Kategorie: Mobile Business

Datensatz mit gestohlenen Login-Informationen aufgetaucht

18. Januar 2019

Im Internet ist ein 87 Gigabyte großer Datensatz mit gestohlenen Login-Informationen aufgetaucht. Betroffen sind 773 Millionen E-Mailadressen und über 21 Millionen Passwörter.

Die Daten stammen nach ersten Informationen nicht aus einem einzelnen Hack, sondern sind aus verschiedenen zusammengetragen worden. Der Datensatz enthält Informationen von 12.000 Domains und verschiedenen Web-Diensten.

Die Existenz des Datensatzes wurde von dem australischen IT-Sicherheitsexperten Troy Hunt auf seiner Homepage publik gemacht, der den Datensatz als Collection #1. Der Experte schreibt, dass er zunächst von Bekannten auf den Datensatz aufmerksam gemacht worden ist und die Daten ursprünglich bei einem Filehosting-Anbieter verfügbar waren, wo sie inzwischen aber nicht mehr zu finden sind.

Sie haben die Möglichkeit selbst zu überprüfen, ob Ihre Daten betroffen sind. Zur Prüfung muss lediglich die eigene Adresse in das Suchfeld eingegeben und auf “pwned?” geklickt werden. Der von dem australischen Sicherheitsforscher Troy Hunt veröffentlichte Dienst zur Überprüfung wird von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für vertrauenwürdig gehalten. Sollten Sie betroffen sein, wird empfohlen schnellstmöglich das Passwort zu ändern.

EuGH-Urteil zum Zugriff auf Handydaten

9. Oktober 2018

Der EuGH hat nun entschieden, wann Behörden personenbezogene Daten der Betreiber elektronischer Kommunikationsdienste anfordern dürfen.

In dem bezeichneten Sachverhalt geht es um den Raub einer Brieftasche und eines Mobiltelefons. Die spanische Polizei wollte Zugriff auf Identifikationsdaten der Nutzer der Telefonnummer haben, die mit dem entwendeten Mobiltelefon aktiviert wurden. Identifikationsdaten wie u.a. Name und Adresse des Karteninhabers, sind personenbezogene Daten.

Nach spanischem Recht stellt ein Raub keine “schwere Straftat” (mehr als 5 Jahre Strafandrohung) dar. In diesem Fall stellt sich nun die Frage, ob eine Verarbeitung dieser Identifikationsdaten zulässig ist, wenn es um Aufklärung einer Straftat geht, die gerade nicht als “schwer” einzustufen ist. Anders gefragt: Wie weit dürfen die Behörden gehen, um Straftaten aufzuklären?

Zunächst stellt das Gericht u.a. fest, dass der Zugang von Behörden zu den von Betreibern elektronischer Kommunikationsdienste gespeicherten Daten einen Eingriff in die EU-Grundrechtecharta (insb. Art. 7 und 8 EU-GrCh) darstellt.

Sodann stellt der EuGH auf die Schwere des Eingriffs ab. Ein schwerer Eingriff könne nur bei einer schweren Straftat gerechtfertigt sein. Andererseits sei es aber auch grundsätzlich möglich, personenbezogene Daten für die Ermittlungsarbeit zu verarbeiten, wenn es sich nicht um eine schwere Straftat handelt. Um den Grundsatz der Verhältnismäßigkeit zu wahren, dürfte es sich dann aber entsprechend nicht um einen schweren Eingriff handeln.

Letztlich bleibt es aber eine Einzelfallprüfung inwieweit die Datenverarbeitung in die Privatsphäre des Betroffenen eingreift und um welche Straftat es sich handelt. In diesem Fall kommt der Gerichtshof zu dem Ergebnis, dass „der Zugang nur zu den Daten, auf die sich der im Ausgangsverfahren in Rede stehende Antrag bezieht, nicht als „schwerer“ Eingriff in die Grundrechte der Personen eingestuft werden kann, deren Daten betroffen sind, da sich aus diesen Daten keine genauen Schlüsse auf ihr Privatleben ziehen lassen.“

Zusammenfassend:

Erfolgt ein schwerer Eingriff in die Privatsphäre, ist ein Zugang zu den Daten nur für die Aufklärung “schwerer Straftaten” möglich. Erfolgt kein schwerer Eingriff in die Privatsphäre, ist der Zugang auch für die Aufklärung “nicht schwerer” Straftaten möglich.

