Kategorie: Online-Datenschutz

Facebook-Klage des Bundeskartellamts vor dem EuGH: von Düsseldorf nach Luxemburg

31. März 2021

Das Bundeskartellamt will das Datensammeln von Facebook einschränken. Dies sollten Richter vom Oberlandesgericht (OLG) Düsseldorf klären. Nun hat das OLG Düsseldorf im Rechtsstreit zwischen Facebook und dem Bundeskartellamt einige entscheidungserhebliche Fragen zum EU-Datenschutzrecht dem Gerichtshof der Europäischen Union (EuGH) in Luxemburg zur Vorabentscheidung vorgelegt. 

Bisheriger Ablauf des Verfahrens

Das Bundeskartellamt hatte dem US-Internetkonzern im Jahr 2019 Beschränkungen für den Austausch von Daten auferlegt, worüber wir bereits berichteten. Die Behörde argumentierte: das Ausmaß, in dem Facebook Daten ohne Zustimmung der User sammelt und zwischen seinen Diensten teilt, stelle einen Missbrauch seiner Marktmacht dar. 

Die Behörde hatte dem Konzern untersagt, Nutzerdaten der Facebook-Töchter WhatsApp und Instagram sowie Webseiten anderer Anbieter mit den Facebook-Konten der Nutzer zu verknüpfen, sofern der Nutzer in diese Datenerhebung und Datenverwendung nicht zuvor nach den Bestimmungen der DSGVO eingewilligt hat. Und falls die User ihre Erlaubnis nicht geben, dürfe Facebook sie nicht von den Diensten ausschließen. Eine solche Entflechtung der Datenströme hätte weitreichende Folgen für Facebooks Geschäftsmodell.

Der Präsident des Bundeskartellamts hatte damals insbesondere die Zusammenführung der Daten von unterschiedlichen Plattformen (Facebook, WhatsApp und Instagram) kritisiert. Der Düsseldorfer Oberlandesrichter Jürgen Kühnen erklärte seinerseits, dass die Datennutzung durch Facebook nicht zu einem Missbrauch der marktbeherrschenden Stellung führe. Wie wir bereits berichteten, folgte eine Berufungsklage des Kartellamts vor dem Bundesgerichtshof in Karlsruhe. Der BGH teilte die Meinung der Bundeskartellbehörde.

Entscheidung im Hauptsacheverfahren

Nun befasste sich das Düsseldorfer Gericht im Hauptsacheverfahren erneut mit der Akte, um ein endgültiges Urteil zu verkünden. Die zentrale Frage lautet: Dürfen Wettbewerbshüter das Kartellrecht als Werkzeug benutzen, um den Datenschutz durchzusetzen – oder überschreiten sie damit ihre Kompetenz? Dabei kam das Gericht laut Pressemitteilung zu folgendem Ergebnis: „Ob Facebook seine marktbeherrschende Stellung als Anbieter auf dem Markt für soziale Netzwerke deshalb missbräuchlich ausnutzt, weil es die Daten seiner Nutzer unter Verstoß gegen die DSGVO erhebt und verwendet, kann ohne Anrufung des EuGH nicht entschieden werden.“ Das OLG kann somit nicht ohne das EU-Gericht entscheiden, ob der US-Internetkonzern seine marktbeherrschende Stellung ausnutzt, weil er Daten seiner Nutzer unter Verstoß gegen Regeln des Datenschutzes sammelt und verwendet. Denn zur Auslegung des europäischen Rechts sei der EuGH berufen.

Dabei bekräftigte Kühnen die frühere Beurteilung seines Gerichts. Das OLG wird in den kommenden Wochen eine formelle schriftliche Eingabe an den EuGH machen und den Fall offiziell übergeben.

Ausblick

Der EuGH soll entscheiden, ob der US-Internetkonzern eine marktbeherrschende Stellung ausnutzt, indem er Daten seiner Nutzer und Nutzerinnen unter Verstoß gegen Regeln des Datenschutzes sammelt und verwendet. Zu klären ist zudem, ob eine nationale Kartellbehörde DSGVO-Verstöße feststellen und dagegen vorgehen kann. Auch die Definition sensibler Daten soll genauer eingegrenzt werden. Bis zu einer Antwort wird das Verfahren am OLG ausgesetzt.

