Kategorie: Online-Datenschutz

Datenschützer äußern Bedenken an Two-Strike-Warnhinweismodell

21. Februar 2012

Ein auf Betreiben des Bundeswirtschaftsministeriums (BMWi) durch die Forschungsstelle für Medien an der FH Köln erstellte vergleichende Studie plädiert für die Einführung eines zweistufigen, vorgerichtlichen Regulierungsmodells (“Two-Strike”) zur Bekämpfung von Urheberrechtsverletzungen im Rahmen von P2P-Filesharing.

Das mehrstufige Modell sieht vor, dass Rechteinhaber zunächst nach der Kenntnisnahme von Urheberrechtsverletzungen den zuständigen Access-Provider unter Nennung der verletzenden IP-Adresse über den Verstoß informieren. Der Access-Provider, der als Vertragspartner der verletzenden IP-Adresse diese einem Klarnamen zuordnen kann, versendet einen aufklärenden Ersthinweis an den Anschlussinhaber und informiert diesen darüber, dass sein Name und der entsprechende Verstoßvorwurf in einer internen Liste abgelegt werden. Ab einer gewissen Anzahl von Verstößen durch eine IP-Adresse soll der Rechteinhaber dann im Wege eines gerichtlichen Auskunftsverlangens dessen Namen und Anschrift herausverlangen können.

Datenschutzrechtlichen Bedenken an dem Modell versucht die Studie durch eine situationsabhängige “konkrete Ausgestaltung der Maßnahme” gerecht zu werden. Jedenfalls sei am Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung (BVerfG, Urt. v. 2.03.2010, Az. 1 BvR 256/08) ersichtlich, dass bei entsprechender gesetzlicher Ermächtigung eine sechsmonatige, anlasslose Speicherung von Telekommunikationsverkehrsdaten “mit Art. 10 GG nicht schlechthin unvereinbar” sei.

Bereits kurz nach der Veröffentlichung der Studie wurde gegen diese jedoch Kritik aus Reihen der Datenschützer und der betroffenen Wirtschaft laut. Datenschützer kritisieren, dass es den Anbietern von Internetdiensten bisher gerade grundsätzlich nicht gestattet ist, Einsicht in die Kommunikationsinhalte ihrer Kunden zu nehmen. Lediglich der hier nicht vorliegende Ausnahmetatbestand des § 88 Abs. 3 TKG normiere eine Ausnahme zum Schutz technischer Systeme. Das betroffene Telekommunikationsgeheimnis sei sonst nur durch gesetzliche Vorschriften, etwa § 101 Abs. 9 UrhG und dann mit richterlichem Beschluss, zu beschränken. Würde die Überwachung aller Internetnutzer zur Feststellung von Urheberrechtsverletzungen hingegen wie durch das vorgeschlagene Modell generalisiert, wäre dies verfassungswidrig.

Zudem wird in der Verknüpfung von Verstößen und Namen in den entsprechend durch die Access-Provider geführten Listen ein nicht unerhebliches Datenschutz-Risiko für die Nutzer erkannt. Dieses sei, gerade in Hinsicht auf die nicht zu vernachlässigende Fehlerhaftigkeit des geplanten Vorgehens bei ähnlichen Modellen im europäischen Ausland, nicht als verhältnismäßig anzusehen.

Dem Leitsatz folgend “Datensparsamkeit ist der beste Datenschutz” sehen Kritiker in dem vorgestellten Modell eine unzulässige Gefährdung des geltenden Rechts, insbesondere der verfassungsrechtlich gewährleisteten informationellen Selbstbestimmung. (jr)

Google führt ab März Daten aller Dienste zu einem einheitlichen Profil zusammen

31. Januar 2012

Google hat im eigenen Blog angekündigt, in Zukunft statt einer Datenschutzerklärungen für jeden Dienst, nach Möglichkeit nur noch eine Datenschutzerklärung zu verwenden, die für alle Google Dienste Gültigkeit besitzt.