Große amerikanische Unternehmen drängen auf Bundesgesetz für Datenschutz

30. August 2018

Unternehmen wir Facebook, Google etc. scheinen sich dem Thema Datenschutz angenommen zu haben und setzen sich laut der New York Times immer mehr für ein bundesweites Datenschutzgesetz in den USA ein.

Allerdings stehen dort andere Interessen im Vordergrund, als ausschließlich der Datenschutz. Neben der DSGVO wurde im Juni 2018 ebenfalls ein kalifornisches Datenschutzgesetz erlassen, welches vor allem Firmen, die personenbezogene Daten zur kommerziellen Zwecken nutzen, Kopfschmerzen bereitet. Dieses Gesetz soll 2020 in Kraft treten und könnte andere Staaten in den USA dazu bewegen, ähnliche Gesetze auf den Weg zu bringen und damit dem gesamten Geschäftszweig Probleme bereiten.

Der Erlass eines bundesweiten Datenschutzgesetzes könnte allerdings dazu führen, dass den einzelnen Staaten der Wind aus den Segeln genommen wird. Daher liegt der Fokus der technischen Unternehmen nicht mehr unbedingt im Verhindern von Regulationen, sondern vielmehr darauf, ein Gesetz zu erlassen, welches die eigene Handschrift mitträgt und somit “geschäftsschädigende” Regelungen weitestgehend vermieden werden können. Ob diese Vorgehensweise erfolgreich ist, hängt überwiegend davon ab, welchen Stellenwert der Datenschutz in der amerikanischen Gesellschaft in Zukunft einnehmen wird.

Das ein unternehmensfreundliches Gesetz dabei herum kommt, ist sehr wahrscheinlich. Allerdings wäre es ein erster Schritt in Richtung mehr Datenschutz in den Staaten.

Mehr Sicherheit bei Instagram durch verbesserte 2-Faktor-Authentifizierung und Konto-Verifikation

29. August 2018

Instagram wird zukünftig seine 2-Faktor-Authentifizierung ausbauen, um den Verifikationsprozes für die Mitglieder zu vereinfachen.

Zum jetzigen Zeitpunkt ist als zweiter Faktor nur die Authentifizierung via SMS möglich. Diese Methode wird jedoch als unsicher bewertet, da es potentiellen Angreifern möglich wäre, die Telefonnummern-Mitnahme zu missbrauchen, um eine Nummer einer anderen SIM-Karte zuzuschreiben. In den kommenden Wochen soll daher die App “Google Authenticator” zu mehr Sicherheit beitragen: Diese wird einen Code produzieren, mithilfe dessen Eingabe erst die Anmeldung ermöglicht wird. Im Unterschied zu der SMS-Authentifizierung kann der Code in diesem Fall nicht auf anderen Geräten erzeugt werden.

Darüber hinaus soll in Zukunft die Überprüfung der Echtheit von Profilen für die Nutzer erleichtert werden: Ein weißes Häkchen auf blauem Grund wird die Echtheit eines Profils bestätigen und somit die Account-Verifikation erweitern. Für die Nutzer bedeutet das konkret, dass sie eine Verifikation selbst über einen entsprechenden Button anfordern und mithilfe ihres Personalausweisfotos sodann ihre Identität bestätigen können.

Auch wenn bei Instagram in datenschutzrechtlicher Hinsicht noch viel Optimierungspotential besteht, so sind diese beiden Modifizierungen gleichwohl als Schritt in die richtige Richtung zu werten.