Weiter Diskussionen über die Zukunft von Cookie-Bannern

29. März 2021

Immer wieder zeigt sich in Umfragen, dass sich Internet-Nutzer von sog. Cookie-Bannern in ihrem Nutzungserlebnis eingeschränkt fühlen, oder diese wegen ihrer Komplexität nicht verstehen und deswegen oft ungeprüft akzeptieren. Auch die Politik beschäftigt sich seit dem Aufkommen der Cookie-Banner wiederholt mit der Frage, wie diese in Zukunft gestaltet werden sollen. Nun hat sich auch das Bundesjustizministerium dafür ausgesprochen, dass Cookie-Banner nutzerfreundlicher gestaltet werden sollen.

Auf eine Anfrage des Handelsblatt hin äußerte sich Staatssekretär Christian Kastrop, dass das Problem im Wesentlichen in der Gestaltung der Cookie-Banner liege. Diese würden durch die Anbieter undurchsichtig und kompliziert designed oder mit langen Texten versehen, sodass die Nutzer schnell genervt seien und die Cookie-Nutzung oftmals ungeprüft akzeptieren. Notwendig sei deshalb, die erforderliche Einwilligung “einfach, verständlich und rechtssicher“ auszugestalten.

Unterschiedliche Lösungsansätze

Die Regierungsparteien sind sich über die Art und Weise, wie dies erreicht werden soll, aber scheinbar nicht einig. Während die Union einheitliche Voreinstellungen, welche durch die Dienstanbieter verwaltet werden und dann für alle Webseiten gelten sollen, ins Spiel bringt, verweist die SPD auf eine europäische Lösung: die Regelung der Thematik in der neuen E-Privacy-Verordnung, welche nun bereits seit Jahren auf sich warten lässt. Diesen Weg schlägt auch die Landesbeauftragte für Datenschutz aus Schleswig-Holstein vor.

Verbraucherschützer fordern ebenfalls eine einfachere Regelung zum Schutz der Nutzer. Auch hier wird eine einheitliche Lösung über den Internet-Browser bzw. das Betriebssystem vorgeschlagen, jedoch als Standardeinstellung eine Verweigerung der Cookie-Nutzung gefordert. Der Verwendung von Cookie müsste dann ausdrücklich zugestimmt werden.

Nutzerfreundlichkeit sieht auch der Vorschlag der Hamburger Grünen vor, wonach zwei Schaltflächen für “Cookies akzeptieren” und “Cookies ablehnen” gleichberechtigt nebeneinander stehen sollen, also ohne Unterschiede im Design (wie Farbe oder Größe). Über eine dritte Schaltfläche könnten dann individuelle Einstellungen vorgenommen werden.

Nicht wenige Unwägbarkeiten

Die Diskussion über die Zukunft der Cookie-Banner ist gerechtfertigt. Für Dienstanbieter bedeuten Cookie-Banner Mehraufwand, für Nutzer regelmäßig unübersichtliche Ärgernisse. Eine nationale Regelung trifft jedoch sowohl auf tatsächliche als auch auf rechtliche Hindernisse. Einerseits erscheint es fraglich, welchen Mehrwert eine deutsche Regelung im länderübergreifend operierenden Internet bietet, andererseits müsste das Gesetz die europarechtlichen Vorgaben erfüllen.

Ähnliche Probleme ergeben sich bei der einheitlichen Cookie-Verwaltung. Die Anzahl der im Internet eingesetzten Cookies ist kaum zu überblicken, sodass es nur schwer vorstellbar ist, dass hier eine Auswahl aller in Betracht kommender Cookies möglich ist. Wird dann stattdessen in Kategorien von Cookies eingewilligt? Wenn ja, wie verhält sich dies mit der Vorgabe der Datenschutz-Grundverordnung in die Informiertheit einer Einwilligung? Dies alles sind Fragen, die in diesem Zusammenhang der Klärung bedürften.

Eignet sich FaceTime für den Gebrauch an Schulen sowie in Unternehmen?

