Kategorie: Online-Datenschutz

Neues zur Cookie-Richtlinie

30. Mai 2012

Deutschland:

Auch wenn zwischenzeitlich sowohl vom Bundesrat, als auch von der SPD-Fraktion, ein Entwurf zur Änderung des Telemediengesetzes in den Bundestag eingebracht wurde, ist die E-Privacy Richtlinie (= Cookie-Richtlinie) in Deutschland bisher nicht umgesetzt worden, da die Vorschläge bei der schwarz-gelben Regierungsmehrheit nicht auf Zustimmung stießen. Obwohl Deutschland ein Vertragsverletzungsverfahren droht, da die Richtlinie bereits bis Mai letzten Jahres hätte umgesetzt sein müssen, zeichnet sich eine zeitnahe Änderung des TMG somit weiterhin nicht ab. Nichtsdestotrotz hält der Bundesbeauftragte für den Datenschutz, Peter Schaar, die E-Privacy Richtlinie nach Medienberichten für unmittelbar in Deutschland anwendbar. Eine unmittelbare Anwendung von EU-Richtlinien in Mitgliedsländern, ohne die im Normalfall notwendige Umsetzung in nationales Recht, ist möglich, wenn die Umsetzungsfrist abgelaufen ist, die Richtlinie unbedingt und hinreichend bestimmt ist. Diese Vorraussetzungen sieht Schaar als gegeben an, und folgert daraus, dass die deutschen Datenschutzbehörden ihre Aufsichtsmaßnahmen direkt auf die E-Privacy Richtlinie stützen könnten.

EU:

Basierend auf den bereits skizzierten Einschätzungen ihres Vorsitzenden Jakob Kohnstamm hat auch die Artikel-29-Gruppe eigene Best Practice Empfehlungen für den datenschutzkonformen Einsatz von Cookies im Rahmen des Behavorial Targetings veröffentlicht.

UK:

Ende Mai 2012 ist eine einjährige Übergangsfrist abgelaufen, innerhalb derer das ICO (Information Commissioner’s Office) keine formalen Maßnahmen wegen Verstößen gegen die in den Data Protection Act aufgenommenen Bestimmungen der Cookie-Richtlinie ergreifen wollte. Von nun an drohen bei schweren Verstößen Strafen bis zu 500.000 £. Um solch drastische Sanktionen zu vermeiden, beantwortet das ICO die am häufigsten gestellten Fragen rund um die datenschutzkonforme Implementierung von Cookies in einem Video und stellt ausführliche Leitlinien zum Cookieeinstatz zur Verfügung. Auch die ICC (International Commerce Chamber) hält eigene Informationsmaterialien zu dem Thema bereit. Wie eine solche Umsetzung aussehen kann, zeigt beispielsweise die Website der BBC, welche sich für eine Leiste am oberen Bildrand entscheidet. Aboutcookies.org  wählt hingegen eine dauerhaft präsente Box am unteren Bildschirmrand.

Irland:

In Irland wurde die Cookie-Richtlinie durch S.I. No. 336 of 2011 umgesetzt. Der irische Data Protection Commissioner hat gegenüber der Website the Sociable in Bezug auf diese Umsetzung ausgeführt, dass keine gesonderte Einwilligung für den Einsatz von seitenfremden Analysewerkzeugen, wie z.B. Google Analytics, notwendig ist, solange der Website-Betreiber die Information bereitstellt, dass auch Cookies von Drittanbietern gesetzt werden.

Data Dealer: Spielerische Aufklärung zum Thema Onlinedatenschutz

Ein kleines, nicht kommerziell arbeitendes Team aus Österreich möchte auf ungewöhnliche Weise Verständnis für die wirtschaftliche Bedeutung von (privatem) Onlinedatenschutz wecken. Dazu entwickeln sie das Browserspiel Data Dealer, in welchem der Spieler sich zum mächtigten Datenhändler aufschwingen soll. Getreut dem Untertitel „Legal, illegal, scheißegal“ stehen dabei nicht ausschließlich gesetzeskonforme Methoden, die man sich als Datenschützer wünschen würde, zur Verfügung. Auch wenn die bereits erhätliche Demo durchaus auch als humoriges Spiel zu verstehen ist, verdeutlicht sie dennoch, wie aus personenbezogenen Daten Profit geschlagen wird. Das Spiel schafft es, ein grundlegendes Verständnis für den Wert der eigenen Daten zu vermitteln, ohne dabei allzu mahnend oder kulturpessimistisch zu wirken und könnte so auch eine Zielgruppe erreichen, für die Datenschutz bisher wenig relevant erscheint. Insofern ist das große mediale Echo, welches diesem kleinen Projekt zuteil wird, verständlich.

