Kategorie: Online-Datenschutz

Facebook: Neue Richtlinie für den Umgang mit Nutzerdaten vorgestellt

22. Mai 2012

Das weltweit größte Social Network Facebook hat seine neue Richtlinie für den Umgang mit Nutzerdaten vorgestellt. Grund für die Änderungen waren die Empfehlungen der irischen Datenschutzbehörde, welche nach eingehender Prüfung Ende des vergangenen Jahres diverse Nachbesserungen empfohlen hatte. Die irische Datenschutzbehörde ist nach dem Verständnis des US-Amerikanischen Unternehmens als einzige Datenschutzbehörde in Europa für die Belange Facebooks zuständig, da dort das europäische Headquarter beheimatet ist.

In der Erklärung des Unternehmens zu den Neuerungen heißt es: „Wir werden Daten so lange einbehalten, wie dies erforderlich ist, um den Nutzern und anderen Dienstleistungen zur Verfügung zu stellen. Diese umfassendere Verpflichtung gilt für alle Daten, die wir über Dich sammeln und erhalten, einschließlich Informationen von Werbetreibenden“. Facebook kann somit Daten die das Unternehmen von Werbepartnern oder Spiele-Anbietern bekommt in manchen Fällen länger als die bisher gestatteten 180 Tage aufbewahren.

Zudem wird in der neuen Richtlinie ausführlich dargelegt, welche Informationen Facebook über seine Nutzer durch die Verwendung von, vor allem von Datenschützern vehement kritisierten, Cookies sammelt.

Kategorien: Social Media
Schlagwörter: ,

ULD: „Facebook nervt – Widerspruch ist weiterhin und erneut nötig“

16. Mai 2012

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat die am 11.05.2012 von Facebook veröffentlichten Vorschläge für die Änderung seiner Datenverwendungsregeln überprüft und teilte mit, dass mit Implementierung der Datenverwendungsrichtlinien erneut keine wesentlichen Verbesserungen, sondern aus Datenschutzsicht sogar weitere Verschlechterungen einhergehen würden, wie z. B. Ermächtigungen für eine noch längere Speicherung und Nutzung der Daten. Die vom irischen Datenschutzbeauftragten geäußerte Kritik werde zwar aufgegriffen, aber die dort geforderten tatsächlichen Änderungen nicht umgesetzt.

„Facebook nervt, indem es die Öffentlichkeit mit immer wieder neuen Scheinma- növern hinhält. Facebook muss nicht einfach sein Kleingedrucktes ändern, sondern seine Geschäftspolitik und seine Datenverarbeitung. Hierüber muss dann Transparenz hergestellt werden.“, kommentierte der Landesbeauftragte für den Datenschutz Schleswig-Holstein Weichert. Er könne Facebook-Nutzern nur ein weiteres Mal empfehlen, gegen die geplanten Datenverwendungsrichtlinien Einspruch einzulegen.

 

Tausende Zugangsdaten von Twitter-Nutzern im Internet veröffentlicht

11. Mai 2012

Medienberichten zufolge sind auf der Dokumentenveröffentlichungsplattform Pastebin 55000 Namen und Zugangsdaten von Twitter-Nutzern publik gemacht worden. Unklar sei, wer die Daten dort eingestellt hat. Nach Angaben von Twitter seien eine Vielzahl der veröffentlichten Daten falsch, doppelt oder seien mittlerweile gesperrten Spam-Zugängen oder möglicherweise auch Fake-Accounts zuzuordnen. Twitter selbst werde die Passwörter automatisch zurücksetzen und die Betroffenen via E-Mail informieren.

Google Analytics: Was Sie als Website-Betreiber beachten müssen!

9. Mai 2012

Obwohl es seit geraumer Zeit eine Möglichkeit gibt, Google Analytics datenschutzkonform zu betreiben, machen davon nur sehr wenige Website-Betreiber Gebrauch. Prüfungen des Bayerischen Landesamtes für Datenschutzaufsicht ergaben beispielsweise, dass lediglich 3 % der bayerischen Website-Betreiber Google Analytics in datenschutzkonformer Weise einsetzen. Beanstandungen durch die zuständige Datenschutzaufsichtsbehörde, Kundenunzufriedenheit und Komplikationen im Alltagsgeschäft sind bei rechtswidrigem Einsatz vorprogrammiert.

