt und anschließend von diesem an ein (bisher noch nicht eingerichtetes) Forschungsdatenzentrum weitergegeben werden.
Der Antragsteller, der an einer seltenen Erbkrankheit leidet, befürchtet, dass trotz der vorgeschriebenen Datenschutzregeln bezüglich Pseudo- oder Anonymisierung eine Identifizierung seiner Person möglich sein könnte.

Die 2. Kammer des Ersten Senats begründete die Ablehnung des Antrags damit, dass im Rahmen eines Eilverfahrens inhaltlich nicht über die schwierigen verfassungsrechtlichen Fragen entschieden werden könne, welche das Verfahren mit sich bringe. Eine durch den Antragsteller noch zu erhebende Verfassungsbeschwerde wäre derzeit weder offensichtlich unzulässig noch unbegründet, da aufgrund des sensiblen Charakters der erfassten Gesundheitsdaten und deren flächendeckender Erhebung tiefe Eingriffe in das Persönlichkeitsrecht möglich sein können. In einer summarischen Prüfung wurden die Vor- und Nachteile gegeneinander abgewogen, die eine Außerkraftsetzung der neu eingeführten Regelungen bzw. eine weitere Anwendung dieser Regelungen nach sich ziehen können. Nach Ansicht der Kammer sind die „Nachteile, die sich aus einer vorläufigen Anwendung der Vorschriften ergeben, wenn sich das Gesetz im Nachhinein als verfassungswidrig erwiese (…) zwar von erheblichem Gewicht. Sie überwiegen aber nicht deutlich die Nachteile, die entstünden, wenn die Vorschriften außer Kraft träten, sich das Gesetz aber später als verfassungsgemäß erwiese.“


Das moderne Fahrrad als Datenfalle?

7. Mai 2020

Nun scheint auch das Fahrrad im Zeitalter der Digitalisierung Fuß zu fassen. Erste Hersteller bauen Minichips in die Rahmen, welche den Fahrrädern viele neue Funktionen zukommen lassen. Wie der Spiegel berichtet werden diese Neuerungen für das Rad einen ähnlichen Effekt haben wie damals der Umschwung von Mobiltelefon auf das Smartphone. Dies könnte gleichzeitig jedoch auch eine Gefahr für die personenbezogenen Daten der Fahrradnutzer darstellen.

Neue Funktionen

Tatsächlich verfügen E-Bikes bereits über interne Kommunikationsschnittstellen. Funktionsbereiche wie Displays, Motoren, Akkus etc. sammeln dabei technische Daten und tauschen sie untereinander zur Funktionsoptimierung aus. Informationen werden dazu nicht mehr wie üblich über einen Kabelbaum versendet, sondern über sogenannte CAN-Bus Signale oder über speziell entwickelte Funkmechanismen.

Insbesondere besteht nun jedoch die Möglichkeit ein entsprechendes, mit Minichip, ausgestattetes Fahrrad mit dem Telefon zu vernetzten. Nun lassen sich über Apps zum Beispiel gefahrene Kilometer oder Geschwindigkeiten ablesen. Zudem lässt sich über das Handy auch auf technische Funktionen des Fahrrads zugreifen. Die kroatische Marke Greyp baut sogar Kameras zur Überwachung an. Die Fahrräder lassen sich entweder über Mobilfunk oder über das WLAN mit dem Netz verbinden.

Andere Hersteller werben außerdem mit der Möglichkeit die Fahrräder nun orten zu können. Damit lassen sich auch gestohlene Fahrräder auffinden. Es wäre aber auch möglich Bewegungs- und Fahrprofile zu erstellen.

Datensicherheit

Offen bleibt also die Frage, wie sicher die gesammelten Daten sind. Fest steht: Ein Interesse Dritter an diesen Daten besteht allemal. Versicherungen bieten bereits bei Kraftfahrzeugen Vergünstigungen an, wenn das Fahrerprofil einen sicheren Fahrstil erkennen lässt. Der Allgemeine Deutschen Fahrrad-Club (ADFC) sieht für Deutschland zwar keine Gefahr, dass Datenverarbeitungen für „ominöse“ Zwecke verwendet werden. Ein Blick in die Datenschutzerklärungen von e-Bike-Herstellern ist bei Nutzung und beim Kauf der modernen Fahrgefährten jedoch unbedingt zu empfehlen.

Kategorien: Allgemein
Schlagwörter: ,

Xiaomi-Smartphones speichern laut Forschern Daten auch im Inkognito-Modus

IT-Sicherheitsforscher werfen dem chinesischen Smartphone-Hersteller Xiaomi vor, das Verhalten ihrer Nutzer in großem Umfang aufzuzeichnen. Dabei geht es insbesodere um Browserdaten. Auch wenn der Inkognito-Modus eingeschaltet ist, soll Xiaomi besuchte Websites und Eingaben in eine Suchmaschine aufzeichnen.