EU-Standardvertragsklauseln für die Microsoft Cloud

Nach einer Meldung von heise.de hat Microsoft angekündigt, dass künftig die EU-Standardvertragsklauseln auch für den Cloud-Dienst „CRM-Online“ verfügbar seien. Neben Office 365 ist dies der zweite Cloud-Dienst von Microsoft, für den die Vertragsklauseln aus der Feder der EU-Kommission herangezogen werden können. Unternehmen in Europa ist auf ihrer Grundlage gestattet, Daten in Länder ohne angemessenes Datenschutzniveau zu transferieren, wenn sich der Vertragspartner zur Einhaltung der Standardvertragsklauseln verpflichtet hat. Sie stellen nach einer Orientierungshilfe zum Cloud-Computing der Konferenz der Datenschutzbeauftragten von Bund Ländern vom Septemer 2011 die Mindestanforderungen für internationales Cloud-Computing dar, wenn die Anbieter keine Safe-Harbor-Zertifizierung vorweisen können.

Datendiebstahl bei Online-Dienstleister WHMCS

25. Mai 2012

Medienangaben zufolge ist es Hackern Anfang dieser Woche erfolgreich gelungen, in die Web-Server des Online-Dienstleisters WHMCS einzubrechen. Dabei sollen die Angreifer nicht nur den gesamten Serverinhalt kopiert und anschließend gelöscht haben, sondern auch die gesamte Kundendatenbank ausgelesen haben. Laut Angaben von WHMCS umfasst diese neben allen Bestellungen und Supportanfragen der letzten 17 Stunden vor dem Angriff auch über 500.000 E-Mail-Adressen und weitere personenbezogene Daten der Kunden. Die für den Angriff verantwortliche Hackergruppierung UGNazi soll unmittelbar nach dem Angriff die Benutzerdatenbank als MySQL-Dump online gestellt haben. Der Angriff sei damit begründet worden, dass den Betroffenen die mangelhafte Datensicherheit in eindeutiger Weise vor Augen geführt werden sollte.

Hierdurch wird wieder einmal mehr als deutlich, dass IT-Sicherheit und Datenschutz zwei Seiten der gleichen Medaille sind, die aufeinander abgestimmt dafür sorgen können, dass der Schaden solcher Angriffe auf ein Minimum reduziert werden kann.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: ,

Medien-Apps erfassen und übermitteln Unique Device ID an App-Anbieter und Dritte

Journalisten des NDR-Medienmagazins Zapp haben etwa 100 Apps von Massenkommunikationsanbietern, die sämtlich aus dem Apple App-Store heruntergeladen wurden, getestet. Ungefähr die Hälfte der getesteten Apps soll unbemerkt, also insbesondere ohne Kenntnis der Betroffenen, Nutzerdaten an die Anbieter übermitteln, einige zudem auch an andere Dritte (z.B. Facebook). Betroffen seien insbesondere Apps von öffentlich-rechtlichen Radios, Privatsendern und Verlagen. Als besonders kritisch sei die festgestellte Übermittlung der Unique Device Identification (UDID) anzusehen. Diese weltweit einmalige Seriennummer könne als eine Art digitaler Fingerprint des Mobiltelefons eingeordnet werden. Da Mobiltelefone regelmäßig nur von einer Person genutzt werden und somit über die UDID ein Nutzer wiedererkannt werden kann, sei die UDID als personenbezogenes Datum zu werten. Da die Übermittlung der UDID für die Funktionsweise der Apps jedoch nicht notwendig ist, sei diese als überaus problematisch einzustufen.