Staatstrojaner und Online-Durchsuchung auf dem Prüfstand: Mehrere FDP-Politiker reichen Verfassungsbeschwerde ein

20. August 2018

Mit diesem Schritt ziehen zahlreiche bekannte Politiker der FDP dem Datenschutzverein Digitalcourage nach, welcher schon vor einigen Tagen Verfassungsbeschwerde einreichte.

Nicht nur der Weg, auf welchem die CDU/CSU-Fraktion und die SPD das umstrittene Gesetz durch Bundestag und Bundesrat brachten, wirft Fragen auf. Inhaltlich richtet sich die Beschwerde gegen die auf die laufende Kommunikation abzielende Quellen-Telekommunikationsüberwachung sowie gegen die Online-Durchsuchung, welche es der Bundespolizei bereits bei einem Verdacht auf eine besonders schwere Straftaten erlaubt, alle Daten eines bestimmten Gerätes zu durchleuchten. Bislang durften derartige Mittel nur zur Terrorabwehr eingesetzt werden.

Die Auswirkungen des Gesetzes sind nicht zu unterschätzen, zumal nun auch die Inhalte verschlüsselter Kommunikationsmedien wie WhatsApp und Threema, welche dem Grundsatz nach nur auf dem jeweiligen Endgerät des Kommunikationspartners lesbar sind, eingesehen werden können.

Insbesondere in Anbetracht des starken Eingriffs in die Privatsphäre als Ausgestaltung des allgemeinen Persönlichkeitsrechts, liegt es nun an den Richtern in Karlsruhe, eine sorgsame Überprüfung des Gesetzes vorzunehmen. Die Kernfrage dürfte hierbei sein, bis zu welchem Punkt es dem Staat erlaubt ist, das technisch Mögliche auch wirklich umzusetzen. Der Schutz der Privatsphäre dürfte in seiner Bedeutung jedenfalls nicht geringer zu bewerten sein, als das Interesse der Sicherheitsbehörden, in technischer Hinsicht zeitgemäß und effektiv handeln zu können.

Apple Pay Cash wird von US-Verbraucherschutz-Organisation für gut befunden

9. August 2018

Die Funktion Apple Pay Cash ist seit Dezember 2017 in den USA verfügbar und ermöglicht Applenutzern über iMessage Geld an andere Nutzer zu transferieren. In einem Test der Verbraucherschutz-Organisation Consumer Reports, die die Funktion mit ähnlichen Produkten anderer, konkurrierenden, Unternehmen verglich, schnitt Apple Pay Cash mit Bestnoten ab und war in allen Testkategorien besser als die Produkte der anderen Anbieter. Insbesondere in den Bereichen Datenschutz und Datensicherheit konnte die Funktion die Tester überzeugen, da Apple angibt, weder Kreditkartennummern zu speichern noch personenbezogene Daten an Dritte zu verkaufen.

Wann die Funktion in Deutschland bereitgestellt wird und genutzt werden kann, ist noch nicht bekannt. Die Grundfunktion Apple Pay, bei der bislang in Deutschland zehn Finanzinstitute teilnehmen wollen, soll allerdings noch in diesem Jahr verfügbar sein.

 

Spioniert Facebook die Konten seiner Nutzer aus?

7. August 2018

Facebook wird wohl zeitnah eine neue Dienstleistung anbieten: In Zukunft sollen Banken ihre Kunden auch via Facebook betreuen können. Im Rahmen dieser Dienstleistung fragt das Social-Media-Unternehmen nach eigener Auskunft allerdings nicht aktiv nach Finanzdaten der Nutzer.

Diese Aussage steht im Widerspruch zu einem Bericht des Wall Street Journal, nach welchem Facebook sich aktiv Informationen über Einkäufe mit Kreditkarten oder Kontoständen der eigenen Nutzer im letzten Jahr einholen wollte und zu diesem Zwecke große amerikanische Geldhäuser wie bspw. JPMorgan Chase oder Wells Fargo kontaktierte. In dem Bericht wurden Bedenken bzgl. der Datensicherheit geäußert, zumal Facebook bei den Banken auch versucht haben soll in Erfahrung zu bringen, wo die Nutzer mit ihren Kreditkarten einkaufen.

