Kategorie: Online-Datenschutz
17. Februar 2013
Der us-amerikanische Rüstungskonzern Raytheon, eigentlich spezialisiert auf die Entwicklung und Herstellung von Marschflugkörpern, Torpedos und Radarsystemen, lässt mit einer Softwareentwicklung aufhorchen, die jeden ambitionierten Stalker begeistern dürfte. Die Anwendung mit dem Namen Riot (eine Abkürzung für Rapid Information Overlay Technology) recherchiert und analysiert Tagesabläufe, soziale Kontakte und Beziehungen von Zielpersonen anhand von Daten aus sozialen Netzwerken wie wie Facebook, Twitter und Foursquare. Dazu liest das Programm zum Beispiel Ortungsdaten aus den Profilen der Personen und, wenn solche nicht durch den Nutzer explizit veröffentlicht worden sind, Metadaten aus veröffentlichten Fotos. Dazu werden aus den Kontakten aufwendige Netzwerke rekonstruiert, die Beziehungen offenlegen.
Aufgefallen war die Präsentation der Software nach einem Bericht des englischen “Guardian”. Dieser bezieht sich auf ein Werbevideo von Raytheon in welchem ein Mitarbeiter die Vorzüge des Programms unter anderem wie folgt anpreist: “Wenn Sie Nick treffen wollen oder Zugriff auf sein Laptop brauchen, wäre Montagmorgen 6 Uhr im Fitnessstudio die beste Zeit dafür.”
Das Programm wid derzeit allerdings noch nicht verkauft. Nach einem Bericht des Virtuellen Datenschutzbüros besteht aber zum Beispiel Interesse an einem solchen Programm von Seiten der Schufa. Diese erhofft sich, durch die automatisierte Auswertung von Netzwerk-Tätigkeiten durch Personen, Rückschlüsse auf deren Kreditwürdigkeit ziehen zu können.
15. Februar 2013
Gegen den Betreiber des Bewertungsportals www.Klinikbewertungen.de wurde im Jahre 2011 Strafanzeige wegen übler Nachrede gestellt. Antragsteller waren Mitarbeiter eines Krankenhauses, die sich durch einen Online-Beitrag beeinträchtigt gesehen haben und von dem Betreiber des Internetforums die Löschung des Beitrags als auch die Herausgabe der Anmeldedaten des Verfassers des Beitrages verlangten. Eine Löschung des Beitrags erfolgte durch einen Onlineredakteur, verweigert wurde jedoch die Herausgabe der Anmeldedaten.
Folge war, dass das Amtsgericht Duisburg ein Ordnungsgeld in Höhe von EUR 50,00 gegen den Onlineredakteur verhing. Gegen diese Entscheidung legte der Onlineredakteur Beschwerde und anschließend Verfassungsbeschwerde ein. Eine Entscheidung über die Verfassungsbeschwerde ist bisher nicht erfolgt.
Der Onlineredakteur ist der Ansicht, dass ihm ein Zeugnisverweigerungsrecht zustehe, das auch für die Postings in Bewertungsportalen gelte. Anderer Ansicht war der zuständige Amtsrichter in Duisburg, der eine fünftägige Beugehaft gegen den Onlineredakteur verhing. Abzuwenden sei, so der Duisburger Amtsrichter, die Beugehaft nur, wenn er die Nutzungsdaten der Forenteilnehmer übermittle.
Aus juristischer Sicht ist der Fall nicht geklärt. Zum einen erscheint es fragwürdig, dass gegen den angestellten Onlineredakteur vorgegangen wird, da der Betreiber einer Website für die Inhalte verantwortlich ist.
Zum anderen besteht zwar nach § 14 TMG die Verpflichtung für Online-Diensteanbieter, dass Bestandsdaten (Name und Adresse der Forenteilnehmer) zum Zwecke der Strafverfolgung herausgegeben werden müssen, dies gilt aber nach bisherigen Grundsätzen nicht für Journalisten. Anderenfalls ist die Pressefreiheit und die Informationsbeschaffungsmöglichkeiten zu stark eingeschränkt. Um dies zu vermeiden, können Journalisten sich auf ihr gesetzliches Zeugnisverweigerungsrecht berufen. Strittig und bisher richterlich nicht entschieden ist, ob das Zeugnisverweigerungsrecht auch für Postings von Dritten in einem Internetforum gilt.