Die Ergebnisse dieses Tests offenbaren, dass sparsames Installieren und Nutzen von Apps, entsprechend dem Grundsatz der Datensparsamkeit, die Maßnahme der Wahl ist, um weitestgehende Kontrolle über die eigenen Daten zu behalten.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

SpyEye Trojaner filmt Nutzer deutscher Banking-Websites

23. Mai 2012

Nach Angaben eines Kaspersky Mitarbeiters befindet sich eine neue Variante des SpyEye Trojaners im Umlauf, die sich gezielt gegen Benutzer richtet, die Websites deutscher Banken besuchen. Ruft der Nutzer eines infizierten PCs eine der im Code des Trojaners hinterlegten Bankingseiten auf, startet die Schadsoftware ein Flashelement, welches die Webcam aktiviert. Ab diesem Zeitpunkt werden aufgezeichnete Video- und Audiodaten in Echtzeit übertragen. Die normalerweise übliche Abfrage, ob die Webcam verwendet werden darf, unterdrückt der Trojaner.

Nicht völlig geklärt ist bisher, welchem Zweck die Übertragung des Videos dient. Für die eigentliche Schädigung wird die Webcam jedenfalls nicht benötigt, da die betroffenen Banken keinerlei biometrische Authentifizierung, z.B. per Gesichtserkennung, anbieten. In seinem Beitrag mutmaßt der Autor, dass die Aufzeichnung dazu diene, Telefongespräche mit der Bank aufzuzeichnen, wenn der Nutzer bei einer unerwarteten Abfrage eines Sicherheitscodes Verdacht schöpfe und daraufhin seine Bank kontaktiere. Die bei diesem Gespräch aufgezeichneten telefonischen Sicherheitsabfragen könne der Angreifer dazu nutzen, später selber bei der Bank anzurufen und so das Konto zu übernehmen. Für diese Einschätzung stützt sich der Kaspersky Mitarbeiter auch Erfahrungen eines Kollegen, der sich mit einer ähnlichen Schadsoftware beschäftigt hat, die Nutzer ecuadorianischer Banken ebenfalls per Video ausspionierte.

Nach Microsofts 12. Security Intelligence Report (PDF) ist SpyEye, welcher im Report als Win32/EyeStye bezeichnet wird, insbesondere in Deutschland stark verbreitet. Dem Report lässt sich entnehmen (Seite 66), dass mehr als die Hälfte aller durch Microsoft festgestellten Infektionen in Deutschland erfolgte.

Kategorien: Online-Datenschutz
Schlagwörter:

Facebook: Neue Richtlinie für den Umgang mit Nutzerdaten vorgestellt

22. Mai 2012

Das weltweit größte Social Network Facebook hat seine neue Richtlinie für den Umgang mit Nutzerdaten vorgestellt. Grund für die Änderungen waren die Empfehlungen der irischen Datenschutzbehörde, welche nach eingehender Prüfung Ende des vergangenen Jahres diverse Nachbesserungen empfohlen hatte. Die irische Datenschutzbehörde ist nach dem Verständnis des US-Amerikanischen Unternehmens als einzige Datenschutzbehörde in Europa für die Belange Facebooks zuständig, da dort das europäische Headquarter beheimatet ist.

In der Erklärung des Unternehmens zu den Neuerungen heißt es: „Wir werden Daten so lange einbehalten, wie dies erforderlich ist, um den Nutzern und anderen Dienstleistungen zur Verfügung zu stellen. Diese umfassendere Verpflichtung gilt für alle Daten, die wir über Dich sammeln und erhalten, einschließlich Informationen von Werbetreibenden“. Facebook kann somit Daten die das Unternehmen von Werbepartnern oder Spiele-Anbietern bekommt in manchen Fällen länger als die bisher gestatteten 180 Tage aufbewahren.

Zudem wird in der neuen Richtlinie ausführlich dargelegt, welche Informationen Facebook über seine Nutzer durch die Verwendung von, vor allem von Datenschützern vehement kritisierten, Cookies sammelt.