Nach der Aussage eines Firmensprechers seien diese Informationen unzutreffend. Facebook sei eines von zahlreichen Online-Unternehmen, welches mit Finanzdienstleistern zusammen arbeite, um Leistungen wie Kundenchat oder Kontoführung zu ermöglichen. Diese Dienstleistungen werden angeboten, da es für den Nutzer einfacher sei, mit seiner Bank über Facebook zu kommunizieren, als am Telefon. Der Sprecher versicherte zudem, dass Facebook die Daten nur zu diesem Zweck und nicht zu Webezwecken verwende.

Während der Aktienkurs an der Börse in der Aussicht auf das zukünftige Dienstleistungsgeschäft deutlich anstieg, zeigten sich einige Banken wenig erfreut. Bereits ein Finanzdienstleister hat in Anbetracht der datenschutzrechtlichen Problematik eine Kooperation mit Facebook abgelehnt.

Bundesgerichtshof bestätigt Neuregelung zur Störerhaftung

27. Juli 2018

Der Bundesgerichtshof (BGH) hat am Donnerstag die Neuregelung zur Störerhaftung dem Grunde nach bestätigt.

Der BGH urteilte in einem seit 2013 anhängigen Verfahren zu Gunsten des Beklagten, Az.: I ZR 64/17, der in den Vorinstanzen noch unterlegen war. Der Anschlussinhaber eines ungesichterten WLANs haftet nicht für Urheberrechtsverletzungen. Damit bestätigte der BGH zum einen die Neuregelung der Störerhaftung im Telemediengesetz (TMG), zum anderen entspricht das Urteil der Rechtsprechung des Europäischen Gerichtshof (EuGH), was bedeutet, dass das reformierte TMG mit EU-Recht vereinbar ist. Damit endet die Störerhaftung für Betreiber offener WLANs.

Betreiber können somit künftig nicht mehr auf Unterlassung und Schadensersatz verklagt werden, wenn jemand den Anschluss für illegale Uploads missbraucht. Eine solche Regelung findet sich auch seit 2017 in § 8 TMG. Hinsichtlich der Frage, ob der Klägerin gegen den Beklagten ein Anspruch auf Sperrung von Informationen gemäß § 7 Abs. 4 TMG zusteht, hat der BGH die Sache an die Vorinstanz zurückverwiesen.

BGH-Grundsatzurteil: Eltern dürfen auf Facebook-Konto ihrer toten Tochter zugreifen

16. Juli 2018

Was passiert mit den Inhalten eines Facebook-Nutzerkontos, wenn der Inhaber verstirbt und diesen Fall nicht vorab in seinen Einstellungen geregelt hat? Sind digitale Daten vererbbar?

Am Donnerstag, den 12. Juli, fiel in Karlsruhe ein Urteil von grundsätzlicher Bedeutung: Private Daten wie ein Facebook-Nutzerkonto fallen nach dem Tod des Nutzers grundsätzlich an seine Erben. Ein Anspruch der Erben auf Einsichtnahme in die Daten ergibt sich aus dem Nutzungsvertrag, welchen ein Kontoinhaber mit Facebook hat. Die Rechte und Pflichten aus diesem Vertrag gehen auf die Erben über.

Das Urteil beendet einen langjährigen Rechtsstreit zwischen Facebook und den Eltern einer verstorbenen Nutzerin, welche sich fünfeinhalb Jahre nach dem Tod ihrer Tochter gegen den US-Konzern durchsetzen konnten. Die Eltern hatten gegen Facebook geklagt, weil sie sich durch eine Einsicht in die Facebook-Kommunikation ihrer Tochter eine Aufklärung der Todesumstände erhofften. Das Mädchen war Ende 2012 in Berlin vor eine U-Bahn gestürzt. Bis heute ist ungewiss, ob es sich um einen tragischen Unfall oder um Selbstmord handelte.