Was für den Nutzer, der sich zukünftig nicht mehr mit über 70 verschiedenen Datenschutzerklärungen auseinandersetzen muss, zunächst wie eine Vereinfachung klingt, hat jedoch auch eine Kehrseite: Statt die Daten der einzelnen Dienste wie bisher getrennt zu halten, wird Google alle personenebezogenen Daten zu einem einheitlichen Profil zusammenfassen.

Laut Google bringt dies für den Nutzer nur Vorteile mit sich: Bei einer Suche nach einem Münchener Restaurant könne man durch die Verknüpfung sämtlicher Daten direkt auch die passenden Google+ Posts oder entsprechende Photos aus geteilten oder eigenen Alben angezeigt bekommen. Ein weiteres Beispiel für die Nützlichkeit des umfassenden Profils seien intelligentere Vorschläge bei der Suche. So wisse diese in Zukunft auf Grund der gesammelten Daten beispielsweise schon, ob man das Obst oder die Elektronikmarke meint, wenn man “Apple” eingibt. Das vielleicht weitreichendste Szenario, das Google für das neue Gesamtprofil vorsieht, ist die Möglichkeit, dem Nutzer in Abhängigkeit von dessen Position automatisch eine Erinnerung schicken möchte, wenn unter Berücksichtigung der aktuellen Verkehrslage die Gefahr besteht, zu spät zu einem im Google-Kalender eingetragenen Termin zu kommen. Erklärtes Ziel von Google ist es, den Nutzern, die sich bereits mit allerhand Dingen rumschlagen müssten, das Leben so gut es geht zu erleichtern.

Um solch maßgeschneiderte Dienste zu bieten, möchte Google nicht einmal mehr Daten erheben, als dies bisher schon der Fall war. Nur werden jetzt die sozialen Kontakte von Google+, die eingegebenen Suchbegriffe, die aufgerufenen Webseiten auf denen personalisierte Werbung mit Hilfe des Google Werbenetzwerkes eingeblendet wird und die Bewegungsdaten, welche bei Nutzung von standortbezogenen Diensten (z.B Google Maps oder lokalen Suche) anfallen etc., zu einem einheitlichen Profil verknüpft. Auf Grund der Vielzahl der Webseiten, die Googles Werbenetzwerk verwenden, könnte die Verfolgung des Nutzers noch weitreichendere Dimensionen annehmen, als der datenschutzrechtlich berüchtigte Facebook-Button.

In welchem Umfang Google selber glaubt, über seine Nutzer Bescheid zu wissen, lässt sich folgender Passage aus den neuen Datenschutzbestimmungen entnehmen: “Wenn wir Ihnen auf Sie zugeschnittene Werbung anzeigen, werden wir Cookies oder eine anonyme Kennung nicht mit sensiblen Kategorien, beispielsweise basierend auf Rasse, Religion, sexuelle Orientierung oder Gesundheit, verknüpfen.” Diese Aussage lässt erkennen, dass Google durchaus davon ausgeht, auch in Bezug auf die sexuelle Orientierung und die Gesundheit über den Nutzer informiert zu sein, nur dass diese Daten eben nicht verknüpft werden.

Möglicherweise erkennt mancher Nutzer erst durch solch eine weitreichende Verknüpfung, dass die vielen praktischen Internet-Dienste nicht kostenlos sind: Es ist zwar kein Geld dafür zu entrichten, aber der Nutzer muss mit seinen persönlichen Daten und deren werbetechnischer Ausbeutung zahlen. (se)

Facebook führt Timeline ein – ob man will oder nicht

Die neue Funktion „Timeline“ (deutsch „Chronik“) ist eine gravierende Umstellung für alle Nutzer des Internetportals Facebook. Denn sie gräbt alles aus, was ein Nutzer jemals im social Network sichtbar gemacht hat. Zwar lassen sich alle Einträge im Nachhinein verbergen oder löschen, aber das Internet vergisst nie. Die Timeline gibt einen direkten Zugriff auf alle Statusnachrichten, Fotos, Pinnwandeinträge, und neu: eine Karte, auf der alle besuchten Orte und derzeitigen Standorte eingezeichnet sind. Zudem kann der jeweilige Nutzer seine Seite noch individueller gestalten, da die Timeline eine weitere Neuigkeit mit sich bringt: das sogenannte „Cover“ ist ein großformatiges Foto am oberen Rand des Profils, dass das Profil noch persönlicher gestalten soll. Laut Marc Zuckerberg hat es den Vorteil „alle wichtigen Geschichten deines Lebens auf einer einzigen Seite zu erzählen“.

