Kategorie: Online-Datenschutz

Berliner Datenschutzbeauftragter möchte, dass Facebook-Plugins auf Behördenseiten unterbleiben

4. Januar 2012

Nach seinem schleswig-holsteinischen Kollegen Weichert fordert nun auch der Berliner Datenschutzbeauftragte Alexander Dix, dass Behörden keine Social-Plugins von Facebook einsetzen sollten. In einem Interview sagte Dix der Berliner Zeitung , dass es nicht sein könne, dass eine Berliner Behörde [durch die Einbindung von Social-Plugins – Anm. der Redaktion] klar gegen deutsches und europäisches Datenschutzrecht verstoße, nur um die eigene Popularität zu steigern.

Um den Behörden dennoch eine zeitgemäße Präsentation zu ermöglichen, hat sich Dix an Innensenator Frank Henkel gewendet, welcher in Berlin auch für die IT zuständig ist, und diesem dringend empfohlen, die Suche nach einer datenschutzgerechten Lösung auf die Agenda zu nehmen.

Auch wenn er grundlegend die gleichen Forderungen wie sein Amtskollege aus Schleswig-Holstein erhebt, so unterscheidet sich doch die Wahl der möglichen Mittel. Während Weichert die sogenannte 2-Klick-Lösung als nicht ausreichend erachtet und zu dem Schluss kommt, dass eine datenschutzkonforme Einbindung von Social-Plugins eigentlich momentan unmöglich sei, verweist Dix in dem Interview ausdrücklich auf die 2-Klick-Lösung des Heise-Verlags und bezeichnet diese als einfache, praktikabele Lösung. Insofern scheint zwischen Deutschlands Datenschützern Uneinigkeit in der Frage zu bestehen, wie sehr sich mündige Bürger durch Aktivierung von Social-Plugins in punkto Datenschutz selbstgefährden dürfen. (se)

Kreditkartendaten israelischer Internetnutzer veröffentlicht

Medienberichten zufolge wurden die Kreditkartendaten einiger tausend israelischer Internetznutzer veröffentlicht. Für die Veröffentlichung verantwortlich zeichnet sich, nach eigener Aussage, der Hacker 0xOmar von der group-xp, einer saudi-arabischen Splittergruppe von Anonymous.

Die Veröffentlichung betrifft wohl bis zu 400.000 Datensätze von denen nach Angaben von Kreditkartenunternehmen jedoch nur rund 14.000 tatsächlich gültig sind. Die Kreditkartenunternehmen gaben weiterhin an, die betroffenen Karten zu sperren und in Folge des Datenlecks entstandene Schäden automatisch zu ersetzen. Quelle eines Großteils der Daten soll die israelische Sportwebsite One.co.il sein. (se)

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Unbefugter Zugriff auf die Datenbank des Onlinerollenspiels Rift

Nachdem bereits zuvor einige Größen der Videospielbranche Angriffe eingestehen mussten, hat nun auch der Betreiber des Onlinerollenspiels Rift, Trion Worlds Inc., bekannt gegeben, dass sich Unbekannte Zugriff auf die Nutzerdatenbank verschafft haben. Folgende Daten sind laut Trion Worlds in der Datenbank gespeichert:

  • Benutzername
  • Verschlüsseltes Passwort
  • Geburtsdatum
  • E-Mail-Adresse
  • Rechnungsanschrift
  • Die ersten und letzten vier Ziffern der verwendeten Kreditkarten und deren Ablaufdatum.

Es gäbe jedoch keinen Grund zur Annahme, dass auf die vollständigen Kreditkartendaten zugegriffen wurde.

Trio Worlds weist darauf hin, dass die betroffenen Nutzer beim nächsten Login ihr Passwort ändern müssen. Ferner werden die Nutzer darauf aufmerksam gemacht, dass die Accountsicherheit durch weitere Maßnahmen, wie eine Smartphone App, die nur kurze Zeit gültige Passwörter generiert, gesteigert werden könne.

