Kategorie: Internationaler Datenschutz
21. August 2020
Max Schrems, Jurist und Datenschutz-Aktivist aus Österreich, der insbesondere durch sein langjähriges juristisches Vorgehen gegen Facebook bekannt geworden ist, geht auch nach der sog. „Schrems-II-Entscheidung“ des EuGH (wir berichteten) weiter gegen Datentransfers in die USA vor. Mit seinem Projekt noyb hat Schrems nun 101 Beschwerden bei Aufsichtsbehörden in 30 verschiedenen Staaten der EU und EEA eingelegt.
Hintergrund der eingelgeten Beschwerden sei die fortgesetzte Nutzung insbesondere von Google Analytics und Facebook Connect durch die betroffenen Unternehmen, obwohl diese Dienste von den US-amerikanischen Überwachungsgesetzen erfasst seien und beide Unternehmen die Datentransfers scheinbar ohne rechtliche Grundlage durchführten. Zwar würden beide Unternehmen behaupten, dass die Transfers zulässig seien – Facebook verweise auf die verwendeten Standard-Vertragsklauseln (SCC), Google sogar immer noch auf den EU-US-Privacy-Shield – dieser Ansicht widerspricht noyb jedoch vehement. Insbesondere habe der EuGH in seiner Entscheidung ausdrücklich festgestellt, dass es nicht möglich sei Datentransfers in die USA auf die SCCs der EU zu stützen, wenn der Empfänger der Daten unter die US-amerikanischen Überwachungsgesetze fällt. Genau dies sei aber bei Google und Facebook der Fall. Dabei wird den amerikanischen Unternehmen sogar vorgeworfen, ihre Kunden über diese Tatsache hinwegzutäuschen, obwohl sie diesbezüglich zur Aufklärung verpflichtet seien und sich andernfalls schadensersatzpflichtig machten.
Um zu überprüfen, ob ein Datentransfer an Google und Facebook trotz der Schrems-II-Entscheidung weiterhin stattfindet, hatte noyb nach eigener Aussage „auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt“, und wurde dabei wiederholt fündig. Gegen 101 Unternehmen, die weiterhin solche Transfers durchführen, hat noyb daher Beschwerde bei den zuständigen Aufsichtsbehörden erhoben und fordert die Behörden dazu auf, die europäischen Regeln auch durchzusetzen. Gleichzeit wurde auch gegen Google und Facebook selbst wegen Verstößen gegen die DS-GVO in den USA Beschwerde erhoben.
noyb ist eine NGO mit Sitz in Wien, die 2017 unter anderem von Max Schrems gegründet wurde und sich für die Durchsetzung des Datenschutzes innerhalb der EU und EEA einsetzt. Dabei wird mit rechtlichen Mitteln insbesondere gegen große datenverarbeitende Unternehmen – wie z.B. Facebook oder Google – vorgegangen. Durch noyb eingelegte Beschwerden waren bereits Grundlage einiger verhängter Bußgelder, wie das äußerst empfindliche Bußgeld in Höhe von 50 Millionen Euro gegen Google.
20. August 2020
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper hat einen sogenannten „Auskunftsheranziehungsbescheid“ gegen Clearview AI erlassen.
Weil das Unternehmen die bisher größte bekannte Gesichtsdatenbank mit Milliarden Fotos aus sozialen Netzwerken aufgebaut hat, die unter anderem von Privatpersonen aber auch bis zu 600 Behörden genutzt wurde, ist das US-Unternehmen seit Monaten in der Kritik.
Bereits im Februar wurde beim HmbBfDI eine Beschwerde gegen Clearview eingereicht. Der HmbBfDI hat daraufhin mehrfach Kontakt mit Clearview aufgenommen und versucht Informationen zum Geschäftsmodell sowie zu den Umständen, die der Beschwerde zugrunde liegen, zu erhalten. Diese Fragen wurden ausweislich der Pressemitteilung des HmbBfDI nicht zufriedenstellend beantwortet.