Doch fraglich ist, ob man damit nicht zu viel von sich Preis gibt. Alles in allem ist die Timeline ein öffentlich einsehbarer Lebenslauf mit Details, die man lieber verschweigen würde, oder sogar sollte, denn viele User verwechseln ihr Profil mit einem Tagebuch.

Datenschutzrechtlich wirft das aktuelle Vorgehen diverse Bedenken auf:

  • Zunächst wird das Transparenzgebot nicht gewahrt; der Nutzer wird nicht (genügend) über die Verwendung seiner personenbezogenen Daten aufgeklärt.
  • Auch hat der Nutzer beim Hochladen von Informationen keine Wahl sich zu schützen, da alles sofort publiziert wird. Es gibt keinen regelmäßigen Opt-in, der sich auf diese Frage bezieht. Der Nutzer kann also im extremsten Falle erst durch nachträgliche Löschung von Daten aus der Timeline seine Privatsphäre schützen.
  • Auch ist fraglich, was mit den preisgegebenen personenbezogenen Daten passiert. Denn was in Facebook veröffentlicht wird, wird in den USA gehostet. Dies ist datenschutzrechtlich angesichts der unterschiedlichen Datenschutz-Niveaus rechtlich bedenklich, wenngleich immer wieder eingewendet wird, dass Facebook ja Mitglied des sog. Safe Harbor Abkommens ist. Letzteres erlaubt den Datentransfer auch nicht per se sondern nur unter bestimmten Voraussetzungen. Vor diesem Hintergrund beschloss der Düsseldorfer Kreis am 8.Dezember 2011 „auch außereuropäische Anbieter sozialer Netzwerke, müssen das nationale Datenschutzrecht beachten, wenn sie ihr Angebot an deutsche Nutzerinnen und Nutzer richten“. Dies wird gerade jetzt zu einem so wichtigen Thema, da die Timeline für Mitglieder verpflichtend wird, d.h. diese wird bald für sämtliche Nutzer eingeschaltet, egal ob er dies will, oder nicht.

Den Usern, denen die Timeline zuwider ist, bleibt nichts anderes übrig, als sich bei Facebook abzumelden. Und das ist bekanntlich nicht leicht, jedenfalls wenn man seine Daten nach der Kündigung des Accounts auch wirklich gelöscht wissen will. (evn)

IHK erhebt Klage gegen Unterlassungsverfügung des ULD

26. Januar 2012

Nach Meldungen der dpa geht der Streit um Facebook-Fanseiten in die nächste Runde: Das Bildungswerk der Industrie-und Handelskammer Schleswig-Holstein hat nach Angaben der IHK beim VG Schleswig Klage erhoben. Ziel sei, die Unterlassungsverfügung des Landeszentrums für Datenschutz (ULD) zu beseitigen. Eine gerichtliche Klärung sei erforderlich, um die bereits entstandenen Wettbewerbsverzerrungen für die Wirtschaft auszuräumen, begründete die IHK den Schritt.

Vorausgegangen war die Forderung des ULD, alle Betreiber von Webseiten in Schleswig-Holstein müssten den „Gefällt mir“-Button von ihren Webseiten entfernen. Nach Auffassung des ULD verstoßen derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH). Schuld sei die Weitergabe von Verkehrs- und Inhaltsdaten in die USA, sobald eine Website mit dem „Gefällt mir“-Button von Facebook aufgerufen werde. Außerdem würde für den Seitenbetreiber eine Reichweitenanalyse erstellt.

