Kategorie: Mobile Business

Schwere Datenschutzpanne beim Online-Dienst von Panini

2. Juli 2018

Einem Bericht des Nachrichtenmagazins “Der Spiegel” nach hat der italienische Sammelalbenhersteller Panini mit erheblichen Sicherheitsproblemen zu kämpfen: Für Unbefugte bestand die Möglichkeit der Kenntnisnahme von personenbezogenen Daten anderer Kunden.

“Mypanini” ist ein Serviceangebot des Unternehmens, welches die Herstellung und Zusendung personalisierter Klebebildchen beinhaltet. Die Fotos, welche Kunden für ihre Sammelbilder vorsehen, werden über den eigenen Konterfei hochgeladen. Bis vor kurzem war es eingeloggten Nutzern möglich, hochgeladene Bilder und personenbezogene Daten anderer Kunden einzusehen. Zu den personenbezogenen Daten der Betroffenen zählten neben dem (oftmals eigenen) Foto regelmäßig der volle Name, das Geburtsdatum sowie der Wohnort des Nutzers.

Auch wenn Giorgio Aravecchia, Paninis Direktor für Neue Medien, bereits erklärte, dass die Datenpanne umgehend durch ein Sicherheitsupdate behoben wurde, ist der Vorfall als gravierend einzustufen: Auf den für Unbefugte einsehbaren Bildern waren oftmals Kinder abgebildet, teilweise mit nacktem Oberkörper und/oder im privaten Umfeld.

Es liegt nun an Panini einen dsgvo-konformen Umgang mit den personenbezogenen Nutzerdaten sicherzustellen und in diesem Zusammenhang die geeigneten technischen und organisatorischen Maßnahmen zu treffen, um solche Datenschutzpannen präventiv auszuschließen.

 

Primera División-App hört Nutzer ab

12. Juni 2018

Wenn Nutzer der offiziellen App der Primera División Fußballspiele der spanischen Liga über die Smartphone-Applikation schauen, wird im Hintergrund das Mikrofon des Smartphones aktiviert. Dies räumte die Liga nun nach Inkrafttreten der DSGVO ein und begründete das Vorgehen damit, dass mit Hilfe der aufgezeichneten Audio-Dateien festgestellt werden könne, ob das Fußballspiel beispielsweise in einer Fußball-Kneipe und dort über einen Fernseher den Gästen gezeigt werde. Durch diese Information könne die spanische Liga kontrollieren, ob die entsprechende Kneipe auch die Gebühren dafür zahle oder den Gästen das Spiel in unberechtigter Weise zur Verfügung stellt. Neben den audiovisuellen Informationen teilt die App auch den Standort des Nutzers.

Hintergrund der Funktion sei, dass der Primera División pro Jahr ein Schaden von 150 Million Euro dadurch entstehe, weil viele öffentliche Gaststätten keine offizielle Lizenz für das Zeigen der Fußballspiele besitzen bzw. die Lizenzgebühr hierfür nicht bezahlen.

Mit der Vorgehensweise gerät die spanische Liga in Kritik, insbesondere da die App rund 10 Millionen Nutzer verzeichnet. Sie verteidigt sich allerdings damit, dass die Privatsphäre der Nutzer nicht in Gefahr sei, da die App nicht das reine Audio-Signal der Smartphones abgreife, sondern nur den sogenannten Binär-Code.

Stichtag 25.05.2018 – Application(s) bereit für die DSGVO?

8. Mai 2018

Nach einem Marktforschungsbericht des Softwareherstellers SafeDK sind ca. 55 % der Apps, die im Google Play Store angeboten werden, mit den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) nicht vereinbar. Diese Erkenntnis ist prinzipiell nicht neu, denn auch mit Blick auf die noch aktuellen datenschutzrechtlichen Vorgaben ist die Situation nicht anders.  Mit Geltungsbeginn der DSGVO werden allerdings deutlich gesteigerte Anforderungen an die Informationspflichten der Verantwortlichen gestellt und die Rechte betroffener Personen gestärkt. Darüber hinaus erreichen die bußgeldbewährten Sanktionen der DSGVO mit bis zu 20 Mio. Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens bzw. eines Konzerns eine neue und zudem erhebliche Dimension.