Clearview stellte sich auf den Standpunkt, dass die DSGVO auf die von Clearview betriebene Datenverarbeitung keine Anwendung finde, weshalb auch keine Pflicht zur Beantwortung der Fragen des HmbBfDI bestehe.
Dem widerspricht der HmbBfDI. Der Anwendungsbereich der DSGVO sei sehr wohl eröffnet und Clearview somit zur Auskunft verpflichtet. Aufgrund des nunmehr erlassenen Bescheids ist das US-Unternehmen verpflichtet bis Mitte September Auskunft zu erteilen. Für den Fall der Weigerung wurde ein Zwangsgeld in Höhe von je 10.000€ für jeden Einzelfall der insgesamt siebzehn Fragekomplexe angeordnet.
Casper führt dazu aus:
„Geschäftsmodelle, die darin bestehen, massenhaft und anlasslos Bilder im Netz zu sammeln und die Gesichter von Personen durch biometrische Analyse identifizierbar zu machen, gefährden die Privatsphäre im globalen Maßstab. Zum Schutz Betroffener unter der EU-Grundrechtecharta müssen sie anhand der Datenschutzgrundverordnung kontrolliert, reguliert und nötigenfalls gestoppt werden. In Europa darf es keinen Raum für düstere digitale Dystopien geben, in denen der Einsatz von Gesichtserkennungssoftware und biometrische Datenbanken staatlichen, aber auch privaten Stellen eine neue, kaum mehr kontrollierbare Form der Herrschaft über Menschen verschafft. Die Datenschutzaufsichtsbehörden haben den Auftrag, hierüber zu wachen. Das gilt auch gegenüber Unternehmen, die entsprechende Geschäftszwecke von außerhalb der EU verfolgen und damit die Privatsphäre und die informationelle Selbstbestimmung von Menschen in der EU in Frage stellen. Um eine datenschutzrechtliche Kontrolle zu ermöglichen, gehe ich davon aus, dass Clearview die dem Unternehmen gestellten Fragen beantworten oder zumindest gegen den Heranziehungsbescheid Rechtsmittel einlegen wird, um so eine rechtliche Entscheidung zu ermöglichen.“
22. Juli 2020
Die ersten deutschen Aufsichtsbehörden haben inzwischen ihre Stellungnahmen zum o. g. Urteil veröffentlicht, in dem das EU-U.S. Privacy Shield für unwirksam erklärt wurde.
Mit dem Urteil hat das Gericht auch Unsicherheit in Bezug auf den weiteren Umgang mit Datenübermittlungen, insbesondere in die USA hervorgerufen, die auf Grundlage der EU-Standardvertragsklauseln legitmiert werden, da auch auch die Standardvertragsklauseln auf den Prüfstand gestellt wurden. Nach dem EuGH obliegt es dem jeweiligen Datenexporteur, jeweils für den Einzelfall zu prüfen, ob diese unter Berücksichtigung des Rechts des Drittlands einen angemessenen Schutz gewährleisten (siehe RN 132 d. Urteils v. 16.07.2020, C-311/18).
Was sagen nun die deutschen Aufsichtsbehörden dazu? Bisher haben sich immerhin vier von ihnen geäußert. Nachfolgend fassen wir die jeweiligen Kernaussagen kurz zusammen:
Berlin:
„Er (der EuGH, Anm. d. Red.) betont in diesem Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Bestehen solche Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. (…) Verantwortliche, die –insbesondere bei der Nutzung von Cloud-Diensten –personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“
Hamburg:
„Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten. Vertragliche Vereinbarungen zwischen Datenexporteur und -importeur sind gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. Zumindest hinsichtlich des Abschlusses der SCC mit dem streitgegenständlichen US-Unternehmen hätte der EuGH zu demselben Ergebnis kommen müssen. (…) Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen“
Rheinland-Pfalz:
„Der EuGH hat klargestellt, dass sich Unternehmen mit der Verwendung der Standardvertragsklauseln nicht von ihren Prüfpflichten freikaufen können. (…) Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“
Thüringen:
„Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll.“
Wir beobachten weitere Äußerungen selbstverständlich äußerst aufmerksam und informieren Sie zeitnah über aktuelle Entwicklungen.