Als Entschädigung für die Unannehmlichkeiten werden den Nutzern 3 Tage Spielzeit für Rift gutgeschrieben. (se)

Kategorien: Online-Datenschutz
Schlagwörter: ,

Düsseldorfer Kreis äußert sich zum Datenschutz in sozialen Netzwerken

14. Dezember 2011

Der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) hat am 08.12.2011 einen Beschluss zum Datenschutz in sozialen Netzwerken gefasst. Folgende Kernpunkte wurden dabei herausgearbeitet:

  • Das Telemediengesetz erfordert zumindest die pseudonyme Nutzungsmöglichkeit von sozialen Netzwerken. Nutzungsdaten dürfen nicht zur personenbeziehbaren Profilbildung verwendet werden, solange keine Einwilligung vorliegt. Nach der Beendigung der Mitgliedschaft sind jegliche Daten zu löschen.
  • Informationen darüber, welche Daten erhoben werden, und für welche Zwecke diese verarbeitet werden, müssen leicht zugänglich und verständlich sein.
  • Sämtliche Voreinstellungen müssen auf dem Einwilligungsprinzip beruhen, wenn nicht die Mitgliedschaft zwingend die Angabe solcher Daten voraussetzt. Insbesondere ist es nicht rechtmäßig zunächst mit der Datenverarbeitung zu beginnen und nur eine Widerspruchsmöglichkeit vorzusehen.
  • Ohne ausdrückliche und bestätigte Einwilligung des Abgebildeten ist es unzulässig, anhand von Fotos biometrische Gesichtserkennungsmerkmale zu erheben, zu speichern oder zu verwenden.
  • Die Betreiber der Netzwerke haben die sensiblen Daten durch geeignete technisch-organisatorische Maßnahmen zu schützen und einen Nachweis über diese Maßnahmen zu erbringen.
  • Um die besonders sensiblen Daten von Minderjährigen angemesen zu schützen sind datenschutzfreundliche Standardeinstellungen zu wählen. Weiterhin sind die Informationen über die Datenverarbeitung so zu formulieren, dass diese auch für Minderjährige verständlich sind.
  • Betroffenen muss eine einfache Möglichkeit gegeben werden, ihre Auskunfts-, Berichtigungs-, und Löschungsansprüche geltend zu machen. Dafür müssen zumindest die Kontaktdaten leicht auffindbar sein, damit Betroffene einen Ansprechpartner finden.
  • Es ist unzulässig Social-Plugins (z.B. den Like-Button von Facebook) auf Websites einzubinden, wenn dadurch eine Datenübertragung an den Anbieter des sozialen Netzwerkes erfolgt und die Nutzer nicht bereits vorher bezüglich der Datenübertragung informiert wurden und ihnen eine Möglichkeit zur Unterbindung der Datenübertragung eingeräumt wurde. Nur wenn die Nutzer verlässliche Informationen über die übermittelten Daten und deren Zweck erhalten, können sie rechtswirksam ihre Einwilligung erklären. In der Regel werden Anbieter deutscher Websites nicht über die nötigen Kenntnisse bezüglich der Datenverarbeitungsvorgänge verfügen, um  die Nutzer entsprechend zu informieren. Daher begehen die Anbieter der Websites selbst Rechtsverstöße, wenn sie Social-Plugins einbinden, die sie in Bezug auf die Datenverarbeitung nicht überblicken können.
  • Auch Betreiber, die außerhalb des Europäischen Wirtschaftsraumes (EWR) ansässig sind, müssen sich deutschem Datenschutzrecht unterwerfen, wenn sie ihre Datenerhebung durch einen Rückgriff auf Rechner von Nutzern in Deutschland verwirklichen (§ 1 Abs. 5 Satz 2 BDSG). Daher sei auch ein Inlandsvertreter als Ansprechperson für die Datenaufsicht zu bestellen (§ 1 Abs. 5 Satz 3 BDSG). Eine Anwendung des BDSG kann nich dadurch umgangen werden, dass eine rechtlich selbständige Niederlassung in einem anderen Staat des EWR gegründet wird. (Damit stellt sich der Düsseldorfer Kreis gegen Facebook, die bisher auf dem Standpunkt beharren, dass nur der irische Datenschutz auf Facebook Anwendung fände – Anmerkung der Redaktion)

(se)

Verbraucherschutzministerin Aigner legt Beschwerde gegen Facebooks Gesichtserkennung ein

Nachdem der Hamburgische Beauftragte für Datenschutz bereits rechtliche Schritte gegen Facebook angekündigt hat, ist nun auch Bundesverbraucherschutzministerin Aigner aktiv geworden. Sie hat sich nach Meldung der dpa mit einem Brief an die US-Handelskommission FTC gewandt, in welchem sie moniert, dass Facebook das Safe-Harbor-Abkommen verletze.