Gegen die verhängte Beugehaft hat der Onlineredakteur von seinem Recht auf Beschwer Gebrauch gemacht und den Amtsrichter in Duisburg bei der Generalstaatsanwaltschaft wegen Rechtsbeugung angezeigt.
12. Februar 2013
Medienberichten zufolge soll der 56-jährige Wissenschaftler der Uni Duisburg-Essen Prof. Dr. Michael Schreckenberg dieses Jahr folgendes Phänomen erforschen: Warum sind die Gruppen am Anfang des Kölner Rosenmontagszugs nach 3,5 Stunden, die am Ende nach nur 2,5 Stunden, also einer Stunde weniger, am Ziel? Daher soll der Rhythmus des “Zochs” unter die Lupe genommen werden, unter anderem durch Einsatz von 20 GPS-Messgeräte bei Fußgruppen, Reitern und Festwagen, um so die Bewegungen tracken zu können. Nach ein, zwei Wochen sollen die GPS-Daten ausgewertet worden sein, um Bewegungsmodelle erstellen zu können.
8. Februar 2013
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat nach eigenen Angaben die im vergangenen Jahr gegen Facebook Inc. erlassene Anordnung wegen der datenschutzrechtlich unzulässigen Ausgestaltung der Gesichtserkennung aufgehoben. Da Facebook Inc. plausibel dargelegt habe, diese Funktion europaweit abgeschaltet zu haben und zudem die bisher erfassten biometrischen Daten gelöscht wurden, sei die Aufhebung nebst Einstellung des diesbezüglichen Verwaltungsverfahrens erfolgt.
„Facebook hat auf unseren Druck reagiert und die rechtswidrige Erhebung personenbezogener Daten eingestellt sowie die zur Dokumentation erforderlichen Auskünfte erteilt. Außerdem wurde zugesagt, dass Facebook zukünftig die datenschutzrechtlichen Vorgaben erfüllen wird. Das Unternehmen weiß, welche unserer Forderungen nicht diskutierbar sind. Hierzu gehört insbesondere eine bewusste und informierte Einwilligung des Nutzers vor jeder biometrischen Erfassung“, so der HmbBfDI Caspar.
Nach Angaben des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) stellen derzeit die sogenannten Drive-by-Downloads von Schadsoftware die größte Bedrohung für Internetnutzer dar. Dabei handele es sich um Schadprogramme, die sich der Internetnutzer bei dem Besuch einer manipulierten Website unbewusst lädt. In der Regel funktioniere dies durch das Ausnutzen von Sicherheitslücken von Browsern oder Zusatzprogrammen (Plugins). Drive-by-Downloads seien mittlerweile der wichtigste Verbreitungsweg für Computerviren. Internetnutzer könnten sich schützen, indem immer die neuesten Versionen der Browser und der genutzten Plugins (z.B. Flash, Java oder Adobe Reader) verwenden.
7. Februar 2013
Auch wenn die Tendenz der letzten Jahre eine Sensibilisierung hinsichtlich des Themas Datenschutz in der Gesellschaft erkennen lässt, zeigen sich beim Thema “Passwortsicherheit” weiterhin erkennbare Mängel. Zu diesem Ergebnis kommt jedenfalls eine Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Diese ergab, dass etwa über die Hälfte der Internetnutzer ein einziges Passwort im Internet mehrfach bis ausschließlich verwenden. Dies verwundert angesichts der stetig wachsenden Notwendigkeit, sich auf diversen Portalen einzuloggen, um die entsprechenden Angebote und Dienste wahrnehmen zu können, nicht. Aber es stellt eine nicht zu vernachlässigende Gefahr aufgrund reiner Bequemlichkeit dar. “Viele Menschen sind zu nachlässig bei der Wahl ihrer Passwörter, ob für den heimischen Rechner, den E-Mail-Account oder für das Profil im Sozialen Netzwerk. Damit machen sie es den Kriminellen leicht, an ihre Daten zu kommen und schlimmstenfalls in ihrem Namen Straftaten zu verüben”, sagt Prof. Dr. Wolf Hammann, Vorsitzender der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK). Insbesondere Passwörter, die sich in Wörterbüchern finden, seien ein leichtes Ziel für Hacker. Diese können anhand einer leicht zu bedienenden Software etliche Wörter von A – Z innerhalb von kurzer Zeit auf die Kompatibilität testen. “In wenigen Augenblicken können sie anhand von speziellen Geräten, die von Aal bis Zwetschge alle Begriffe als Passwort ausprobieren, beispielsweise ein E-Mail-Postfach knacken. Damit sind ihnen oft Tür und Tor für andere Straftaten geöffnet. Deswegen ist es wichtig, für verschiedene Dienste verschiedene Passwörter zu haben, um sich vor Internetkriminalität schützen zu können”, sagt Hammann.