29. April 2020
Die amerikanische, gemeinnützige Stiftung Mozilla hat 15 der wichtigsten Videokonferenz-Apps einer Sicherheitsanalyse unterzogen und Ihre Ergebnisse in einem Leitfaden mit Datenschutz- und Sicherheitsmerkmalen sowie Datenschutz- und Sicherheitsmängeln zusammengestellt. Der Leitfaden soll Nutzern dabei helfen, die für sie richtige App auswählen zu können.
Um zu bestehen, mussten die Apps folgende fünf Mindestanforderungen erfüllen:
- Verschlüsselung von Anrufen
- Regelmäßige Sicherheitsupdates
- Forderung nach sicheren Passwörtern
- Umgang mit Schwachstellen
- Vorliegen einer Datenschutzrichtlinie
12 Apps erfüllen Mindestanforderungen
12 der 15 geprüften Apps konnten diese Mindestsicherheitsstandards erfüllen. Dazu zählen WhatsApp, Apple FaceTime, Skype, Google Duo/HangoutsMeet, Facebook Messenger, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting, Cisco WebEx und Zoom.
Insbesondere Zoom wurde in der Analyse dafür gelobt, dass es auf die vielfache Kritik (wir berichteten) schnell reagiert habe, um Sicherheitsmängel zu beseitigen, auch wenn der Grund dieses Handelns, laut Mozilla, wohl vor allem der großen Konkurrenz unter den verschiedenen Videokonferenz-App-Anbietern zu verdanken sei.
Dennoch erhebliche Unterschiede unter den Apps
Die Ausgestaltung der einzelnen Sicherheitsstandards unterscheidet sich zwischen den Anbietern jedoch deutlich.
So werden Anrufe zwar verschlüsselt, allerdings seien es nur Google Duo, FaceTime, WhatsApp, Signal, Goto-Meeting und Doxy.me, die die sicherste Variante, die Ende-zu Ende Verschlüsselung, verwendeten. Nur diese Art der Verschlüsselung gewährleistet, dass der Inhalt eines Anrufs nur für die jeweiligen Teilnehmer einsehbar ist.
Bei der Skype-App, dem Facebook-Messenger und Webex habe der Nutzer aber zumindest die Option eine Ende-zu Ende Verschlüsselung zu wählen.
Andere Apps würden hingegen eine Client-zu-Server-Verschlüsselung verwenden, welche die Daten, sobald sie auf den Servern eines Unternehmens landen, lesbar macht.
Außerdem weist Mozilla auf eine Reihe weiterer Risken hin. Unter anderem sammle Facebook über seine Apps eine Menge persönlicher Informationen wie Name, E-Mail, Standort, Geolokationen auf Fotos, die hochgeladen werden sowie Informationen über Kontakte und den Nutzer selbst, die andere Personen (möglicherweise) freigeben und sogar alle Informationen, die die App über einen sammeln kann, wenn die Kamerafunktion verwendet wird. Außerdem teile Facebook die Informationen auch mit einer großen Anzahl von Drittparteien wie Werbeagenturen, Anbietern, akademischen Forschern und Analysediensten.
WhatsApp hingegen sei sehr anfällig für Fehlinformationen. Gerade während der Pandemie werde die App zur Verbreitung von Verschwörungstheorien und gefälschten Nachrichten gebraucht.
Drei Apps fielen durch
Die Apps Houseparty, Discord und Doxy.me fielen bei der Sicherheitsanalyse hingegen durch. Sie erfüllten bereits nicht die fünf Mindest-Sicherheitsanforderungen. Laut Mozilla verlangen die genannten Dienste keine sicheren Passwörter und Houseparty und Discord sammeln zu viele persönliche Daten.