26. März 2021

Der Apple-Videotelefondienst FaceTime machte im Jahr 2019 mit einer Negativschlagzeile auf sich aufmerksam, so dass auch Datenschützer hellhörig wurden. Es kam bei der zu dieser Zeit neu hinzugefügten Gruppen-FaceTime-Funktion zu einer Softwarepanne, wodurch Nutzer des Dienstes unerlaubt belauscht werden konnten. Durch Hinzufügen einer Rufnummer konnten Anrufer das Mikrofon des Angerufenen aktivieren, ohne dass die angerufene Person hierfür abnehmen musste. Drückte der Angerufene eine Taste des eigenen iPhones, wurde außerdem das Videobild übertragen. Nachdem dieses von Apple verursachte Problem immer mehr in sozialen Netzwerken kursierte und mediale Aufmerksamkeit auf sich zog, deaktivierte Apple die Gruppen-FaceTime-Funktion.
Der Fehler wurde sodann zeitnah behoben und die Funktion wieder freigeschaltet, so dass zum aktuellen Zeitpunkt keine Gefahr droht.

Jenseits des Vorfalls stellt sich die Frage: Wie sicher ist FaceTime eigentlich? FaceTime bietet eine gute Übertragungsqualität für iOS-Gerätenutzer. Und auch in Sachen Sicherheit muss sich der Apple-Dienst nicht hinter anderen Anbietern verstecken. Der Dienst ist Ende-zu-Ende-verschlüsselt und Metadaten zu den Videokonferenzen werden nach 30 Tagen gelöscht. Der Dienst ist somit zumindest für den privaten Gebrauch als sicher zu bewerten.

FaceTime weist zwar einen hohen Sicherheitsstandard auf und auch die Gespräche werden Ende-zu-Ende verschlüsselt; dennoch bleibt weiterhin das Problem hinsichtlich des US-Bezugs. Die Aufsichtsbehörden sind beim Einsatz von US-Dienstleistern für Videokonferenzen streng, vor allem bezüglich Videkonferenzsystemen an Schulen. Die Behörden (Berliner Beauftrage für Datenschutz und Informationsfreiheit sowie LfDI Rheinland-Pflaz) lassen den Einsatz von US-Software nur noch für einen begrenzten Zeitraum zu und verweisen hier auf Open-Source-Software wie Big Blue Button oder Jitsi Meet. Gerade im Hinblick auf das Schrems-II-Urteil erscheint die Nutzung der Open-Source-Software aus datenschutzrechtlicher Sicht sinnvoller als die Nutzung von US-Anbietern.

Grundsätzlich ermöglicht FaceTime Videokonferenzen mit bis zu 32 Teilnehmern. Insofern bietet sich das Tool für Videokonferenzen für kleine bis mittlere Gruppen an. Dabei ist die Anrufqualität des Messengers auch regelmäßig gut. Allerdings muss bedacht werden, dass FaceTime ausschließlich auf Apple-Geräten nutzbar und nicht für den Einsatz im Unternehmen konzipiert ist. Insofern sollten, auch um flexibel zu bleiben, andere Videokonferenz-Apps zum Einsatz im Unternehmen in Betracht gezogen werden, sofern nicht alle Mitarbeiter über ein Apple-Gerät verfügen. Sämtliche Alternativen bieten den Vorteil, dass die Nutzer nicht auf den Apple-Kosmos beschränkt sind. Gerade in der Geschäftswelt ist es jedoch oftmals erforderlich, auch Nutzer anderer Geräte einzubinden, um mit unternehmensexternen Personen kommunizieren zu können. In vielen Fällen scheitert der Einsatz außerdem an der begrenzten Teilnehmerzahl. Eine Limitierung auf 32 Personen mag zunächst nicht niedrig klingen, doch gerade im Rahmen von Schulungen und anderen größeren Veranstaltungen stößt das Tool schnell an seine Grenzen.

Folglich ist FaceTime in datenschutzrechtlicher Hinsicht nicht groß zu beanstanden. Der US-Bezug ist allerdings immer als problematisch anzusehen. Dementsprechend obliegt es schlussendlich der unternehmerischen bzw. persönlichen Entscheidung, ob der Einsatz von FaceTime für den konkreten Zweck geeignet ist und der Nutzen in einem angemessenen Verhältnis zum Risiko steht.

Datensammlung im Inkognito-Modus: Klage gegen Google zugelassen

23. März 2021

Google sammelt auch im Inkognito-Modus des Chrome-Browsers Daten zu Internetaktivitäten, obwohl im Inkognito-Modus weitreichende Privatsphäre versprochen werde. Einige Google-User wollten im Wege einer Sammelklage dagegen vorgehen. Google stellte einen Antrag auf Einstellung des Verfahrens. Dieser wurde nun von der zuständigen Bundesrichterin Lucy Koh abgelehnt, wie Bloomberg berichtete.