Michael Hange, Präsident des BSI erläutert, wie sicherer Passwortschutz funktioniert: “Ein sicheres Passwort für jeden Online-Dienst gehört zu den zehn Basismaßnahmen, die jeder Internetnutzer in Bezug auf die Sicherheit beherzigen sollte. Die Ergebnisse unserer Umfrage zeigen, dass unsere Aufklärungsarbeit Wirkung zeigt. Über zwei Drittel der Befragten wissen, wie ein starkes Passwort erstellt wird: Es besteht aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen. Wer sein Passwort alle drei Monate ändert, macht es Internet-Kriminellen bedeutend schwerer.”
Das BSI rät zudem zu folgenden Maßnahmen:
- Verwenden Sie nie dasselbe Passwort für mehrere Anwendungen und ändern Sie das Passwort regelmäßig.
- Wählen Sie ein Passwort, das mindestens acht Zeichen lang ist. Es sollte aus Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen bestehen und auf den ersten Blick sinnlos zusammengesetzt sein. (Ausnahme: Bei Verschlüsselungsverfahren wie beispielsweise WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein.)
- Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten usw. Das Passwort sollte nicht in Wörterbüchern vorkommen. Auch Passwörter, die aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen (z. B. “asdfgh” oder “1234abcd”), sind nicht empfehlenswert. Einfache Ziffern oder Sonderzeichen wie “$” am Anfang oder Ende eines ansonsten simplen Passwortes bieten keinen ausreichenden Schutz.
- Bewahren Sie Ihre Passwörter sicher auf.
- Geben Sie Ihre Passwörter nicht an Dritte weiter.
- Ändern Sie immer bereits voreingestellte Passwörter.
- Nutzen Sie einen Bildschirmschoner mit Passwortabfrage nach einer voreingestellten Wartezeit, wenn der PC angeschaltet ist und nicht genutzt wird.
Der Megaupload-Nachfolger Mega hat Medienberichten zufolge für die Aufdeckung von Sicherheitslücken in dem sich noch in der Betaphase befindlichen Cloud-Schließfachdienst Prämien ausgelobt (“Mega Vulnerability Reward Program“). Abhängig von Komplexität und potentiellen Auswirkungen einer Schwachstelle sollen erfolgreiche Bug-Jäger mit bis zu 10.000 Euro belohnt werden, z.B. wenn eine Brute-Force-Attacke erfolgreich durchgeführt wird oder eine Methode gefunden wird, um die Zugriffskontrolle zu umgehen und unbefugt Schlüssel oder Nutzerdaten zu überschreiben oder zu löschen. Keine Prämien soll es hingegen für Schwachstellen geben, bei denen es einer aktiven Mitwirkung der Opfer bedarf (z.B. Phishing-Angriffen oder Attacken, die aufgrund schwach gewählter Passwörter Erfolge realisiert werden).