23. April 2020
Der unabhängige Android-App-Store Aptoide hat ein gewaltiges Datenleck zu beklagen. Der Anbieter teilte am 18. April mit, dass seine Datenbank gehackt wurde. Dabei sind Nutzerdaten von über 20 Millionen Kunden abgeflossen. Im Anschluss veröffentlichten die Hacker die erbeuteten Daten auf bekannten Hacker-Foren. Auch der Passwort-Prüfdienst „Have I Been Pwned“ (HIBP) bestätigte den Data Breach.
Welche Daten wurden geleaked?
Nach Aptoides Angaben griffen die Hacker jeweils die E-Mail-Adressen sowie „verschlüsselte“ Passwörter ab. Zusätzlich sollen aber auch die IP-Adressen, Benutzernamen und Details zum verwendeten Webbrowser kopiert worden sein. Außerdem wurden die Passwörter mit dem sogennanten „Secure Hash Algorithm“ (SHA) der Stufe 1 ohne Salt (=Salz; eine Methodik aus der Kryptologie) verschlüsselt. Wegen Sicherheitsbedenken wird allgemein vom Verweden dieser Hash-Funktion abgeraten. Auf die Sicherheit der Verschlüsselung sollte man sich also lieber nicht verlassen.
Aptoide appeliert an Nutzer: Ändert eure Passwörter zügig!
Die Passwort-Hashes sind nach Angaben des Anbieters allerdings nur dann Teil des Leaks, wenn diese auch extra für den Store angelegt wurden. Wer sich also über Google oder Facebook angemeldet hat, kann insofern beruight sein, da dann nur eine zufällig gespeicherte Zeichenfolge erbeutet wurde. Wer aber sein Passwort selbst angelegt hat, sollte dieses umgehend ändern.
Wie finde ich heraus, ob ich betroffen bin?
HIBP hat die geleakted Daten bereits in seine Datenbank implementiert. Unter diesem Link können Sie umgehend prüfen, ob Sie betroffen sind.
16. April 2020
Seit Wochen überschlagen sich die Nachrichten zur Videokonferenz App Zoom, das seit der Corona Krise eine rasante Nachfrage zu verzeichnen hat, gleichzeitig aber auch mit erheblicher Kritik hinsichtlich seiner Datensicherheit kämpft (wir berichteten hierzu am 01.04.2020 und 09.04.2020).
Das Unternehmen arbeitet laut eigener Aussage seitdem auf Hochtouren daran seine Datensicherheit zu verbessern.
Politiker raten von Nutzung ab
Deutsche Politiker raten momentan jedoch weiter von der Verwendung des Videodienstes ab. Solange es dem Unternehmen nicht gelinge, sämtliche Sicherheits- und Datenschutzvorwürfe vollständig zu entkräften, könne Zoom nicht als Videokonferenzdienst empfohlen werden.
Der Vorsitzende des Digitalausschusses im Bundestag, Manuel Höferlin (FDP) äußert sich hierzu sehr deutlich: „Solange Zoom nicht nachweisen kann, dass ihre Software sicher und vertrauenswürdig ist, sollten deutsche Unternehmen auf die Nutzung dieser Video-Plattform weitestgehend verzichten. Das sollte zumindest für alle Besprechungen gelten, bei denen das erforderliche Vertraulichkeitsmaß höher ist als bei einer Postkarte.“
Vor allem aber auch Behörden und Ministerien wird von einer Nutzung der App abgeraten. Politiker von CDU und FDP befürchten einen Zugriff Chinas auf die Nutzerdaten und Inhalte.
Das Unternehmen hatte noch im Februar Konferenzen über Server in China geleitet. Auch wenn das Problem nach eigener Aussage des Unternehmens mittlerweile behoben sei, sind deutsche Politiker weiterhin der Ansicht, dass der Zugriff chinesischer Behörden auf Zoom-Daten nicht ausgeschlossen werden könne. Vor allem da sich nach wie vor ein Rechenzentrum des Unternehmens in China befinde.