Damit können sich die Prozessparteien auf das Haupterfahren vorbereiten. Im Einzelnen geht es darum, dass Google über eigene Webseiten und unzählige Webseiten Dritter Daten für Nutzerprofile auch dann sammelt, wenn die User den Inkognito-Modus aktiviert haben. Google vertritt dabei den Standpunkt, dass das aus dem Inkognito-Startbildschirm sowie den Datenschutzbedingungen klar hervorgehe. Demzufolge hätten die Nutzer also eingewilligt. 

Richterin Koh ist nicht überzeugt: Google habe entgegen der eigenen Behauptung nicht dargelegt, dass die User der Datensammlung zugestimmt haben. Die Hinweise im Eröffnungsbildschirm des Chrome-Browsers seien irreführend. 

Googles Vorbringen, die Vorwürfe seien verjährt, lässt die Richterin ebenfalls nicht gelten. Jedes Erheben von Daten sei ein eigenes Vergehen und lasse eine neue Verjährungsfrist beginnen. Ob das Verfahren wie von den Klägern gewünscht als Sammelklage für alle einschlägig Betroffenen geführt werden kann, ist noch offen. Eine Anhörung dazu ist auf den 22. Januar 2022 datiert. Das Verfahren lautet Brown et al v. Google et al und ist am US-Bundesbezirksgericht für das nördliche Kaliforniern unter dem Az. 5:20-cv-03664 anhängig. 

UPDATE: Kritische Schwachstellen in Microsoft Exchange Servern

18. März 2021

Durch die Ausnutzung von Sicherheitslücken erlangten Hacker Zugriff auf die Microsoft Exchange Server (wir berichteten). Die Lücken wurden inzwischen durch ein Windows-Update behoben.

Inzwischen äußerten sich auch weitere Datenschutzaufsichtsbehörden zu dem Vorfall. Einigkeit besteht hinsichtlich der Rechtsfolgen zumindest dann, wenn ein Data Breach in Form eines eindeutigen und nachweisbaren Zugriffs auf personenbezogene Daten stattgefunden hat. In diesem Fall ist die Meldung einer Datenpanne unerlässlich. Bei den Details unterscheiden sich die Meldungen jedoch.

Hier ein landespezifischer Überblick:

Auch Microsoft informiert über die technisch notwendigen Schritte. Darüber hinaus können sich Betroffene mit dem erst kürzlich veröffentlichten Microsoft On-premises Mitigation Tool (EOMT) wohlmöglich noch weiter absichern. Das Tool ersetzt die Sicherheitspatches allerdings nicht. Es kann auf der Github-Website von Microsoft heruntergeladen werden. Sind die Server abgesichert, lädt das Tool den Microsoft Security Scanner herunter. Dieser untersucht dann die Server auf schädliche Elemente.

Clubhouse ändert umstrittene Adressbuch-Regelung

16. März 2021

Das in Deutschland noch recht neue soziale Netzwerk “Clubhouse” ändert seine umstrittene Einladungspolitik. Bislang mussten Nutzer, die von ihrem zweimaligen Einladungsrecht Gebrauch machen wollten, der App den Zugriff auf das gesamte iPhone-Adressbuch gestatten (für Android-Smartphones ist eine App in Planung, es gibt aber derzeit noch keine). Nach einem Update ist diese Freigabe nun nicht mehr notwendig. Stattdessen kann auch einfach die Nummer eines Dritten im Einladungsfeld eingegeben werden. Man kann also auch Menschen einladen, die selbst nicht im eigenen Adressbuch stehen.

Zwar war es auch in der Vergangenheit möglich, dass der Nutzer nicht sein gesamtes Adressbuch für die App freigeben muss, im Gegenzug war es dann allerdings nicht möglich, von seinem Einladungsrecht Gebrauch zu machen. Für Nutzer, die bereits ihr Adressbuch freigegeben haben, soll bald die Möglichkeit bestehen, bei den App-Betreibern eine Löschung dieser Daten zu beantragen. Eine weitere geplante Neuerung ist die Möglichkeit, mittels eines Creator First-Programms Geld zu verdienen. Dazu sollen Creator, also Nutzer, die ein Gespräch führen, sich einfacher mit dem Publikum und auch mit Marken vernetzen können. Wie die Monetarisierung konkret aussieht, ist noch unklar, zunächst ist ein Testlauf geplant. Angekündigt haben die App-Betreiber diese Neuerungen standesgemäß in einem ihrer Online-Townhall-Meetings.