Kategorien: Social Media
Schlagwörter: ,

ULD: „Facebook nervt – Widerspruch ist weiterhin und erneut nötig“

16. Mai 2012

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat die am 11.05.2012 von Facebook veröffentlichten Vorschläge für die Änderung seiner Datenverwendungsregeln überprüft und teilte mit, dass mit Implementierung der Datenverwendungsrichtlinien erneut keine wesentlichen Verbesserungen, sondern aus Datenschutzsicht sogar weitere Verschlechterungen einhergehen würden, wie z. B. Ermächtigungen für eine noch längere Speicherung und Nutzung der Daten. Die vom irischen Datenschutzbeauftragten geäußerte Kritik werde zwar aufgegriffen, aber die dort geforderten tatsächlichen Änderungen nicht umgesetzt.

„Facebook nervt, indem es die Öffentlichkeit mit immer wieder neuen Scheinma- növern hinhält. Facebook muss nicht einfach sein Kleingedrucktes ändern, sondern seine Geschäftspolitik und seine Datenverarbeitung. Hierüber muss dann Transparenz hergestellt werden.“, kommentierte der Landesbeauftragte für den Datenschutz Schleswig-Holstein Weichert. Er könne Facebook-Nutzern nur ein weiteres Mal empfehlen, gegen die geplanten Datenverwendungsrichtlinien Einspruch einzulegen.

 

Tausende Zugangsdaten von Twitter-Nutzern im Internet veröffentlicht

11. Mai 2012

Medienberichten zufolge sind auf der Dokumentenveröffentlichungsplattform Pastebin 55000 Namen und Zugangsdaten von Twitter-Nutzern publik gemacht worden. Unklar sei, wer die Daten dort eingestellt hat. Nach Angaben von Twitter seien eine Vielzahl der veröffentlichten Daten falsch, doppelt oder seien mittlerweile gesperrten Spam-Zugängen oder möglicherweise auch Fake-Accounts zuzuordnen. Twitter selbst werde die Passwörter automatisch zurücksetzen und die Betroffenen via E-Mail informieren.

Google Analytics: Was Sie als Website-Betreiber beachten müssen!

9. Mai 2012

Obwohl es seit geraumer Zeit eine Möglichkeit gibt, Google Analytics datenschutzkonform zu betreiben, machen davon nur sehr wenige Website-Betreiber Gebrauch. Prüfungen des Bayerischen Landesamtes für Datenschutzaufsicht ergaben beispielsweise, dass lediglich 3 % der bayerischen Website-Betreiber Google Analytics in datenschutzkonformer Weise einsetzen. Beanstandungen durch die zuständige Datenschutzaufsichtsbehörde, Kundenunzufriedenheit und Komplikationen im Alltagsgeschäft sind bei rechtswidrigem Einsatz vorprogrammiert.

Erforderliche Schritte zum rechtskonformen Einsatz von Google Analytics

Vier Schritte sind erforderlich, um Google Analytics rechtskonform einsetzen zu können:

  • Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google
  • Erweiterung um die Funktion „anonymize IP“
  • Einräumung eines Widerspruchsrechtes der User (Browser Add-On)
  • Anpassung Ihrer Datenschutzerklärung: Information über Einsatz von Google Analytics und Widerspruchsrecht

Was tun bei derzeit rechtswidrigem Einsatz von Google Analytics?

Sollten Sie bis dato die oben genannten Maßnahmen nicht umgesetzt haben, ist der Einsatz von Google Analytics rechtswidrig. Ihre Website sollte daher dringend den derzeitigen rechtlichen Regelungen entsprechend angepasst werden und Sie sollten sicherstellen, dass mittels Google Analytics gewonnene Altdaten  gelöscht werden. Dies erfordert eine Schließung des bestehenden Google Analytics Profils und die Neueröffnung eines neuen Profils.

Benötigen Sie Unterstützung bei der datenschutzkonformen Ausgestaltung des Einsatzes von Goolge Analytics oder Unterstützung bei der Kommunikation mit Ihrer Aufsichtsbehörde?

Treten Sie mit uns in Kontakt!

1 60 61 62 63 64 68