Zoom reagiert
Per Blog-Post gab das Unternehmen nun bekannt, dass zahlende Kunden ab dem 18.April die Möglichkeit erhalten sollen, Rechenzentren-Regionen selbst auszuwählen. Somit soll der zahlende Kunde selbst entscheiden können, über welche Länder die Daten und Konferenzen geleitet werden. Als Regionen zur Auswahl stehen derzeit die USA, Kanada, Europa, Indien, Australien, China, Lateinamerika, und die Region Japan / Hong Kong.
Nutzer die die App weiterhin kostenlos nutzen wollen, haben diese Möglichkeit allerdings nicht.
Fazit
Es bleibt abzuwarten, ob Zoom es schafft seine Funktionen sicherer zu gestalten. Massive datenschutzrechtliche Bedenken bestehen in jedem Falle weiterhin und auch die Politik hat deutlich gemacht, dass Zoom für sensible Daten oder vertrauliche Informationen keinesfalls verwendet werden sollte.
Update
Wie jetzt bekannt wurde, werden die Zugangsdaten von über 500.000 Zoom-Accounts im Darknet für weniger als einen Penny zum Kauf angeboten. In einigen Fällen werden die Daten auch kostenlos zur Verfügung gestellt. Der Verkauf soll seit Anfang April 2020 laufen.
Die Daten wurden vermutlich durch sogenannte „Credential Stuffing“-Angriffe gesammelt. Hierbei versuchen Hacker sich bei Online-Diensten – wie in diesem Fall Zoom – mit Login-Daten anzumelden, die aus älteren Datenpannen stammen. Denn: Viele Nutzer verwenden dasselbe Passwort für mehrere Dienste. Dies kommt Hackern beim „Credential Stuffing“ zugute. Erfolgreiche Anmeldungen werden dann in Listen zusammengestellt und an andere Hacker verkauft. Die Listen beinhalten neben den E-Mail-Adressen auch Passwortkombinationen.
Zoom erklärte, gegen diese Angriffe bereits umfangreiche Maßnahmen ergriffen zu haben. So habe man Firmen damit beauftragt, die Passwort-Dumps und Tools, mit denen diese erstellt wurden, ausfindig zu machen. Außerdem würden als kompromittiert erkannte Zoom-Accounts gesperrt und Nutzer würden gebeten, ihre Passwörter zu ändern. Zoom betonte außerdem, dass große Unternehmenskunden mit eigenen Single-Sign-On-Systeme im Allgemeinen nicht von den Angriffen betroffen seien.
Bei „Credential Stuffing“ handelt es sich um kein Zoom-spezifisches Sicherheitsproblem. Jeder Dienst kann Opfer solcher Angriffe werden. Doch insbesondere während der Corona-Krise, in der ein erhöhter Bedarf an Video-Kommunikationsmitteln besteht, sind die Nutzerdaten von Zoom für Hacker wohl von besonderem Interesse.
Die beiden Internetriesen Apple und Google gaben am vergangenen Freitag in einer gemeinsamen Stellungnahme bekannt, dass sie an einer Software zur Bekämpfung von Covid-19 arbeiten. Die jeweiligen Betriebssysteme iOS und Android, betreiben die überwiegende Mehrheit der weltweit verwendeten Smartphones. Vorrangiger Zweck der Zusammenarbeit ist die Entwicklung einer App, um Menschen zu warnen, die kürzlich mit Infizierten in Kontakt gekommen sind.
Zur Erfassung von Abständen werde die App auf die Bluetooth-Funktion der Geräte zurückgreifen. Konkret geplant ist, dass die Betriebssysteme temporär Identifikationsnummern austauschen. Dabei werde mithilfe der Bluetooth-Signale eines Smartphones ermittelt, zu wem der Nutzer kürzlich längeren räumlichen Kontakt hatte, um so ein mögliches Ansteckungsrisiko feststellen zu können.