Facebook hatte das Konto nach dem Tod des Mädchens in den Gedenkzustand versetzt und somit “eingefroren”. Auch mit dem Passwort war eine Anmeldung für die Eltern nicht möglich. Das Unternehmen verweigerte eine Freigabe der Kontoinhalte, weil die Freunde des Mädchens darauf vetraut hätten, dass ihre Kommunikation privat bliebe. Diese Ansicht teilte das höchste deutsche Gericht nicht: Zwar können der Absender einer Nachricht bei Facebook darauf vertrauen, dass diese an ein spezielles Konto zugestellt werde, nicht jedoch an eine konkrete Person.

Auch wenn das Urteil Bedenken in Bezug auf die Persönlichkeitsrechte Dritter, mit welchen die Verstorbene kommuniziert hat aufwirft, so ist dieses nur konsequent: Bei Briefen und Tagebüchern bestehen hinsichtlich einer Erbschaft keine Bedenken. Warum sollten digitale Daten dann anders behandelt werden?

Private Nutzung von Diensthandys

12. Juli 2018

In vielen Unternehmen werden unterschiedliche Formen im Umgang mit Smartphones praktiziert. Teilweise werden private Handys zu dienstlichen Zwecken verwendet oder dienstliche Handys auch privat genutzt. Aus datenschutzrechtlicher Sicht besteht insbesondere aufgrund verschiedener Messenger-Dienste, wie beispielsweise WhatsApp, ein Datenschutz-Problem.

Dennoch ist die Mischnutzung der Smartphones zu dienstlichen und privaten Zwecken bei vielen Unternehmen heute nicht mehr wegzudenken. Auch auf die Nutzung von Messenger-Diensten, insbesondere im privaten Bereich will keiner mehr verzichten.

Mit dem Herunterladen der App wird dem Messenger-Dienst ein Zugriff auf die im Handy gespeicherten Kontakte eingeräumt. Datenschutzrechtlich stellt das eine Übermittlung von personenbezogenen Daten dar, die einer Ermächtigungsgrundlage bedarf. In der Regel wird eine solche nicht vorliegen, da davon auszugehen ist, dass für die Übermittlung keine Einwilligung eingeholt wurde, kein Vertragsverhältnis und auch kein berechtigtes Interesse besteht. Damit ist die Übermittlung der personenbezogenen Daten rechtswidrig.

Für eine datenschutzkonforme Lösung dieses Problems sind folgende Lösungen denkbar:
• Die Trennung von Diensthandy und Privathandy. Das bedeutet, die Diensthandys dürfen ausschließlich dienstlich genutzt werden. Messenger-Dienste, die einen Zugriff auf die Kontaktdaten erhalten, dürfen auf diesen Diensthandys nicht installiert werden.
• Die Einholung von Einwilligungen der gespeicherten dienstlichen Kontaktpartner.
• Ein zentraler Verzeichnisdienst, durch den keine dienstlichen Kontakte auf den Smartphones mehr gespeichert werden, sondern der Mitarbeiter die Möglichkeit erhält, mithilfe einer App auf ein zentrales Verzeichnis zuzugreifen, in dem die dienstlichen Kontakte zentral verwaltet werden.
• Eine Containerlösung, durch die auf dem Smartphone ein abgegrenzter Bereich geschaffen wird, der nicht mit dem privat genutzten Bereich kommuniziert und keinerlei Daten mit diesem austauscht.

Um einen Messenger-Dienst dienstlich zu nutzen, verbleibt bisher als datenschutzkonforme Lösung aber einzig die Einholung von Einwilligungen. Die beiden letztgenannten Alternativen bieten ausschließlich eine Lösung dafür, Messenger-Dienste, auf einem auch zu dienstlichen Zwecken genutzten Handy, privat nutzen zu können.

1 2 3 4 15