Aus Sicht des Datenschutzrechts liegt der Kern der Problematik vor allem darin, dass eine große Anzahl von Apps über Schnittstellen Zugriff auf Mikrofon, Kamera, GPS- oder ähnliche Daten hat, obwohl dies unter funktionellen Gesichtspunkten oftmals gar nicht erforderlich ist. Auf der Hand liegen daher Verstöße gegen den Zweckbindungsgrundsatz, den Grundsatz der Datenminimierung sowie die Aspekte von Privacy by Design & by Default. Entwickler und Anbieter von Apps sollten daher, insbesondere in Bezug auf die Einwilligung in die Verarbeitung personenbezogener Daten, unbedingt darauf achten, keine Daten zu erfassen, die für die Funktionen der App entbehrlich sind oder die Verarbeitung solch personenbezogener Daten zumindest freistellen bzw. eine geeignete Alternative anbieten – etwa die kostenpflichtige Nutzung der App.

Im Übrigen dürfte es aktuell noch bei vielen Apps in Folge von Verstößen gegen das Transparenzgebot bzw. die Informationspflichten nach DSGVO ebenfalls nicht selten dazu kommen, dass die Wirksamkeit einer Einwilligung in die Datenverarbeitung bezweifelt werden darf. Folglich würde eine Verarbeitung von personenbezogenen Daten ohne rechtliche Grundlage stattfinden, gleichbedeutend mit einem Verstoß gegen das Verbot mit Erlaubnisvorbehalt.

Derartige Verstöße können Haftungsansprüche begründen und, wie oben ausgeführt, zu einem empfindlichen Bußgeld führen. In der Folge empfiehlt es sich hier, aufgrund der durch die DSGVO geschaffene Erhöhung der Rechtsunsicherheit im Bereich des Datenschutzes, mit Experten zusammenzuarbeiten, um die z. T. umfangreichen und notwendigen Anpassungen in den genannten Bereichen vorzunehmen. Jedenfalls sollten die Datensätze schon bestehender Apps auf das Bestehen einer rechtmäßigen Verarbeitungsgrundlage geprüft werden und in der Entwicklung befindliche Apps überdies den Privacy by Design & by Default Ansatz berücksichtigen, sowie die Einhaltung der Informationspflichten bei erstmaliger Nutzung der App sicherstellen.

 

Kategorien: Mobile Business

Neue Polizei-App NIMes birgt datenschutzrechtliche Gefahren

7. Mai 2018

Polizeibeamte in Niedersachen können nun mithilfe der neuen App NIMes Textnachrichten, Audio-, Bild- und Videoaufnahmen austauschen, ohne dass jemand anderes darauf Zugriff hat. Nach Auffassung des niedersächsischen Landesdatenschutzbeauftragten besteht dennoch eine Gefahr hinsichtlich des Datenschutzes, da der größte Teil der Beamten die App auf ihrem Privathandy nutzen. “Wenn der Nutzer das auf dem privaten Mobiltelefon vorhandene Betriebssystem nicht fortlaufend durch Updates zur Virenabwehr aktualisiert, wird Tür und Tor für eine Infizierung der App mit Schadsoftware geöffnet”, sagte Datenschützerin Barbara Thiel.

Damit wäre es empfehlenswert die App nur auf Diensthandys zu installieren. Innenminister Boris Pistorius ist jedoch anderer Ansicht, da NIMes getrennt vom Betriebssystem läuft und damit in einem geschlossenen Benutzerkreis.

Die App hat eine wichtige Bedeutung in der Informationssteuerung bei Einsatzkräften. So können Polizeibeamte wichtige Informationen sicherer als bei der Nutzung von WhatsApp weiterleiten.

Als Pilotprojekt wird NIMes zunächst in Celle und Hannover-Mitte, sowie in der Zentralen Polizeidirektion eingesetzt.

Adblock Plus siegt vor BGH

23. April 2018

Axel Springer klagte vor dem Bundesgerichtshof (BGH) gegen die Kölner Firma Eyeo, der Klage erteilten die Richter des 1. Zivilsenats in Karlsruhe eine deutliche Absage.