Das ULD begründet den Verstoß gegen deutsches und europäisches Datenschutzrecht damit, dass Nutzer nicht oder nicht ausreichend über die Vorgänge informiert würden. Was Facebook als Nutzungsbedingungen oder Datenschutzrichtlinien vorweise, erfülle nicht annähernd die Anforderungen an eine wirksame Einwilligung in die Datensammlung. (ssc)

Apple, RIM und Nokia sollen indischem Geheimdienst Zugriff auf E-Mails der Kunden erlauben

12. Januar 2012

Die Hackergruppierung The Lords of Dharmaraja hat einige Dokumente veröffentlicht, die Medienberichten zufolgen belegen, dass  Apple, Nokia und Research in Motion (RIM)  mit einem indischen Geheimdienst Verträge eingegangen sind, die die Überwachung von Kunden-E-Mails erlauben. Dies soll Bedingung für den Zugang zum indischen Markt gewesen sein. Einem der Schreiben ist zu entnehmen, dass neben den namentlich genannten Firmen alle wichtigen Gerätehersteller eine solche Vereinbarung abgeschlossen hätten. Weiterhin soll aus einem anderen Dokument hervorgehen, dass über diese Schnittstelle auch eine E-Mail der U.S.-China Economic and Security Review Commission (USCC), die sich mit Wirtschafts- und Sicherheitsfragen in den Beziehungen zwischen USA und China beschäftigt, mitgelesen wurde. USCC Verantwortliche überprüfen laut Reuters die Sachlage und sehen sich momentan nicht zu einer weiteren Stellungnahme in der Lage.

Ebendiesem Reuters Artikel zufolge hat Apple Sprecherin Trudy Muller dementiert, dass Apple eine Hintertür für die Indische Regierung in seine Produkte integriert habe. Ein indischer RIM-Sprecher erklärte gegenüber Reuters, dass man Gerüchte nicht kommentiere und Nokia lehnte jeglichen Kommentar ab. RIM musste bereits in der Vergangenheit sowohl Indien, als auch Saudi Arabien und den Vereinigten Arabischen Emiraten Zugang zu bestimmten verschlüsselten Teilen seines BlackBerry Systems gewähren, um nicht von diesen Märkten ausgeschlossen zu werden.

Für die Plausibilität der Berichte spricht, dass die Hacker von The Lords of Dharmaraja kürzlich zweifelsfrei einen Quellcode des Sicherheitsspezialisten Symantec entwenden konnten. Auch bezüglich dieses Quellcodes deuten einige Anzeichen darauf hin, dass dieser von indischen Regierungsservern stammen könnte. (se)

Berliner Datenschutzbeauftragter möchte, dass Facebook-Plugins auf Behördenseiten unterbleiben

4. Januar 2012

Nach seinem schleswig-holsteinischen Kollegen Weichert fordert nun auch der Berliner Datenschutzbeauftragte Alexander Dix, dass Behörden keine Social-Plugins von Facebook einsetzen sollten. In einem Interview sagte Dix der Berliner Zeitung , dass es nicht sein könne, dass eine Berliner Behörde [durch die Einbindung von Social-Plugins – Anm. der Redaktion] klar gegen deutsches und europäisches Datenschutzrecht verstoße, nur um die eigene Popularität zu steigern.

Um den Behörden dennoch eine zeitgemäße Präsentation zu ermöglichen, hat sich Dix an Innensenator Frank Henkel gewendet, welcher in Berlin auch für die IT zuständig ist, und diesem dringend empfohlen, die Suche nach einer datenschutzgerechten Lösung auf die Agenda zu nehmen.

Auch wenn er grundlegend die gleichen Forderungen wie sein Amtskollege aus Schleswig-Holstein erhebt, so unterscheidet sich doch die Wahl der möglichen Mittel. Während Weichert die sogenannte 2-Klick-Lösung als nicht ausreichend erachtet und zu dem Schluss kommt, dass eine datenschutzkonforme Einbindung von Social-Plugins eigentlich momentan unmöglich sei, verweist Dix in dem Interview ausdrücklich auf die 2-Klick-Lösung des Heise-Verlags und bezeichnet diese als einfache, praktikabele Lösung. Insofern scheint zwischen Deutschlands Datenschützern Uneinigkeit in der Frage zu bestehen, wie sehr sich mündige Bürger durch Aktivierung von Social-Plugins in punkto Datenschutz selbstgefährden dürfen. (se)

Kreditkartendaten israelischer Internetnutzer veröffentlicht

Medienberichten zufolge wurden die Kreditkartendaten einiger tausend israelischer Internetznutzer veröffentlicht. Für die Veröffentlichung verantwortlich zeichnet sich, nach eigener Aussage, der Hacker 0xOmar von der group-xp, einer saudi-arabischen Splittergruppe von Anonymous.