Clubhouse ist eine Audio-Only-App, die es in den USA seit rund einem Jahr und in Deutschland seit einigen Wochen gibt. Sie funktioniert wie ein Live-Podcast. Creator können Räume eröffnen und allein oder zusammen mit anderen Nutzern ein Gespräch führen. Grundsätzlich kann sich jeder Zuhörer auch aktiv an dem Gespräch beteiligen. Der Hype, den die App ausgelöst hat, dürfte auch an der künstlichen Verknappung liegen. Man bekommt nur auf Einladung eines Mitglieds Zugang zu diesem sozialen Netzwerk, wobei jedes Mitglied nur zwei weitere Personen einladen darf.

Datenschutzmeldepflicht : Kritische Schwachstellen in Microsoft Exchange Servern

12. März 2021

Aufgrund von gezielten Angriffen durch Hacker auf verschiedene Versionen der Microsoft Exchange Server hat Microsoft wichtige Sicherheitsupdates zum Download bereitgestellt. Seit Ende Februar 2021 werden offene Flanken der Mail-Einrichtung Exchange Server angegriffen. Vier Lücken wurden dabei mit dem Bedrohungsgrad „äußerst kritisch“ eingestuft. Die Updates erfolgen außer der Reihe und die Angriffswelle dauert aktuell noch an.

Auch viele deutsche Unternehmen sind von den Attacken betroffen. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind zehntausende Exchange Server in Deutschland aktuell über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das BSI hat bereits begonnen, potentiell Betroffene zu informieren und empfiehlt allen Betreibern der Exchange Server, sofort die von Microsoft bereitgestellten Patches einzuspielen.

Betroffene Schwachstellen

Die Schwachstellen betreffen die Exchange Server der folgenden Versionen:

  • Exchange Server 2010 (RU 31 für Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Die betroffenen Sicherheitslücken werden als Teil einer Angriffskette ausgenutzt. Der anfängliche Angriff setzt die Fähigkeit voraus, eine nicht vertrauenswürdige Verbindung zum Exchange-Server herzustellen, weitere Teilbereiche des Angriffs können dagegen auch ausgeführt werden, wenn der Angreifer bereits Zugang hat oder auf anderem Wege Zugang erhält. Das bedeutet, dass Abhilfemaßnahmen wie das Einschränken von nicht vertrauenswürdigen Verbindungen, oder das Einrichten eines VPNs nur vor dem ersten Teil des Angriffs schützt. Das Patch ist somit die einzige Möglichkeit, den Angriff vollständig abzuschwächen.

Es sei denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren könne, so das BSI.  Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI weiterhin ein sehr hohes Angriffsrisiko.

Die Sicherheitspatches sind über ein Windows Update verfügbar. Durch das Update werden die insgesamt 89 Sicherheitslücken geschlossen.

Chinesischer Bedrohungsakteur wohl verantwortlich

Nach den Informationen von Microsoft habe der in China ansässige und staatlich gelenkte Bedrohungsakteur “Hafnium” die Fehler ausgenutzt, um sich Zugang zu E-Mails und zusätzlicher Malware zu verschaffen, die einen langfristigen Zugriff auf die Umgebungen der Opfer ermöglichen soll. Hafnium greife Organisationen in zahlreichen Branchen an, darunter Forscher von Infektionskrankheiten, Rechtsanwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Denkfabriken und NGOs (Nichtregierungsorganisationen).

Datenschutzrechtliche Maßnahmen

Wer als Unternehmen, Organisation oder Behörde von einem Angriff auf personenbezogene Daten betroffen ist, muss einen solchen Vorfall nach der Datenschutz-Grundverordnung (DS-GVO) unter bestimmten Umständen der zuständigen Datenschutzaufsichtsbehörde, bei Kritischer Infrastruktur zusätzlich auch dem Bundesamt für Sicherheit in der Informationstechnik melden.