Eyeo vertreibt den Adblocker Adblock Plus, welcher nach Ansicht des Springer Verlages gegen das Gesetz gegen unlauteren Wettbewerb verstößt. Die Klägerin wollte erreichen, dass Adblocker, wie der von Eyeo, verboten werden und der Verlag Schadensersatz wegen entgangener Werbeumsätze von Eyeo fordern kann.

Die Karlsruher Richter sahen jedoch keine Gesetzesverletzung. Zur Begründung führten sie aus, dass “Eine Verdrängungsabsicht nicht vorliegt. Die Beklagte verfolgt in erster Linie die Beförderung ihres eigenen Wettbewerbs”. Eyeo erzielt selbst nur Einnahmen, wenn auch Werbung angezeigt wird, sodass für eine Verdrängung des Werbegeschäfts nicht im Interesse der Firma liegt. Unlauterer Wettbewerb liegt nicht dadurch vor, das dass Angebot von Eyeo, bestimmte Werbung gegen Beteiligte an den erzielten Umsätzen von Werbefiltern ausnimmt.

Insbesondere gelang dem Springer Verlag nicht der Nachweis, dass Eyeo Druck auf Werbetreibende ausübt. Ein Eingriff in den Markt sei zwar zweifellos gegeben, für die Werbeblockade an sich sei aber nicht Eyeo bzw. deren Adblock Plus verantwortlich, sondern der Nutzer selbst. Ebenso konnte die Umgehung von Schutzmaßnahmen nicht hinreichend dargelegt werden.

Das Geschäftsmodell mit Adblockern kann auch nicht im Wege einer Grundrechteabwägung, wobei der Pressefreiheits des Springer Verlages der Vorrang gegeben werde, verboten werden.

Der BGH gab damit der Revision Eyeos statt und legte den Streitwert auf 2,5 Millionen Euro fest, zudem wurden die Rechtsmittel gegen das Urteil abgelehnt, sodass das Verfahren zumindest aus dem Gesichtspunkt des Wettbewerbsrechts beendet ist. Allerdings kündigte Axel Springer bereits an Verfassungsbeschwerde zum Bundesverfassungsgericht zu erheben und schließt auch eine erneute Klage wegen Verletzung des Urheberrechts nicht aus.

Stiftung Warentest prüft Dating-Apps

21. Februar 2018

Die Stiftung Warentest hat Dating-Apps von 22 Anbietern hinsichtlich des Datenschutzes getestet und ist zu dem Ergebnis gekommen, dass der überwiegende Teil zum einen mehr personenbezogene Daten seiner Nutzer abfragt als notwendig und zum anderen die Datenschutzerklärungen erhebliche Schwächen aufweisen.

Nutzer von Dating-Apps geben viele personenbezogene Daten an, sei es Geschlecht und Alter, die sexuelle Orientierung oder auch den Standort. Dass diese Daten viel über ihn oder sie preisgibt mag dem Nutzer, der Nutzerin, noch bewusst sein, ist aber ein notwendiges Übel um die Apps überhaupt nutzen zu können. Darüber hinaus werden aber teilweise auch Daten zum genutzten Gerät oder der Name des Mobilfunkanbieters an den Anbieter übermittelt, welche für Online-Dating nicht notwendig sind.

Hinzu kommen Übermittlungen des Namens, der Nutzungsstatistik und des Mobilfunkanbieters an Facebook (Grindr, Lovoo, Tinder), Geschlecht und Alter an Werbefirmen (Grindr), Geräteinfos an US-Marketingfirma (Tinder).

Das diese Daten überhaupt übermittelt werden ist datenschutzrechtlich bereits sehr kritisch zu sehen. Darüber hinaus informieren die Datenschutzerklärungen in den meisten Fällen jedoch nur unzureichend über die Übermittlung und weitere datenschutzrechtliche Themen.

Der Test kommt zu dem Ergbenis, dass keine der 22 geprüften Datenschutzerklärungen die Nutzer genau genug informiert.