Erforderliche Schritte zum rechtskonformen Einsatz von Google Analytics

Vier Schritte sind erforderlich, um Google Analytics rechtskonform einsetzen zu können:

  • Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google
  • Erweiterung um die Funktion „anonymize IP“
  • Einräumung eines Widerspruchsrechtes der User (Browser Add-On)
  • Anpassung Ihrer Datenschutzerklärung: Information über Einsatz von Google Analytics und Widerspruchsrecht

Was tun bei derzeit rechtswidrigem Einsatz von Google Analytics?

Sollten Sie bis dato die oben genannten Maßnahmen nicht umgesetzt haben, ist der Einsatz von Google Analytics rechtswidrig. Ihre Website sollte daher dringend den derzeitigen rechtlichen Regelungen entsprechend angepasst werden und Sie sollten sicherstellen, dass mittels Google Analytics gewonnene Altdaten  gelöscht werden. Dies erfordert eine Schließung des bestehenden Google Analytics Profils und die Neueröffnung eines neuen Profils.

Benötigen Sie Unterstützung bei der datenschutzkonformen Ausgestaltung des Einsatzes von Goolge Analytics oder Unterstützung bei der Kommunikation mit Ihrer Aufsichtsbehörde?

Treten Sie mit uns in Kontakt!

Schatten-Profile durch Freunde-Finder: Uni Heidelberg veröffentlicht Studie über Möglichkeiten – LG Berlin urteilt „rechtswidrig“

Das Heidelberg Collaboratory for Image Processing (HCI) der Universität Heidelberg hat eine Studie zur automatischen Generierung von sogenannten Schattenprofilen veröffentlicht. Schattenprofile sind Datensätze, die soziale Netzwerke über Nicht-Mitglieder erstellen. Dabei bedienen sie sich der Auskunftsfreudigkeit ihrer Mitglieder. Bekanntestes Beispiel hierfür ist der „Freunde-Finder“ des Social Networks Facebook. Über diesen lässt sich Facebook Zugang zu den Email-Adressbüchern ihrer Mitglieder verschaffen um darin enthaltende Nicht-Mitglieder ebenfalls erfassen und nach Möglichkeit für das Netzwerk gewinnen zu können. Dem Mitglied selber wird im Gegenzug in Aussicht gestellt, über veraltete Email-Adressen im Email-Account alte Freunde im Netzwerk wiederzufinden.

Die Studie der Heidelberger Wissenschaftler belegt jetzt, welche Möglichkeiten durch die gesammelten Schattenprofile noch bestehen. So ließen sich durch bestimmte Lern- und Vorhersagealgorithmen bis zu 40% der existierenden Freundschaften unter Nicht-Mitgliedern auf Basis der reinen Kontaktdaten zutreffend generieren. Zudem war nachweisbar, dass darüber hinaus auch die Möglichkeit besteht die sexuelle Orientierung sowie die politische Ausrichtung zu bestimmen.

Nicht erst bereits seit diesen Erkenntnissen bestehen erhebliche Zweifel an der datenschutzrechlichen Konformität des Freunde-Finders. Nach einer Klage der Verbraucherzentrale Bundesverband e.V. (vzbv) urteilte das Landgericht (LG) Berlin (Urteil v. 06.03.2012, Az. 16 O 551 /10) Anfang März und befand die Verwendung dessen durch Facebook als rechtswidrig. So würde der Nutzer nicht ausreichend über die Reichweite der Funktion und deren Hintergrund aufgeklärt. Zudem würden die potentiellen Neumitglieder kontaktiert, ohne dazu ihr Einverständnis gegeben zu haben. Das Urteil ist noch nicht rechtskräftig. (jr)

25.000 Dollar Strafe für Google

18. April 2012

Nach einem Bericht von heise.de wurde Google für mangelnde Kooperation bei der Aufarbeitung eines Datenskandals abgemahnt. Das Bußgeld in Höhe von 25.000 US-Dollar sei die höchstmögliche Strafe dafür, dass Google die Untersuchungen erschwert und verzögert habe. Dahinter steht die US-Aufsichtsbehörde FCC, die ihre Entscheidung nun in einem Zwischenbericht begründet.