Aktuell planen Apple und Google bis Mitte Mai einen Software-Baustein zu veröffentlichen. Mithilfe dieser API (Application Programming Interface) könnten auch Apps anderer Hersteller auf derselben Basis ausgeführt werden. Für die Nutzer bedeutet dies, dass sie die App, die sie benutzen möchten, separat herunterladen müssen, diese sodann aber unabhängig vom Hersteller und unter Zuhilfenahme des Software-Bausteins von Apple und Google, miteinander kommunizieren können.
Eine infizierte Person könne dann ihren Status in der jeweiligen App angeben, wodurch wiederum Personen benachrichtigt würden, die in den vorangegangen zwei Wochen mit dieser Person in Kontakt gekommen sind. Dabei würde der tatsächliche Standort des infizierten Benutzers nicht preisgegeben. Die Daten wären dann für Behörden zugänglich, enthielten jedoch keine Informationen, durch die die betroffenen Personen identifiziert werden könnten. Für die Zukunft planen Apple und Google, die Software direkt standardmäßig in die Betriebssysteme einzufügen. Zudem möchten beide Unternehmen die Gesundheitsbehörden bei der Entwicklung der Apps unterstützen.
Allerdings bleiben noch viele Fragen bezüglich der genaueren Umstände der ungewöhnlichen Partnerschaft sowie der Sicherheit der personenbezogenen Daten offen. So stellt sich die Frage, ob Verbraucher den Unternehmen und Behörden weltweit vertrauen können, ein System, das auf sensiblen Gesundheits- und Bewegungsdaten beruht, nicht für anderen Zwecke zu missbrauchen.
„Datenschutz, Transparenz und Einwilligung sind bei diesen Bemühungen von größter Bedeutung. Wir freuen uns darauf, die neuen Funktionen in Absprache mit den Interessengruppen aufzubauen“, verkündeten Apple und Google in der gemeinsamen Erklärung. „Wir werden offen Informationen über unsere Arbeit veröffentlichen, damit andere sie analysieren können.“
Nach ersten Informationen sollen die Kontaktdaten dezentral auf den Geräten der Anwender gespeichert werden und somit nicht auf einem zentralen Server. Die Daten würden erst auf einen Server übertragen, wenn der Betroffene positiv getestet werden würde. Darüber hinaus müsste in diese Übertragung einwilligt werden. Die Apps anderer Nutzer hätten dann wiederum Zugriff auf die Listen der anonymisierten IDs der Erkrankten. Darüber hinaus wolle man die Software-Quellcodes veröffentlichen. So könne jeder nachvollziehen, wie die Daten behandelt werden. Zusätzlich soll so gewährleistet werden, dass keinerlei Daten für Werbezwecke eingesetzt werden.
Der Datenschutzbeauftragte der Europäischen Union äußerte sich positiv auf Twitter: „Wir begrüßen die gemeinsame Initiative zur Beschleunigung des weltweiten Kampfes gegen die Covid19-Pandemie. (…) Die Initiative muss weiter geprüft werden. Auf den ersten Blick scheint sie jedoch die richtigen Kästchen in Bezug auf Benutzerauswahl, Datenschutz durch Design und europaweite Interoperabilität angekreuzt zu haben.“ „Die Achtung fundamentaler Rechte sei der Schlüssel und man werde die Entwicklungen in enger Zusammenarbeit auch weiterhin überwachen“, so der Datenschutzbeauftragte Wojciech Wiewiórowski.
9. April 2020
Auch in Zeiten von Covid 19 gilt es den Datenschutz und die Datensicherheit ernst zu nehmen. Das hat sich mittlerweile auch bis zum Silicon Valley rumgesprochen. Der Anbieter der Videokonferenz-App Zoom reagiert nämlich auf die anhaltende Kritik. Das Unternehmen führt Maßnahmen ein, die bei den Nutzern für mehr Datenschutz- und Sicherheit sorgen sollen. Insbesondere das sogenannte „Zoombombing“ will Zoom verhindern.