Die Nutzer von Dating-Apps müssen somit für sich selbst abwägen, wie schlimm sie die Preisgabe ihrer personenbezogenen Daten finden.

LKA gibt Warnung wegen Apple-ID-Phishing raus

8. Februar 2018

Das niedersächsische Landeskriminalamt (LKA) hat am 07.02.2018 mit einer Mitteilung vor gefälschten Apple-Rechnungen gewarnt. Die Rechnungen sehen aus wie Zahlungsbestätigungen, die Apple-Nutzer von Käufen von Apps kennen.

Mithilfe dieser täuschend echt aussehenden Rechnungen versuchen die Unbekannten an die Zugangsdaten – Apple-ID und Passwort – der Nutzer zu kommen. Die Betroffenen erhalten via E-Mail eine Rechnung und werden aufgefordert die angehangene PDF-Datei zu öffnen. Sofern die Nutzer auf den Link in der E-Mail oder der PDF-Datei klicken kommen sie auf eine Homepage, die der originalen Apple Homepage täuschend gleich aussieht.

Auf der Homepage werden die Nutzer aufgefordert, ihre Zugangsdaten einzugeben, welche dann abgephisht werden. Gelingt den Unbekannten das Phishen der Apple-ID, haben sie Zugriff auf die in der Cloud gespeicherten Daten, können Geräte zum Beispiel löschen oder auch Lösegeld erpressen.

Es ist also erhöhte Vorsicht geboten, wenn E-Mails, die angeblich von Apple stammen, im E-Mailpostfach eingehen.

Für Nutzer die bereits Opfer der Masche geworden sind empfiehlt das LKA unverzüglich mit dem Applesupport Kontakt aufzunehmen, die Zugangsdaten zu ändern und die Zweifaktor-Authentifizierung einzurichten. Darüber hinaus besteht die Möglichkeit bei der örtlichen Polizei Anzeige zu erstatten.

Staatstrojaner soll zukünftig auch Smartphones überwachen

21. Juli 2017

Der Einsatzbereich des Staatstrojaners ist in Deutschland erheblich vergrößert worden. Im Zuge dessen beabsichtigt das Bundeskriminalamt (BKA) noch dieses Jahr die erforderliche Software fertigzustellen, damit der noch mächtigere Staatstrojaner fortan auch Smartphones überwachen kann. Demnach sind nicht mehr nur, wie bisher, Skype und Windows betroffen, sondern auch Messenger auf mobilen Plattformen wie Android, iOS und Blackberry.

Das Parlament hat im Eilverfahren ein Gesetz verarbschiedet, welches die Strafverfolgungsbehörden ermächtigt, in bestimmten Fällen verschlüsselte Internet-Telefonate und Chats über Messenger wie Signal, WhatsApp oder Threema zu überwachen. Erforderlich dafür ist, dass die vom BKA momentan sich in intensiver Entwicklung befindliche Schadsoftware die Geräte der Betroffenen infiziert. Dieses Vorgehen läuft zwar der allgemeinen IT-Sicherheit zuwider. Nach Angaben des BKA hat dieses jedoch alle “Grundrechtsschonenden Alternativen” ohne Erfolg überprüft. Damit kann die Polizei u.a. auch, sofern der Verdacht auf eine besonders schwere Straftat vorliegt, komplette IT-Systeme wie Computer oder Smartphones ausspähen.