Anlass gaben die Kamerafahrten von Google für Street View in den Jahren 2007 bis 2010. Dabei wurden nicht nur Fotos geschossen, sondern auch WLAN-Daten gesammelt. Sie sollten gespeichert werden, um spätere Lokalisierungen zu ermöglichen. Gespeichert wurden jedoch nicht nur Name und Ort des WLANs, sondern auch Inhalte der abgefangenen Kommunikation wie zum Beispiel E-Mails oder Passwörter.

Dem Bericht zufolge bestritt Google zunächst die Vorgänge, das Unternehmen hätte die Speicherung solcher Daten nicht in Auftrag gegeben. Später folgte ein Eingeständnis, es seien mehr Daten gespeichert worden, als geplant gewesen wäre.

Untersuchungen der US-Handelsbehörde FTC wurden eingestellt, nachdem Google versprochen hatte, die fälschlicherweise gesammelten Daten wieder zu löschen. Die Regulierungsbehörde FCC hat daraufhin ihre eigenen Untersuchungen begonnen, auf die Google aber kaum reagierte. Vor allem hielt Google die Namen der Verantwortlichen für die damalige Aktion zurück.

Später sei Google der Behörde zwar ein Stück weit entgegengekommen und habe einige Namen genannt. Belege, dass interne Untersuchungen vorangetrieben worden wären, hätten jedoch weiterhin gefehlt.

Ob Google sich von der Strafzahlung nachhaltig zu mehr Kooperation bei der Aufklärung motivieren lässt, sei dahingestellt.

Vor Xbox-Verkauf private Daten sicher löschen

2. April 2012

Wie heise.de berichtet, sollten private Verkäufer der Spielekonsole „Xbox 360“ sorgfältig darauf achten, ihre privaten Daten von der Konsole zu löschen. Die eingebaute Funktion, das Gerät auf Werkseinstellungen zurückzusetzen, reiche hierfür nicht aus, hätten Forscher der Drexel University herausgefunden.

Sie gaben an, eine so genannte refurbished Konsole erworben zu haben, auf der sie über spezielle Software direkt auf das Dateisystem hätten zugreifen können. Dort sei es ihnen möglich gewesen, Kreditkartendaten des Vorbesitzers aufzuspüren. Ihre Empfehlung laute daher, das Dateisystem vor der Rückgabe der Spielekonsole mehrfach mit sinnlosen Daten zu überschreiben. Andernfalls könnten Wiederherstellungsprogramme früher gespeicherte Daten wieder sichtbar machen, weil das System der Xbox diese nicht wirklich lösche, sondern nur als gelöscht markiere.

Microsoft reagierte nach dem Medienbericht mit Kritik, weil keine Details zu der Untersuchung an Microsoft herausgegeben worden seien. Das Unternehmen meldete weiter, die Xbox speichere in der Regel keine Kreditkartendaten auf den lokalen Speichermedien. Bei der Wiederaufbereitung gebrauchter Konsolen würden zudem alle Daten zweifelsfrei gelöscht.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Facebook ändert Nutzungsbedingungen

22. März 2012

Seit längerem steht Facebook aufgrund des Umgangs mit den Daten seiner Nutzer weltweit in der Kritik. Nun reagiert Facebook, aber anstatt die Nutzerrechte zu stärken, schränkt Facebook diese weiter ein.

Die meisten Facebook Nutzer werden die Änderungen der sog. „Datenverwendungsrichtlinien“ gar nicht erst wahrnehmen. Dies erklärt sich dadurch, dass Nutzer nur dann vorab informiert werden, wenn sie „Fan“ der „Facebook Site Governance“-Webseite sind.