Hintergrund
Die mittlerweile 200 Millionen Nutzer zählende Videokonferenz-App erlebt wegen der Corona Krise einen regelrechten Boom, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:
So häuften sich in den USA Fälle des Zoombombing. Hierbei wählen sich Trolle durch das Erraten von Zoom-Meeting-IDs, eine Ziffernfolge, in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein. Bis jetzt war dies möglich, weil die bloße Kenntnis der ID ausreichte, um sich ungefragt in nicht passwortgeschütze Meetings einzuklinken. Manche Nutzer machten es den Trollen aber auch nicht gerade schwer. So teilten viele Nutzer – prominentestes Beispiel ist wohl der britische Premierminister Boris Johnson – Screenshots ihrer Zoom Gespräche über ihre Social Media Accounts. Auf diesen Screenshots war dann die Zoom-Meeting-ID für jedermann sichtbar.
Zuletzt hat sogar Google seinen Mitarbeitern die Benutzung des Videkonferenz-Programms auf Arbeitsrechnern untersagt, weil Sicherheitsstandarts nicht eingehalten würden, wie ein Konzernsprecher gegenüger BuzzFeed bekannt gab. In unserem Beitrag vom 01.04.2020 sind wir auf weitere datenschutzrechtliche Bedenken eingegangen.
Step by step: Zoom reagiert
Der Videodienst hat für alle seine Plattformen nun eine erneuerte Version seiner Client-Software zur Verfügung gestellt. Eine der Neuerungen ist, dass die Meeting-ID nun nicht mehr wie bis dato für jedermann sichtbar in der Titelleiste steht. Ferner wurde ein „Security“-Button eingeführt. Dieser soll relevante Sicherheitsfeatures bündeln und transparent darstellen. Beispielsweise kann so der Zurgiff auf Meetings für die Außenwelt komplett gesperrt werden.
Nach unserer Einschätzung dürfte dies kurzen Prozess mit dem Phänomen des Zoombombing machen. Doch damit nicht genug. Zoom-Chef Eric Yuan kündigte an, in den nächsten drei Monaten step by step weitere Schwachstellen zu eliminieren anstatt neue Funktionen zu entwickeln.
1. April 2020
Laut New York Times ist die Videokonferenz-App Zoom ins Blickfeld der New Yorker Generalstaatsanwaltschaft geraten.
Die Staatsanwaltschaft forderte das verantwortliche Unternehmen demnach auf, Auskunft über die getroffenen Sicherheitsmaßnahmen zum Schutz von Nutzerdaten zu erteilen. Des Weiteren will die Staatsanwaltschaft prüfen, welche Kategorien von Daten die App genau sammle.
Hintergrund
Die Videokonferenz-App Zoom hat seit der Corona Krise eine enorme Nachfrage zu verzeichnen, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:
So häufen sich in den USA Fälle des sogenannten „Zoombombing“. Hierbei wählen sich Fremde in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein.
Ende März berichtete das Magazin Motherboard, dass Zoom die Daten seiner Nutzer an Facebook weitergebe. Dies geschehe unabhängig davon, ob der Nutzer über ein Facebook Profil verfüge oder nicht. Sobald der Nutzer die App öffne, gebe Zoom beispielsweise Einzelheiten über das verwendete Gerät des Nutzers – wie das Modell, die Zeitzone und die Stadt von der die Verbindung hergestellt wird – und den Namen des Mobilfunkanbieters an Facebook weiter.
Kritisiert wurde dabei weniger die Form der Datenübermittlung, als dass die Datenschutzhinweise von Zoom über diese Vorgehensweise nicht aufklärten. Dort hieß es lediglich, dass Facebook-Profilinformationen gesammelt werden könnten, wenn man sich mit seinem Facebook Konto anmeldet. Dass darüber hinaus eine generelle Datenübermittlung an Facebook stattfinde, ging aus den Datenschutzhinweisen nicht hervor.
Erst als die Datenweitergabe an Facebook öffentlich wurde, reagierte das Unternehmen umgehend und beendete die uneingeschränkte Datenweitergabe an Facebook mittels eines Updates.