Bei der Verwendung des Standardbrowsers sollen Daten über jede besuchte Website an einen Server von Xiaomi übermittelt werden. Davon sollen auch Daten umfasst sein, die der Nutzer in Suchmaschinen eingibt. Und das unabhängig davon, ob Google verwendet wird oder DuckDuckGo, eine Suchmaschine die keine personenbezogenen Daten sammeln soll. Daran ändere auch die Nutzung des Inkognito-Modus nichts. Dies hatte der IT-Sicherheitsforscher Gabriel Cîrlig herausgefunden und dem US-Magain Forbes berichtet.

Es werden offenbar auch Angaben zum Smartphone, der Android-Version und eine Nutzerkennung übermittelt. Zudem soll das Smartphone bestimmte Nutzungsdaten an Server übermitteln, etwa welche Ordner geöffnet werden oder welche Apps verwendet werden. Cîrlig fürchtet, dass damit Nutzer einndeutig identifiziert werden können. Der Forscher stellte die Datenverarbeitungen auf einem Redmi Note 8-Smartphone fest. Er befürchtet aber, dass auch andere Modelle des Herstellers betroffen sind. Denn die Firmware für Mi10, Redmi K20 und Mi MIX 30 sollen den gleichen Browsercode haben. Die Daten wurden offenbar an Server in Singapur und Russland übermittelt, die beim Internetkonzern Alibaba gehostet wurden.

Auf Nachfrage von Forbes untersuchte der Cyber-Sicherheitsforscher Andrew Tierney weitere Browser, die Xiaomi im Google Play-Store bereitstellt. Sie kommen auf etwa 15 Mio. Downloads. Tierney fand heraus, dass diese Browser dieselben Daten sammelten – unabhängig vom Modus, in dem er surfte.

Xiaomi widersprach den Ergebnissen zunächst in einer Stellungnahme an Forbes. Dem Unternehmen sei die Privatsphäre ihrer Nutzer wichtig. Die Daten seien zwar gesammelt, jedoch anonymisiert worden und der Nutzer habe der Datenerhebung zugestimmt. Xiaomi widersprach insbesondere der Behauptung, dass die Daten auch bei der Verwendung des Inognito-Modus gespeichert werden. Die Datenverarbeitungen seien gängige Praxis. Die Experten Cîrlig und Tierney meinen dagegen, dass die Datenübermittlung deutlich umfangreicher als bei Google Chrome oder Apple Safari sei.

Xiaomi kündigte mittlerweile in einem Blogbeitrag an, eine Opt-out-Möglichkeit im Inkognito-Modus einzubauen. Damit wolle man die Kontrolle des Nutzers über sein Daten weiter stärken.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Probleme mit Apples Mail-App

4. Mai 2020

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Stellungnahme vom 24.04.2020 dazu geraten die iOS Applikation „Mail“ von Apple zu löschen oder zumindest die Synchronisation mit den eigenen Postfächern abzuschalten. Die Schwachstelle wird als „besonders kritisch“ eingestuft und ist bislang nicht geschlossen.

Das US-amerikanische Unternehmen ZecOps hatte während einer Untersuchung eine Sicherheitslücke entdeckt, welche es Hackern ermöglichen könnte auf Mail-Inhalte zuzugreifen, diese zu ändern oder zu löschen. Hierzu genüge es bereits, wenn der Nutzer eine Mail mit dem Schadcode der Hacker öffne. Unter der neuesten Betriebssystemversion iOS 13 müsse der Nutzer die Mail garnicht erst öffnen. Hier genüge es sogar die Mail zu empfangen.

Laut ZecOps lassen erste Hinweise darauf schließen, dass entsprechende Angriffe bereits stattgefunden haben. Nach Angaben des BSI betrifft die Sicherheitslücke tausende Verbraucher, Behörden und Unternehmen. Nicht betroffen ist hingegen die Mail-App in macOS.

Laut Apple besteht keine Gefahr

Apple hat die Sicherheitslücke untersucht und gibt an, es bestehe keine Gefahr für die Nutzer des Programms. Es treffe zwar zu, dass die Mail App entsprechende Probleme aufweise, die in iPhones und iPads integrierten Sicherheitsvorkehrungen reichen aber vollkommen aus um diese Sicherheitslücke zu schließen. Zudem konnte Apple keinen Beweis für das Ausnutzen der Sicherheitslücke feststellen.

Sicherheitslücke noch nicht geschlossen

Für App-Nutzer ist es daher nicht ganz klar, auf welche Informationen sie sich nun stützen sollten. Ratsam ist es den Empfehlungen des BSI zu folgen, bis Apple ein neues Patch zur Behebung der Fehler zur Verfügung gestellt hat.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: ,
1 3 4 5 6 7 159