Nach DPA-Angaben wirft Aigner Facebook insbesondere vor, in Bezug auf die Gesichtserkennung vermutlich die weltweit größte Datenbank mit biometrischen Merkmalen einzelner Personen zu erstellen, ohne über deren biometrische Erfassung klar und verständlich zu informieren

Wenig später erklärte sich Facebook gegenüber der FTC zu strengeren Datenschutzauflaugen in den USA bereit, nachdem zuvor mehrfach gegen datenschutzrechtliche Selbstverpflichtungen verstoßen worden war. Insbesondere verpflichtete sich Facebook nun dazu, neue Funktionen und Einstellungen nicht mehr automatisch freizuschalten, ohne die Einwilligung des Nutzers einzuholen. Diese Praxis hatte in der Vergangenheit vielfach für Kritik gesorgt, so auch bei der Einführung der Gesichtserkennung.

Eben diese von Aigner expliziert kritisierte Gesichtserkennung findet jedoch keinen expliziten Niederschlag in der neuen Vereinbarung mit der FTC (se).

 

Carrier IQ – Lässt das Smartphone Provider und Hersteller mithorchen?

7. Dezember 2011

Carrier IQ wird zur Zeit in den Medien heiß diskutiert, was sicherlich auch der Behauptung des Unternehmens geschuldet ist, dass Carrier IQ auf über 140 Millionen Geräten laufe.

Was aber hat es mit Carrier IQ auf sich?

Alles nahm seinen Anfang damit, dass der IT-Experte Trevor Eckhart eine Beschreibung der Analyse Software der Firma Carrier IQ veröffentlichte in der er die Software als Rootkit bezeichnete. Daraufhin war man  bei Carrier IQ wenig amüsiert, mahnte Eckhart ab und forderte ihn zur Unterlassung auf. Dieser erhielt daraufhin Unterstützung von der US-Bürgerrechtsbewegung EFF (Electronic Frontier Foundation). Kurze Zeit später entschuldigte sich Carrier IQ(Link entfernt) bei Eckhart für das übereilte Säbelgerassel und zog die Androhung juristischer Maßnahmen zurück.

Im Kern der Anschuldigungen steht der Vorwurf, dass Carrier IQ die Möglichkeiten hat, Tastatureingaben, Standortinformationen, die installierten Apps (…) – kurzum – fast alle relevanten Daten aufzuzeichnen, die auf einem Smartphone anfallen. Zweifelsfrei nachgewiesen ist bisher, dass die auf einem HTC-Gerät für den US-Markt installierte Carrier IQ Software Suchanfragen und gewählte Telefonnummern schon während des Eintippens aufzeichnet. Carrier IQ sah sich daraufhin veranlasst, eine Pressemitteilung (Linke entfernt) herauszugeben, in der klargestellt wurde, dass Carrier IQ zwar einen weitreichenden Zugriff auf die Daten des Gerätes habe, aber keine Inhalte von SMS, E-Mails, Photos sowie Audio und Videoinhalten sammele. Beispielsweise könne die Software nachvollziehen, ob eine SMS korrekt gesendet wurde, aber nicht was in der SMS gestanden habe. [Update 12.12.11] Ineinem Update der Pressemelung vom 12.12.2011 gestand Carrier IQ dann ein, dass es auf Grund eines Bugs in einigen seltenen Fällen doch dazu gekommen sei, dass der Inhalt der SMS übermittelt worden sei. Dieser Inhalt wäre aber kodiert und damit nicht durch Menschen lesbar gewesen. [/Update] Weiterhin wisse man auch, welche Apps den Akku leersaugen, Screenshots würden jedoch nicht erstellt. Auch auf die Frage warum Carrier IQ auf den Geräten installiert ist, gibt die Pressemeldung Aufschluss: Carrier IQ werde im Interesse der Netzbetreiber installiert, um diesen eine Verbesserung der Servicequalität zu ermöglichen. Der Mitteilung kann man auch entnehmen, dass es nicht „eine“ Carrier IQ Version, sondern jeweils auf den Kunden zugeschnittene Lösungen gibt.