Wie kritisch die geänderten Nutzungsbedingungen zu sehen sind, verdeutlicht folgende Übersicht:

  • Ein Akzeptieren der geänderten Nutzungsbedingungen erfolgt durch bloßes Weiternutzen von Facebook; hier ist eine Einwilligung des Nutzers notwendig.
  • Die Übermittlung von eigenen Daten erfolgt auch dann an Anwendungen, wenn „andere Nutzer, die deine Inhalte und Informationen sehen können, eine Anwendung verwende[n]“; die Forderung von Facebook, dass Anwendungen die Privatsphäre zu respektieren haben, ist in diesem Fall als nicht mehr ausreichend zu erachten.
  • Wenn Software von Facebook (z.B. Browser-Plug-in) verwendet wird, erteilt der Nutzer sein Einverständnis, dass diese automatisch aktualisiert werden kann; darin, dass dem Nutzer die Möglichkeit genommen wird, selbst über eine Installation von Updates zu entscheiden, ist ein Widerspruch zu bestehenden Sicherheitsstandards zu sehen.
  • Facebook muss bezahlbare Dienstleistungen und Kommunikationen nicht als solche kennzeichnen; dies könnte einen Verstoß gegen § 6 Abs. 1 Telemediengesetz darstellen.

Um für Entspannung zu Sorgen, hat Facebook für den Zeitraum zwischen dem 15. März 2012 und dem 22. März 2012 eine Diskussionsplattform über die neuen Nutzungsbedingungen online gestellt. Ab dem 22. März gelten die neuen Nutzungsbedingungen dann uneingeschränkt für alle Nutzer.

Im Ergebnis ist damit festzuhalten, dass Facebook es anscheinend verpasst, das Recht der Nutzer, selbst über den Umfang der Verwendung ihrer Daten zu entscheiden, im erforderlichen Maße zu beachten und technisch umzusetzen. Vielmehr werden bestehende Bedenken sowohl an der Vereinbarkeit mit deutschen als auch europäischen Datenschutzrecht noch vertieft. (md)

Kategorien: Allgemein · Mobile Business · Online-Datenschutz
Schlagwörter: ,

EuGH lehnt Inhaltskontrollen in Sozialen Netzwerken ab

21. Februar 2012

Wie huntonprivacyblog.com berichtet, hat der Europäische Gerichtshof vergangene Woche über die Zulässigkeit von Vorabkontrollen der Inhalte in Sozialen Netzwerken entschieden.

In dem Verfahren SABAM vs. Netlog forderte der belgische Verband von Urheberrechtsinhabern, Netlog als Anbieter eines Sozialen Netzwerks müsse ein generelles Filtersystem für Nutzerinhalte installieren. Nutzer sollten so davon abgehalten werden, Urheberrechte zu verletzen, wenn sie Dateien hochladen.

Im Ergebnis entschied der EuGH gegen ein generelles Filtersystem. Der Rahmen der Verhältnismäßigkeit würde gesprengt, müssten die Anbieter Sozialer Netzwerke solch aufwendige Systeme auf eigene Kosten einrichten und betreiben.

Darüber hinaus würde schwerwiegend in Nutzerrechte eingegriffen. Besonders Datenschutzrechte seien betroffen, wenn sämtliche Profile und Inhalt der Nutzer erfasst und analysiert werden müssten.

Verstöße gegen die Informationsfreiheit könnten ebenfalls nicht ausgeschlossen werden, wenn die automatischen Filter aufgrund von Ungenauigkeiten oder Programmfehlern auch zulässige Inhalte blockieren würden.

Der EuGH hatte im Rahmen eines Vorlageverfahrens zu entscheiden, ob die Richtlinien 2000/31/EG, 2001/29/EG und 2004/48/EG solchen automatischen Filtersystemen entgegenstehen. In einem früheren Verfahren (SABAM vs. Scarlet, C-70/10) entschied der EuGH bereits, dass ein Internet-Service-Provider nicht zur Errichtung solcher Filtersysteme gezwungen werden könne.

Verallgemeinern ließen sich diese Entscheidungen des EuGH aber nicht. Filtersysteme könnten sehr unterschiedlich ausgestaltet sein, vorliegend waren die Verstöße gegen Datenschutzgesetze mit entscheidend.