Auch die US-Bürgerrechtsorganisation EFF wies jüngst darauf hin, dass Administratoren in Zoom erhebliche Einblicke in das jeweilige Nutzerverhalten erhielten. So hätten Administratoren die Möglichkeit sich darüber zu informieren, wie, wann und wo der jeweilige Nutzer Zoom benutze und könnten über ein Ranglistensystem Kenntnis von der Gesamtzahl der Sitzungen eines Nutzers erlangen. Weiterhin ermögliche Zoom die Aufmerksamkeit der Nutzer zu kontrollieren, in dem der Gastgeber einer Konferenz eine Mitteilung erhalte, sobald das Zoom-Fenster eines Konferenzteilnehmers länger als 30 Sekunden nur im Hintergrund liefe.
Sicherheitsmaßnahmen prüfen
Der Staatsanwaltschaft gehe es, laut NY Times, vor allem darum, sicherzustellen, dass Zoom eine umfassende Überprüfung seiner Sicherheitspraktiken vorgenommen hat und die Sicherheitsmaßnahmen des Unternehmens dem neuen und erhöhtem Datenverkehr auch in datenschutzrechtlicher Hinsicht gerecht werden.
Das Unternehmen selbst teilte mit, der Generalstaatsanwaltschaft die gewünschten Informationen zur Verfügung stellen zu wollen.
Update
Zoom selbst hat sich mit einem umfassenden Statement zu der Situation geäußert und erläutert, welche Maßnahmen, abgesehen von der Beendigung der Datenweitergabe an Facebook, ergriffen wurden und welche in Zukunft zum Tragen kommen sollen, um die datenschutzkonforme Nutzung von Zoom zu ermöglichen.
Zu den ergriffenen Maßnahmen gehört unter anderem ein Update der Datenschutzerklärung und die Deaktivierung des in Kritik geratenen „Aufmerksamkeitstracking“ (welches darüber hinaus sowieso nur aktiv war, wenn der Host es bewusst aktiviert).
5. März 2020
Google verlegt die Verantwortlichkeit für ihre britischen Nutzerdaten von Irland in die USA. Damit unterstellt Google die Daten der Zuständigkeit der US-Regulierungsbehörden.
Dieser Wechsel könnte Auswirkungen auf den Umfang des rechtlichen Schutzes der britischen Nutzerdaten von Google haben. Denn im Gegensatz zu Irland, unterliegen die USA nicht den strengen Anforderungen der DSGVO.
Die Verlegung der Verantwortlichkeit erfolgt aufgrund des Ausstiegs Großbritanniens aus der Europäischen Union und den damit geschaffenen Unsicherheiten über die Zukunft der Datenschutzbestimmungen des Landes.
Am 24. Januar 2020 hat die EU das Austrittsabkommen mit Großbritannien unterzeichnet. Das Austrittsabkommen beinhaltet eine Übergangsfrist bis zum 31.12.2020. Während dieser Übergangsfrist wird Großbritannien weiterhin wie ein EU-Mitgliedsstaat behandelt. Die DSGVO findet dementsprechend weiter Anwendung.
Was nach der Übergangszeit wird, bleibt abzuwarten. Falls kein weiteres internationales Abkommen geschlossen wird, würde Großbritannien spätestens dann zu einem Drittland im Sinne der DSGVO werden. Möglich wäre aber auch der Erlass eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO durch die EU-Kommission.
Das Datenschutzrecht in Großbritannien wird durch das Datenschutzgesetz von 2018 (Data Protection Act) geregelt, dass die Umsetzung der DSGVO im Vereinigten Königreich darstellt.
Darüber hinaus plant die britische Regierung, laut britischer Datenschutzbehörde, mit dem Ende der Übergangsfrist, die DSGVO als „UK DSGVO“ in das britische Recht zu übernehmen.
Google selbst teilte mit, dass sich die Datenschutzstandards für britische Nutzer mit der Verlegung der Verantwortlichkeit nicht ändern sollen.