Dies ließe vermuten, dass sich Carrier IQ Software nur auf Geräten befindet, die spezifisch auf den Netzbetreiber angepasst sind (sog. Branding). Ganz so einfach ist es jedoch nicht, da auch Apple’s populäres iPhone Carrier IQ  Software nutzt(e). In einem Rundschreiben an die Medien gab die Firma aus Cupertino bekannt, dass die Unterstützung von Carrier IQ mit iOS 5 für die meisten Geräte eingstellt wurde. Gegenüber ars technica führte Apple aus, dass das iPhone 4 auch mit iOS 5 noch Carrier IQ Software verwendet. Mit einem zukünftigen Update soll die Software jedoch aus sämtlichen iOS Geräten entfernt werden. Fraglich ist allerdings, ob dies auch für „alte“ Geräte gilt, die nicht auf iOS 5 geupdatet werden können. Die Apple-Implementierung bietet gegenüber den Androidversionen die Besonderheit, dass es sich um ein Opt-In Verfahren handelt. Standardmäßig ist die Option laut Angaben von Apple ausgeschaltet. iPhone-Nutzer können unter Einstellungen>Allgemein>Info>Diagnose & Nutzung überprüfen, ob das automatische Senden von Diagnose & Nutzungsdaten aktiviert ist. Ebenfalls kann dort eingesehen werden, welche Diagnose & Nutzungsdaten erhoben wurden. Die Daten werden im Falle der iOS-Implementierung nicht an Mobilfunknetzbetreiber gesendet, sondern an Apple selbst.

Dies wirft die Frage auf, wer (nach bisherigem Kenntnisstand) von Carrier IQ betroffen ist:

Zugegeben haben bisher die US Provider AT&T, Sprint und T-Mobile USA den Einsatz von Carrier IQ auf ihren Geräten. Wie eben erläutert, setzt(e) auch Apple die Software in gewissem Umfang ein. HTC und Motorola haben angegeben die Geräte auf Wunsch der Provider mit der Software auszustatten, wobei HTC explizit betonte, dass dies für den europäischen Markt nicht geschehe. Auch auf Smartphones von Samsung und Huawei wurde Carrier IQ Software nachgewiesen.

Die deutschen Provider Telekom, E-Plus und Vodafone haben angegeben, die Software nicht zu nutzen. Mehr Spielraum lässt die Aussage von O2 zu: O2 erhält nach eigenen Angaben keine Kundendaten durch Carrier IQ. Dies schließt jedoch nicht aus, dass die Software auf O2 Geräten installiert (und möglicherweise deaktiviert) ist.

Googles Nexus Geräte (One, S, S 4G und Galaxy) laufen mit einem weder durch Hersteller noch durch Provider angepassten Android-Betriebssystem und sind daher frei von Carrier IQ Software. Auch auf Geräten von HP, Palm, RIM und sämtlichen Windows Phone 7 Geräten ist bisher keine Spur von Carrier IQ nachzuweisen gewesen.

Für den Nutzer stellt sich die Situation also wie folgt dar: Mit Windows Phone, Web OS und Blackberry Geräten ist man nach bisherigen Erkenntnissen auf der sicheren Seite. Bei Apple kann man die Funktion, wie oben beschrieben, zumindest abschalten. Android Nutzer können mit einem Tool von Trevor Eckhart herausfinden, ob ihre Geräte von Carrier IQ (und sonstiger Loging-Software) betroffen sind. Eine Abschaltung der Software ist dabei nicht vorgesehen, kann aber im Einzelfall gerätespezifisch mit etwas Aufwand bewerkstelligt werden.