4. Februar 2013
Wer die Website des britischen ICO (Information Commisioner’s Office) häufig besucht, wird sich über eine Änderung wundern: Während beim Besuch der Website bisher eine explizite Einwilligung vor dem Setzen von Cookies eingeholt wurde, werden nun ohne Nachfrage Cookie gesetzt. Dies stellt eine Neuinterpretation der eigenen Richtlinie zum Umgang mit Cookies, welche zuletzt im Mai letzten Jahres überarbeitet wurde, dar. Der Nutzer wird nun durch ein Banner am unteren Rand der Website darüber informiert, dass Cookies, welche der Verbesserung der Website dienen sollen, gesetzt wurden. Das Banner verschwindet automatisch, wenn der Nutzer eine andere Seite innerhalb des Angebots aufruft. Über einen Link innerhalb des besagten Banners hat der Nutzer die Möglichkeit, Näheres über die Cookies zu erfahren und “nicht essentielle” Cookies zu deaktivieren. Wenn die Ablehnung von Cookies nicht explizit erklärt wird, vermutet das ICO nach eigener Aussage, dass das Setzen von Cookies in Ordnung sei. Damit ist das ICO, welches bislang eine Vorreiterrolle in Europa innehatte, von einem Opt-In zu einem Opt-Out Modell umgeschwenkt. Bemerkenswert ist die Erläuterung des Sinneswandels: 2011 habe es in der Öffentlichkeit noch kein ausreichendes Wissen über Cookies und deren Verwendung gegeben. Mittlerweile habe sich dies jedoch – auch dank der Tätigkeit des ICO – geändert und es herrsche ein ausreichendes Bewusstsein bezüglich der Cookie-Problematik. Daher halte man es für vertretbar, von einer expliziten Einwilligung zu einer mutmaßlichen Einwilligung zu wechseln.
Ob dies möglicherweise den Tod der Cookie Richtlinie darstellt, oder schlicht eine praktikable und unaufdringliche Umsetzung der selbigen ist, wird sich noch zeigen müssen. Sicher ist jedoch, dass die praktische Umsetzung der Cookie-Richtlinie, die bisher in Deutschland nicht in nationales Recht transformiert wurde, weiterhin große Unklarheiten birgt und der Rechtssicherheit bislang nicht zuträglich ist.
Nach Medienberichten, wurde ein Datenschutz-Leck bei JT Touristik hinsichtlich Flügen mit Ryanair entdeckt. Recherchen der dpa nach, seien die Daten von knapp 5000 Ryanair-Flugreisenden wegen der Buchungen über eine einheitliche E-Mail-Adresse für andere Kunden des Reiseveranstalters JT Touristik einsehbar gewesen.
Ihre Kunden hätten eine einheitliche E-Mail-Adresse für den Web Check-In bekommen, wenn sie eine Reise mit einem Ryanair-Flug gebucht haben, so habe JT Touristik bestätigt. Dies habe die Folge gehabt, dass die Einsichtnahme fremder Buchungen auf der Internet-Seite von Ryanair möglich geworden sei. Laut Aussage von Jasmin Taylor, Geschäftsführerin JT Touristik habe JT Touristik den Fehler bei den aktuellen Buchungen beseitigt und teile seitdem jeder Buchung eine individuelle Email-Adresse zu.
Ein ähnlicher Vorfall ist zu Beginn des Jahres beim Reiseanbieter Urlaubstours entdeckt worden, der zur Online-Unternehmensgruppe Unister gehört.
Unter dem Titel “Mobile Privacy Disclosures – Building Trust Through Transparency” hat die US-Handelsaufsicht FTC eine Broschüre veröffentlicht, in welcher sie zentrale Forderungen zum Umgang mit Nutzerdaten im mobilen Umfeld formuliert.
An die Betriebssystem Hersteller (z.B. Blackberry mit Blackberry 10, Google mit Android, Apple mit iOS etc.) richten sich folgende Forderungen:
- Nutzer sollten explizit benachrichtigt und um Zustimmung gefragt werden, bevor auf sensible Daten wie Standortinformationen zugegriffen wird.
- Fotos, Kontaktdaten, Kalenderdaten und die Aufzeichnungsfunktionen der Geräte hält die FTC für etwas weniger schützenswert: In diesem Kontext sollten Betriebssystemhersteller nur überlegen, die soeben genannten Benachrichtigungen und Abfragen einzuführen.