Auch nach erfolgreichem Einspielen der Patches sollte bedacht werden, dass betroffene Organisationen in der Zwischenzeit angreifbar waren. Nach Angaben des Bayrischen Landesamt für Datenschutzaufsicht (BayLDA) müssen die jeweiligen Unternehmen prüfen (und ihren Incident-Respone-Plan anwenden, sofern ein solcher vorhanden ist), inwieweit Unregelmäßigkeiten im Betrieb festzustellen seien. Des Weiteren müsse die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DS-GVO von einem betroffenen Unternehmen auch gemeldet werden, da es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Unter bestimmten Voraussetzungen müssten dann auch die betroffenen Personen informiert werden. Nur wenn in der vorliegenden Konstellation atypischer Weise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, müsse keine Meldung erfolgen, so das BayLDA. Darüber hinaus seien jedoch die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens umfassend zu dokumentieren.

Google Chrome macht Vorschläge für mehr Datenschutz-Konformität

10. März 2021

Google Chrome ist momentan der meistgenutzte Browser und bietet zahlreiche praktische Funktionen für die Nutzer. Doch gerade im Bereich Datenschutz ist der Konzern hinter dem Browser nicht gerade auf dem Vormarsch. Durch zahlreiche Einstellungen und Add-ons lässt sich der Datenschutz der Nutzer bei der Verwendung von Google Chrome jedoch verbessern.

Welche Datenschutzeinstellungen sollten bei der Nutzung von Chrome ausgewählt werden?

Über das Chrome-Dreipunktmenü können unter dem Reiter „Einstellungen“ die Funktionen angepasst werden. Hier finden sich unter dem Reiter „Datenschutz und Sicherheit“ auch die Chrome Datenschutz Inhaltseinstellungen. Dort ist es möglich, gespeicherte Cookies sowie den Browserverlauf zu löschen und Berechtigungen im Hinblick auf die Nutzung der Nutzerinformationen durch die Websites zu konfigurieren.

Um die Datensparsamkeit des Chrome Browsers zu gewährleisten, sollte insbesondere auf folgende Punkte Wert gelegt werden:

  • Deaktivieren des automatischen Speicherns von Passwörtern
  • Deaktivieren des automatischen Ausfüllens von Zahlungsmethoden und Adressen
  • Deaktivieren der automatischen Vervollständigung von Suchanfragen und URLs
  • Deaktivieren des Sendens von Nutzungs- und Absturzberichten
  • Deaktivieren von Drittanbietercookies sowie das Aktivieren der Funktion „Do not track“
  • Aktivieren des Standardschutzes beim Safe Browsing, wobei die Funktion „Dabei helfen, das Web für alle sicherer zu machen“ deaktiviert werden sollte
  • Löschen der Browserdaten (insbesondere Cookies und anderen Websitedaten)
  • Die Websiteeinstellungen (unter anderem Zugriffsberechtigungen) sollten entsprechend eingestellt werden.

Zu den meisten der hier genannten Punkte wurde bereits eine detaillierte Schritt-für-Schitt-Anleitung veröffentlicht.

Welche Datenschutz-Add-ons sind für den Nutzer sinnvoll?

Dem Nutzer des Browsers stehen verschiedenste Add-Ons zur Verfügung. Darunter befinden sich beispielsweise uBlock, der Privacy Badger, Click & Clean sowie NoScript.

Der Chrome Browser in der Kritik

Google ist ein Konzern, der von der Auswertung seiner Daten lebt. Nur so ist die Einspielung von Werbung möglich. Dies ist aus der Sicht von Datenschützern problematisch. Dabei sendet Chrome standardmäßig Nutzungsstatistiken und Absturzberichte an Google, um den Konzern bei der Verbesserung seiner Produkte zu unterstützen. Was sich hinter dem unscharfen Begriff „Verbesserung der Produkte“ verbirgt und welche Daten Google dabei genau erhebt, wird den Nutzern gegenüber nicht kommuniziert. Die Angaben in der Datenschutzerklärung sind vage und enthalten nur eine beispielhafte Aufzählung zum Umfang der Nutzungsstatistiken „z.B. Informationen zu Einstellungen, zu Klicks auf Schaltflächen, Leistungsstatistiken oder zur Speicherauslastung“, welche weitgehend keine Webseiten-URLs oder personenbezogenen Daten enthalten sollen. Die Absturzberichte hingegen enthalten „Systeminformationen vom Zeitpunkt des Absturzes und unter Umständen auch URLs von Webseiten oder personenbezogene Daten, je nachdem, was zum Zeitpunkt passierte, als der Absturzbericht ausgelöst wurde.“ Darüber hinaus behält sich Google vor, diese Daten ohne Personenbezug mit Publishern, Werbetreibenden oder Webentwicklern zu teilen. Für die Nutzer ist anhand dieser Datenschutzerklärung jedoch nicht verifizierbar, ob der Konzern diese Versprechen einhält. Der Nutzer muss Google in diesen Punkten Vertrauen entgegenbringen. Zusätzlich sind in Chrome standardmäßig Google-Services für verschiedene Funktionen wie beispielsweise die Suche aktiviert. Werden diese Google-Dienste parallel zur Nutzung des Browsers verwendet, potenzieren sich die Daten, welche Google vom Nutzer erhält. Einen Überblick dazu gibt der Konzern hier.