Juristische Reaktionen auf Carrier IQ

Auf Grund der Berichterstattung durch die Medien hat US-Senator Al Franken, seines Zeichens Vorsitzender des Unterausschusses für Datenschutz und Technologie, Carrier IQ, die Netzbetreiber und die Gerätehersteller aufgefordert, bis Mitte Dezember ausführliche Informationen vorzulegen. Insbesondere will er dabei wissen, ob gewählte Telefonnummern und der Inhalt von SMS aufgezeichnet werden. Gestützt auf den sogenannten Federal Wiretap Act sind nach Medienberichten in den USA mittlerweile auch Sammelklagen gegen Carrier IQ, Apple, HTC, Samsung, Sprint, AT&T und T-Mobile USA eingereicht wurden. Auch die deutschen Datenschützer sind nicht untätig geblieben: Einem Bericht von Bloomberg zufolge hat der Bayerische Landesdatenschutzbeauftragte, Thomas Kranig, Apple um Details bezüglich dem Einsatz von Carrier IQ gebeten. (se)

EU-Kommissarin fordert mehr Befugnisse für Datenschutzbehörden

30. November 2011

EU-Justizkommissarin Viviane Reding forderte in einer Rede am Montag in Brüssel deutlich mehr Befugnisse für Datenschutzbehörden in der Europäischen Union. Um den Datenschutz in allen 27 Mitgliedsstaaten wirksamer durchzusetzen, reichten aber nicht allein vermehrte Kompetenzen – auch verstärkte Ressourcen seien nötig für die Behörden, wird Reding in Medienberichten zitiert. Reding forderte Rechtssicherheit und Gleichbehandlung für alle Wirtschaftszweige, in denen personenbezogene Daten geschützt werden müssen.

Im vergangenen Jahr hatte Reding eine Neuauflage der inzwischen 16 Jahre alten EU-Datenschutzrichtlinien angekündigt. Online-Werbung und Social Networks stehen dabei im Fokus, es sollen strengere Sanktionen und eine Klagemöglichkeit für Verbraucherschützer eingeführt werden.

Die Neuregelung soll der Vereinheitlichung des Datenschutzrechts dienen. Durch die 27 unterschiedlichen Datenschutzregeln in der EU entstünden Unternehmen Kosten von bis zu geschätzten 2,3 Milliarden Euro pro Jahr. Verstärkte Koordination und Kooperation zwischen den nationalen Datenschutzbehörden würde eine flächendeckende Durchsetzung des Datenschutzes sicherstellen.

Wieder im Gespräch ist der Plan der EU-Kommissarin, eine grundsätzliche Meldepflicht für Datenschutzverstöße einzuführen. Aktuelle Skandale wie der Einbruch in das PlayStation Netzwerk bei Sony würden das Vertrauen der Verbraucher erschüttern, Gegenmaßnahmen zum Vertrauensaufbau durch Informationspflichten seien dringend notwendig. (ssc)

Weiteren Veröffentlichungen kann entnommen werden, dass in der Neufassung der Richtlinie auch das Recht, vergessen zu werden, verankert werden soll. Auch die Sanktionsmöglichkeiten der Datenschutzbehörden sollen stark aufgewertet werden. So soll es möglich sein, bei Verstößen gegen die EU-Datenschutzrichtlinie Geldstrafen in der Höhe von bis zu 5% des weltweiten Jahresumsatzes des Unternehmens zu verhängen.  (se)

 

Französische Datenschutzbehörde gibt Tipps zur Umsetzung der ePrivacy-Richtlinie

23. November 2011

Nachdem Frankreich die Vorgaben der ePrivacy Richtlinie, die oftmals auch als Cookie-Richtlinie bezeichnet wird, in nationales Recht umgesetzt hat, veröffentlichte die französische Datenaufsichtsbehörde (CNIL) vor Kurzem einen Leitfaden zur Handhabung der neuen Regeln auf ihrer Website.

Damit stellt die CNIL zunächst klar, dass sie eine Einwilligung im Wege der Browser-Einstellungen hinsichtlich der Akzeptanz von (Dritt-)Cookies – entgegen der bislang allgemein geäußerten Auffassung – für unzureichend hält. Für die Betreiber, die in Frankreich mit Cookies operieren ergeben sich somit zumindest Prüfpflichten, ob das Angebot noch rechtskonform erfolgt.