Die Veröffentlichung betrifft wohl bis zu 400.000 Datensätze von denen nach Angaben von Kreditkartenunternehmen jedoch nur rund 14.000 tatsächlich gültig sind. Die Kreditkartenunternehmen gaben weiterhin an, die betroffenen Karten zu sperren und in Folge des Datenlecks entstandene Schäden automatisch zu ersetzen. Quelle eines Großteils der Daten soll die israelische Sportwebsite One.co.il sein. (se)

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Unbefugter Zugriff auf die Datenbank des Onlinerollenspiels Rift

Nachdem bereits zuvor einige Größen der Videospielbranche Angriffe eingestehen mussten, hat nun auch der Betreiber des Onlinerollenspiels Rift, Trion Worlds Inc., bekannt gegeben, dass sich Unbekannte Zugriff auf die Nutzerdatenbank verschafft haben. Folgende Daten sind laut Trion Worlds in der Datenbank gespeichert:

  • Benutzername
  • Verschlüsseltes Passwort
  • Geburtsdatum
  • E-Mail-Adresse
  • Rechnungsanschrift
  • Die ersten und letzten vier Ziffern der verwendeten Kreditkarten und deren Ablaufdatum.

Es gäbe jedoch keinen Grund zur Annahme, dass auf die vollständigen Kreditkartendaten zugegriffen wurde.

Trio Worlds weist darauf hin, dass die betroffenen Nutzer beim nächsten Login ihr Passwort ändern müssen. Ferner werden die Nutzer darauf aufmerksam gemacht, dass die Accountsicherheit durch weitere Maßnahmen, wie eine Smartphone App, die nur kurze Zeit gültige Passwörter generiert, gesteigert werden könne.

Als Entschädigung für die Unannehmlichkeiten werden den Nutzern 3 Tage Spielzeit für Rift gutgeschrieben. (se)

Kategorien: Online-Datenschutz
Schlagwörter: ,

Düsseldorfer Kreis äußert sich zum Datenschutz in sozialen Netzwerken

14. Dezember 2011

Der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) hat am 08.12.2011 einen Beschluss zum Datenschutz in sozialen Netzwerken gefasst. Folgende Kernpunkte wurden dabei herausgearbeitet:

  • Das Telemediengesetz erfordert zumindest die pseudonyme Nutzungsmöglichkeit von sozialen Netzwerken. Nutzungsdaten dürfen nicht zur personenbeziehbaren Profilbildung verwendet werden, solange keine Einwilligung vorliegt. Nach der Beendigung der Mitgliedschaft sind jegliche Daten zu löschen.
  • Informationen darüber, welche Daten erhoben werden, und für welche Zwecke diese verarbeitet werden, müssen leicht zugänglich und verständlich sein.
  • Sämtliche Voreinstellungen müssen auf dem Einwilligungsprinzip beruhen, wenn nicht die Mitgliedschaft zwingend die Angabe solcher Daten voraussetzt. Insbesondere ist es nicht rechtmäßig zunächst mit der Datenverarbeitung zu beginnen und nur eine Widerspruchsmöglichkeit vorzusehen.
  • Ohne ausdrückliche und bestätigte Einwilligung des Abgebildeten ist es unzulässig, anhand von Fotos biometrische Gesichtserkennungsmerkmale zu erheben, zu speichern oder zu verwenden.
  • Die Betreiber der Netzwerke haben die sensiblen Daten durch geeignete technisch-organisatorische Maßnahmen zu schützen und einen Nachweis über diese Maßnahmen zu erbringen.
  • Um die besonders sensiblen Daten von Minderjährigen angemesen zu schützen sind datenschutzfreundliche Standardeinstellungen zu wählen. Weiterhin sind die Informationen über die Datenverarbeitung so zu formulieren, dass diese auch für Minderjährige verständlich sind.
  • Betroffenen muss eine einfache Möglichkeit gegeben werden, ihre Auskunfts-, Berichtigungs-, und Löschungsansprüche geltend zu machen. Dafür müssen zumindest die Kontaktdaten leicht auffindbar sein, damit Betroffene einen Ansprechpartner finden.
  • Es ist unzulässig Social-Plugins (z.B. den Like-Button von Facebook) auf Websites einzubinden, wenn dadurch eine Datenübertragung an den Anbieter des sozialen Netzwerkes erfolgt und die Nutzer nicht bereits vorher bezüglich der Datenübertragung informiert wurden und ihnen eine Möglichkeit zur Unterbindung der Datenübertragung eingeräumt wurde. Nur wenn die Nutzer verlässliche Informationen über die übermittelten Daten und deren Zweck erhalten, können sie rechtswirksam ihre Einwilligung erklären. In der Regel werden Anbieter deutscher Websites nicht über die nötigen Kenntnisse bezüglich der Datenverarbeitungsvorgänge verfügen, um  die Nutzer entsprechend zu informieren. Daher begehen die Anbieter der Websites selbst Rechtsverstöße, wenn sie Social-Plugins einbinden, die sie in Bezug auf die Datenverarbeitung nicht überblicken können.
  • Auch Betreiber, die außerhalb des Europäischen Wirtschaftsraumes (EWR) ansässig sind, müssen sich deutschem Datenschutzrecht unterwerfen, wenn sie ihre Datenerhebung durch einen Rückgriff auf Rechner von Nutzern in Deutschland verwirklichen (§ 1 Abs. 5 Satz 2 BDSG). Daher sei auch ein Inlandsvertreter als Ansprechperson für die Datenaufsicht zu bestellen (§ 1 Abs. 5 Satz 3 BDSG). Eine Anwendung des BDSG kann nich dadurch umgangen werden, dass eine rechtlich selbständige Niederlassung in einem anderen Staat des EWR gegründet wird. (Damit stellt sich der Düsseldorfer Kreis gegen Facebook, die bisher auf dem Standpunkt beharren, dass nur der irische Datenschutz auf Facebook Anwendung fände – Anmerkung der Redaktion)

(se)

Verbraucherschutzministerin Aigner legt Beschwerde gegen Facebooks Gesichtserkennung ein

Nachdem der Hamburgische Beauftragte für Datenschutz bereits rechtliche Schritte gegen Facebook angekündigt hat, ist nun auch Bundesverbraucherschutzministerin Aigner aktiv geworden. Sie hat sich nach Meldung der dpa mit einem Brief an die US-Handelskommission FTC gewandt, in welchem sie moniert, dass Facebook das Safe-Harbor-Abkommen verletze.

Nach DPA-Angaben wirft Aigner Facebook insbesondere vor, in Bezug auf die Gesichtserkennung vermutlich die weltweit größte Datenbank mit biometrischen Merkmalen einzelner Personen zu erstellen, ohne über deren biometrische Erfassung klar und verständlich zu informieren

Wenig später erklärte sich Facebook gegenüber der FTC zu strengeren Datenschutzauflaugen in den USA bereit, nachdem zuvor mehrfach gegen datenschutzrechtliche Selbstverpflichtungen verstoßen worden war. Insbesondere verpflichtete sich Facebook nun dazu, neue Funktionen und Einstellungen nicht mehr automatisch freizuschalten, ohne die Einwilligung des Nutzers einzuholen. Diese Praxis hatte in der Vergangenheit vielfach für Kritik gesorgt, so auch bei der Einführung der Gesichtserkennung.

Eben diese von Aigner expliziert kritisierte Gesichtserkennung findet jedoch keinen expliziten Niederschlag in der neuen Vereinbarung mit der FTC (se).

 

1 68 69 70 71 72 75