Welche Datenschutz-Alternativen gibt es zu Chrome?

Trotz der dargestellten Datenschutzeinstellungen wird der Datenfluss zwischen Chrome und Google nie vollständig versiegen. Ist diese Tatsache für den Nutzer nicht zufriedenstellend, so existieren auf dem Markt einige Alternativen verschiedener Anbieter, deren Browser unterschiedliche Vor- und Nachteile haben:

Firefox

Firefox ist einer der beliebtesten Browser nach Google Chrome und präsentiert sich somit als sinnvolle Alternative. Nicht zuletzt aufgrund der fehlenden Kommunikation zwischen Firefox und Google ist der Browser deutlich datenschutzfreundlicher. Firefox verdient kein Geld mit Daten, Haupteinnahmequelle ist vielmehr die Integration voreingestellter Suchmaschinen. Eine gewisse Abhängigkeit besteht hier jedoch auch: Die Standard-Suchmaschine im Firefox-Browser ist Google. Hierfür zahlt der Konzern Mozilla mehrere Milliarden Dollar pro Quartal.

Brave

Brave nutzt wie viele andere Browser den vorgestellten Open-Source-Browser Chromium. Seine fehlende Bekanntheit wird ihm nicht gerecht, vereint er doch die Vorteile von Chrome mit einer herausragenden Datenschutzkonformität. So wird beispielsweise im Inkognito-Modus der Tor-Browser verwendet. Dabei wird nicht nur der Verlauf automatisch gelöscht, sondern das Surf-Verhalten wird durch die Umleitung über mehrere Server anonymisiert. Die Verbindungen sind dabei verschlüsselt.

Opera

Opera bietet durch viele Zusatzfunktionen zahlreiche Nutzungsmöglichkeiten. Es ist beispielsweise möglich, Messenger in den Browser zu integrieren, Mausgesten zu nutzen oder Tastenkürzel einzustellen. Erwähnenswert ist vor allem der integrierte Gratis-VPN. Die Verbergung des Standorts des Nutzers ist damit kein Problem mehr. Nutzern sollte aber bewusst sein, dass VPN-Anbieter den kompletten Datenverkehr einsehen können, der über ihre Netzwerke läuft.

Tor-Browser

Gerade beim Thema Datenschutz ist der Tor-Browser auf dem Vormarsch. Der Nutzer wird beim Surfen in der Regel über drei Server geroutet, die meist in verschiedenen Staaten stehen. Der Nutzer stammt dadurch für die besuchte Website bei jedem einzelnen Besuch aus komplett unterschiedlichen Regionen, sodass er weitestgehend anonym surft. Durch das Routing büßt der Browser jedoch an Geschwindigkeit ein, sodass Websites teilweise länger laden müssen als bei anderen Browsern.

Zusammenfassend:

Besonders datenschutzkonform ist Google Chrome zwar nicht, sein Einsatz kann jedoch mit einigen Kniffen deutlich datensparsamer als in der Standardinstallation gestaltet werden. Am Ende muss jeder für sich selbst entscheiden, welche digitalen Dienste er in Anspruch nimmt und wie viele Daten preisgegeben werden sollen. Das Vorstehende hat zumindest gezeigt, dass eine Nutzung des Browsers Chrome aufgrund der Existenz zahlreicher leistungsstarker Alternativen keinesfalls zwingend ist.

Google verzichtet künftig auf individualisiertes Tracking

8. März 2021

Es gibt wohl nur wenige kommerzielle Webseiten, die kein Tracking – also die Analyse des Nutzerverhaltens – betreiben und die meisten Seiten verwenden entsprechende Dienste von Google. Nun hat Google angekündigt, künftig – vermutlich ab 2022 – keine Tracking-Cookies mehr anzubieten, welche individualisierte Werbung ermöglichen. Dieser Schritt mag für User und Kunden überraschend erscheinen, war aber durchaus abzusehen. Google legt seit einigen Jahren einen größeren Fokus auf das Thema Datenschutz und Privatsphäre und hatte so beispielsweise vergangenes Jahr für den unternehmenseigenen Browser Chrome erstmals die Möglichkeit eröffnet, sog. third-party-cookies zu löschen.