Auch Filtersysteme für unternehmensinterne Inhalte sind datenschutzrechtlich nicht einheitlich zu beurteilen. Hierbei wird es stets auf den Einzelfall und die unternehmensinternen Regelungen ankommen. Als Teil einer Compliance-Prüfung sollte hierbei nicht zuletzt auch ein der Datenschutzbeauftragte involviert sein, der die jeweiligen Systeme prüfen muss, um eine Einschätzung abgeben zu können. Ihr Externer Datenschutzbeauftragter steht Ihnen hierzu stets gerne beratend zur Verfügung. (ssc)

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Datenschützer äußern Bedenken an Two-Strike-Warnhinweismodell

Ein auf Betreiben des Bundeswirtschaftsministeriums (BMWi) durch die Forschungsstelle für Medien an der FH Köln erstellte vergleichende Studie plädiert für die Einführung eines zweistufigen, vorgerichtlichen Regulierungsmodells („Two-Strike“) zur Bekämpfung von Urheberrechtsverletzungen im Rahmen von P2P-Filesharing.

Das mehrstufige Modell sieht vor, dass Rechteinhaber zunächst nach der Kenntnisnahme von Urheberrechtsverletzungen den zuständigen Access-Provider unter Nennung der verletzenden IP-Adresse über den Verstoß informieren. Der Access-Provider, der als Vertragspartner der verletzenden IP-Adresse diese einem Klarnamen zuordnen kann, versendet einen aufklärenden Ersthinweis an den Anschlussinhaber und informiert diesen darüber, dass sein Name und der entsprechende Verstoßvorwurf in einer internen Liste abgelegt werden. Ab einer gewissen Anzahl von Verstößen durch eine IP-Adresse soll der Rechteinhaber dann im Wege eines gerichtlichen Auskunftsverlangens dessen Namen und Anschrift herausverlangen können.

Datenschutzrechtlichen Bedenken an dem Modell versucht die Studie durch eine situationsabhängige „konkrete Ausgestaltung der Maßnahme“ gerecht zu werden. Jedenfalls sei am Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung (BVerfG, Urt. v. 2.03.2010, Az. 1 BvR 256/08) ersichtlich, dass bei entsprechender gesetzlicher Ermächtigung eine sechsmonatige, anlasslose Speicherung von Telekommunikationsverkehrsdaten „mit Art. 10 GG nicht schlechthin unvereinbar“ sei.

Bereits kurz nach der Veröffentlichung der Studie wurde gegen diese jedoch Kritik aus Reihen der Datenschützer und der betroffenen Wirtschaft laut. Datenschützer kritisieren, dass es den Anbietern von Internetdiensten bisher gerade grundsätzlich nicht gestattet ist, Einsicht in die Kommunikationsinhalte ihrer Kunden zu nehmen. Lediglich der hier nicht vorliegende Ausnahmetatbestand des § 88 Abs. 3 TKG normiere eine Ausnahme zum Schutz technischer Systeme. Das betroffene Telekommunikationsgeheimnis sei sonst nur durch gesetzliche Vorschriften, etwa § 101 Abs. 9 UrhG und dann mit richterlichem Beschluss, zu beschränken. Würde die Überwachung aller Internetnutzer zur Feststellung von Urheberrechtsverletzungen hingegen wie durch das vorgeschlagene Modell generalisiert, wäre dies verfassungswidrig.

Zudem wird in der Verknüpfung von Verstößen und Namen in den entsprechend durch die Access-Provider geführten Listen ein nicht unerhebliches Datenschutz-Risiko für die Nutzer erkannt. Dieses sei, gerade in Hinsicht auf die nicht zu vernachlässigende Fehlerhaftigkeit des geplanten Vorgehens bei ähnlichen Modellen im europäischen Ausland, nicht als verhältnismäßig anzusehen.

Dem Leitsatz folgend „Datensparsamkeit ist der beste Datenschutz“ sehen Kritiker in dem vorgestellten Modell eine unzulässige Gefährdung des geltenden Rechts, insbesondere der verfassungsrechtlich gewährleisteten informationellen Selbstbestimmung. (jr)

1 56 57 58 59 60 64