- Es sollte eine einheitliche Übersicht geschaffen werden, die es den Nutzern ermöglicht, schnell zu überblicken, auf welche Inhalte Apps zugreifen können.
- Die Schaffung eines einheitlichen Symbols, welches auf die Übertragung persönlicher Daten hinzuweist, sei anzudenken.
- Die Betriebssystem-Hersteller sollten Best-Practise Ansätze fördern und gegenüber den Nutzern öffentlich machen, welche Prüfkriterien die Apps vor der Aufnahme in die jeweiligen Stores durchlaufen.
- Der Do Not Track Ansatz sollte auf Betriebssystemebene verankert werden [Anmerkung: Bisher bieten ausschließlich vereinzelte Browser wie der Firefox für Android diese Funktion]
Mit einem zweiten Forderungskatalog wendet sich die FTC an Hersteller von Apps:
- Diese sollten eine einfach abrufbare Datenschutzrichtlinie bereitstellen, welche im besten Fall über die Stores der Betriebssystem-Hersteller abrufbar sein sollte.
- Solange keine explizite Benachrichtigungs- und Zustimmungsroutinen durch das Betriebssystem bereitstehen, solle dies durch die Hersteller für die jeweiligen Apps gewährleistet werden.
- Es sei zu überlegen, Selbstregulierungsgremien, Industrieorganisationen etc. beizutreten, die Unterstützung bei der Entwicklung einheitlicher, kurzer Datenschutzerklärungen böten.
- Die Kommunikation mit Werbenetzwerken sollte verbessert werden, damit die App-Hersteller die Third-Party-Tools, die sie in ihre Apps einbauen, besser verstehen und die Nutzer entsprechend informieren könnten.
Auch an die Werbeindustrie richtet sich die FTC und fordert, spiegelbildlich zum letztgenannten Punkt, die Kommunikation mit den App-Herstellern zu verbessern. Weiterhin sollte auch die Werbebranche dazu beitragen, die effektive Durchsetzung von Do-Not-Track auf mobilen Geräten zu ermöglichen.
Letzten Endes adressiert die FTC auch Zusammenschlüsse von App-Herstellern, die Lehre, Datenschutzexperten und Usability-Experten mit folgenden Anregungen:
- Es sollten kurze Datenschutzerklärungen entwickelt werden.
- Es müssten standardisierte Wege vorangetrieben werden, die es Nutzern ermöglichten, über App Grenzen hinweg den Umgang mit Daten zu vergleichen.
- App-Hersteller müssten für Datenschutzbelange sensibilisiert werden.
Ausgangspunkt sämtlicher vorgenannten Punkte sind drei Grundforderungen:
- Privacy by Design: Unternehmen sollten in jedem Entwicklungsstadium den Datenschutzbelange berücksichtigen.
- Eine einfache Wahl für Nutzer: Zum relevanten Zeitpunkt und im relevanten Kontext sollten die Nutzer um eine Einwilligung gebeten werden.
- Größere Transparenz: Die Unternehmen sollten Details über die Erhebung und Verwendung von Nutzerdaten offenlegen.
Insgesamt lässt sich festhalten, dass die gesammelten Vorschläge allesamt gut und vernünftig klingen; einzig krankt es daran, dass es sich nur um nichtverbindliche Ausführungen handelt, zu deren Umsetzung keine der angesprochenen Gruppen verpflichtet ist. Nichtsdestotrotz ist zu hoffen, dass einige der Vorschläge in Zukunft umgesetzt werden. Teilweise wird dies bereits heute schon getan: Android informiert vor Installation einer App über die von der App angeforderten Berechtigungen, wohingegen iOS beim Zugriff auf bestimmte Daten (Kontakte, Ortsinformationen etc.) eine explizite Einwilligung verlangt. Beide Systeme bieten heute schon die Möglichkeit, zumindest das herstellereigene Werbetracking zu deaktivieren. [Android: Einstellungen > Konten > Google > Anzeigen – iOS: Einstellungen > Allgemein > Info > Werbung oder oo.apple.com per Browser aufrufen)
Pages: 1 2 ... 72 73 74 75 76 ... 90 91 