Kein Verzicht auf Werbung

Gleichwohl wird Google nicht darauf verzichten, seinen Kunden maßgeschneiderte Werbe-Möglichkeiten anzubieten. Zwar hat sich Google – bzw. die Mutter Alphabet Inc. – in den vergangenen Jahren immer breiter aufgestellt, doch noch immer macht der Umsatz aus Werbung rund zwei Drittel des Konzernumsatzes aus. Google selbst verweist darauf, dass diese Cookies angesichts neuer gesetzlicher Vorgaben und dem gestiegenen Interesse der User am Thema Datenschutz/Privacy in Zukunft nicht wirtschaftlich seien. Und so wird Google künftig vermehrt auf das sog. FLoC (Federated Learning of Cohorts) setzen. Dabei wird nicht mehr das Nutzerverhalten einzelner User analysiert, sondern von größeren Nutzer-Gruppen. Diese sollen laut bisheriger Tests so effektiv sein, dass sie mindestens 95 Prozent der bisherigen Conversions generieren können. Bereits im zweiten Quartal will Google seinen Kunden über Google Ads FLoC-basierte Kohorten zur Verfügung stellen.

Ausblick

Durch den künftigen Verzicht auf individualisiertes Tracking wird sich – laut einiger Experten – für Google sowie dessen Kunden nicht viel ändern. Stattdessen wird erwartet, dass die Entscheidung Druck auf die Konkurrenz im Online-Werbe-Markt aufbauen wird, insbesondere auf Facebook. Aber auch aus datenschutzrechtlicher Sicht könnten sich daraus Auswirkungen ergeben, beispielsweise auf den erforderlichen Cookie-Consent. Ob dies der Fall ist, wird jedoch erst abschließend bewertet werden können, wenn die genauen Funktionsweisen der FLoC-basierten Kohorten bekannt sind. Und auch aus User-Sicht wird zu hinterfragen sein, ob die geplanten Neuerungen tatsächlich zu mehr Privatsphäre führen.

Automatische Gesichtserkennung: Facebook zahlt 650 Millionen Dollar

3. März 2021

In dem seit 2015 laufenden Verfahren handelt es sich um die Funktion, bei der Facebook vorschlägt, in Fotos abgebildete Freunde mit Namen zu markieren. Die Kläger argumentierten, dass es gegen ein Gesetz zur Gesichtserkennung im US-Bundesstaat Illinois verstieß, dafür vorher nicht die Einwilligung der Betroffenen einzuholen. Mittlerweile hat Facebook das Verfahren weltweit geändert und fragt Nutzer zunächst nach einer Erlaubnis, um die Funktion zu nutzen. 

Die Funktion wurde bereits vor etwa zehn Jahren von Facebook eingeführt. Die Technik zur automatischen Gesichtserkennung ohne vorherige Ankündigung wurde auch für Nutzer außerhalb der USA aktiviert. Nutzer mussten der Verwendung der Funktion in den Datenschutzeinstellungen im Sinne eines Opt-Out explizit widersprechen. Diese Funktion hatte unmittelbar nach Einführung dazu geführt, dass sich die Datenschützer in der EU damit befassten. Letztlich haben wohl solche juristische Auseinandersetzungen und die Klage Facebook dazu veranlasst, die Einwilligung der Nutzer doch einzuholen.

Nun hat ein Richter in Kalifornien am Wochenende die bereits im letzten Jahr verhandelte Einigung der Parteien in dem Rechtsstreit gebilligt. Jeder Kläger erhält 345 US-Dollar (ca. 286 Euro). Die drei Facebook-Nutzer, die die Sammelklage angestoßen hatten, bekommen jeweils 5000 Dollar. Insgesamt zahlt Facebook 650 Millionen US-Dollar an die Kläger im Streit um den Einsatz von Gesichtserkennungs-Technologie. Laut Richter Donato sei dies ein großer Erfolg für Verbraucher „im heiß umkämpften Bereich der digitalen Privatsphäre“.

1 2 3 4 73