Abmahnung für WhatsApp-Nutzer

7. Juli 2017

Jeder Nutzer des Messengers WhatsApp läuft Gefahr von seinen eigenen elektronischen Telefonbuchkontakten kostenpflichtig abgemahnt zu werden. Der Grund dafür ist, dass nach dem Herunterladen der App, WhatsApp einen Abgleich mit dem Telefonbuch jedes neuen Nutzers durchführt, damit dieser einen sofortigen Zugriff auf seine eigenen elektronischen Kontakte aus dem Telefonbuch erhält. Dadurch werden jedoch nicht nur Kontakte synchronisiert, die ihrerseits ebenfalls WhatsApp installiert haben. Vielmehr übernimmt WhatsApp ohne Differenzierung alle Kontakte aus dem Telefonbuch des Nutzers. WhatsApp erhält somit unzählige Kontaktdaten, ohne dass die betroffenen Personen überhaupt Kenntnis von dieser Datenübermittlung haben. Damit verstößt WhatsApp gegen das Grundrecht auf informationelle Selbstbestimmung und das Datenschutzrecht, denn es ist äußerst unwahrscheinlich und praxisfern, dass die Nutzer der App eine schriftliche Einwilligung von ihren elektronischen Telefonbuchkontakten für die Übermittlung der Daten an WhatsApp einholen. Aufgrund des dargestellten Rechtsverstoßes muss jeder Nutzer bzw. potentielle Nutzer für sich selbst entscheiden, ob er die Gefahr einer kostenpflichtigen Abmahnung in Kauf nimmt oder aber, ob er dem Rechtsbruch entgehen möchte, indem er WhatsApp erst garnicht installiert bzw. die App löscht. Insbesondere Eltern von Minderjährigen, die letztenendes für diese die Verantwortung tragen, sollten sich mit der Funktionsweise der App auseinandersetzen und kontrollieren, ob ihre Kinder den Dienst bereits auf ihrem Smartphone heruntergeladen haben.

Recycelte Speicherkarten in neuen USB-Sticks führen zu Problemen

19. Mai 2017

Käufer von USB-Sticks gehen davon aus, dass sie ein neu hergestelltes Produkt kaufen. Grundsätzlich ist diese Annahme auch richtig, allerdings sind nicht alle Teile neu. Bei der Produktion von USB-Sticks werden alte Speicherchips von ausrangierten Smartphones recycelt, weil diese zu schade zum Verschrotten sind und günstig zu erwerben sind. Smartphones werden in relativ kurzen Zyklen von nur zwei bis drei Jahren durch neuere Modelle ersetzt und selbst wenn das ausgetauschte Gerät äußerliche Schäden aufweist, ist das Innenleben, also die Prozessoren und Speicherchips, noch zu gebrauchen. Das haben auch die Hersteller von USB-Sticks erkannt. Sie kaufen die Speicherchips und bauen sie in neue USB-Sticks ein.

Das Problem an diesem Recycling ist, dass auf den Speicherkarten häufig noch Daten des Vorbesitzers gespeichert sind und diese Daten sind dann auch auf dem fabrikneuen USB-Stick enthalten.

Das ist nicht nur datenschutzrechtlich äußerst problematisch, weil beispielsweise das Recht am eigenen Bild verletzt wird, sondern bringt auch Ermittlungsbehörden in Bedrängnis. Vor dieser Entdeckung konnte davon ausgegangen werden, dass die auf USB-Stick gespeicherten Daten von dem Besitzer des USB-Sticks stammen. Dem ist jetzt nicht mehr so. Bei den Ermittlungen müssen die neuen Erkenntnisse berücksichtigt werden, wodurch von einer Indizienkette nicht mehr ausgegangen werden kann.

von den Ermittlungsbehöreden beschlagnahmte USB-Sticks müssen nun forensisch untersucht werden, um festzustellen, ob die gespeicherten Daten wirklich von dem Besitzer stammen, oder ob ein recycelter Speicherchip eine Rolle spielt.

Problematisch ist, dass der ehemalige Speicherkartenbesitzer und der jetzige USB-Stick-Besitzer nicht zwingend in demselben Land, geschweige denn auf demselben Kontinent wohnen. Das führt zu rechtlichen Problemen. Die Gesetzgebung unterscheidet sich von Land zu Land und Ermittlungen die internationaler Zusammenarbeit bedürfen sind naturgemäß komplizierter und langwieriger als nationale Ermittlungen.

Warum gibt es also keine Löschpflicht der USB-Stick-Hersteller, wenn diese Speicherkarten recyceln? Die Hersteller argumentieren, dass die Produktion dadurch teurer werden würde, weil ein zusätzlicher Arbeitsschritt notwendig wird und dadurch die Wirtschaftlichkeit sinkt.

Wer jetzt meint, dass die Problematik nur bei günstigen USB-Sticks besteht liegt falsch. Das Recycling zieht sich durch alle Preiskategorien.

1 2 3 4 5 15