Klarstellend wird weiterhin ausgeführt, dass der Begriff „Cookie“ weit auszulegen ist. So sind auch die sogenannten Flash-Cookies (local shared objects) und andere lokal gespeicherte Webinhalte (DOM Storage) Unterfälle eines „Cookies“ im Sinne der Richtlinie.

Interessant ist insbesondere die exemplarische Auflistung der Fälle, in denen die CNIL keine Notwendigkeit einer Einwilligung vor dem Setzen eines Cookies sieht:

  • Cookies für virtuelle Einkaufswagen
  • SessionID-Cookies, die dazu benötigt werden, die vom Nutzer angeforderten Dienste bereitzustellen.
  • Cookies, die ausschließlich dazu beitragen, die vom Nutzer gewünschte Sicherheit zu ermöglichen.
  • Cookies, welche die Sprache des Nutzers registrieren (bei Seiten mit mehreren Sprachoptionen).
  • Cookies, die andere Präferenzen des Nutzers speichern, welche notwendig sind, um die angeforderten Dienste bereitzustellen.
  • Auch Flash-Cookies sollen zustimmungsfrei sein, sofern diese benötigt werden, um vom Nutzer angeforderte Multimediainhalte abzuspielen.

Bezüglich Drittanbieter-Cookies (beispielsweise Werbenetzwerken) wird klargestellt, dass keine doppelte Zustimmung notwendig ist. Wenn der Nutzer also bereits gegenüber einem Werbentzwerk seine Einwilligung erklärt hat, muss er dies nicht noch einmal tun, wenn durch dieses Werbenetzwerk auf der Seite eines Kunden ein Cookie gesetzt wird. Ebenso ist beim wiederholten Besuch einer Website keine erneute Zustimmung erforderlich.

Sofern der Nutzer dem Setzen eines Cookies nicht zustimmt, könnte ihm nach Vorstellung der CNIL die Möglichkeit geboten werden, den Cookie dauerhaft oder nur für diesen Besuch abzulehnen. Diese Angaben könnten in einem „Ablehungscookie“ gespeichert werden.

Die heutigen Möglichkeiten, Cookies mithilfe der im Webbrowser implementierten Technicken zu verwalten, hält die CNIL noch für unausgereift. Explizit stört man sich daran, dass:

  • die bisherigen Browserlösungen dem Nutzer keine klaren und vollständigen Informationen bereitstellen, wenn die Zustimmung angefordert wird.
  • die Websiten, die sich der Browsermechanismen bedienen wollen, keine Möglichkeit haben, zu überprüfen, ob die korrekten Browsereinstellungen gewählt wurden.
  • die bisherigen Browsereinstellungen nicht zwischen solchen Cookies unterscheiden können, die einer vorherigen Zustimmung bedürfen und solchen, die zustimmungsfrei sind.
  • die Einstellungen für den Nutzer schwierig anzuwenden sind, und sich von Browser zu Browser stark unterscheiden.

Nichtsdestotrotz zieht man die Möglichkeit in Betracht, dass sich in Zukunft eine wirksame Zustimmung über ein zusätzliches Browsermodul oder eine Webplattform erteillen lässt. Den bisherigen Versuchen der Werbewirtschaft wie www.youronlinechoices.com steht die CNIL kritisch gegenüber, da sich diese ausschließlich auf die alte Rechtslage bezögen und eine Anpassung an die aktuellen Erfordernisse schwer vorstellbar erscheine.

Es wird jedoch nicht nur darauf hingewiesen, was nicht ausreichend ist, sondern auch Beispiele angeführt, wie eine wirksame Zustimmung erreicht werden könnte:

  • Ein Banner am oberen Ende der der Website, wie z.B. auf der ICO Website.
  • Ein die Seite überlagernder Zustimmungsbereich.
  • Checkboxen, die angehakt werden müssen, wenn man sich für einen Online-Service registriert.

Ablehnend steht die französische Datenschutzbehörde hingegen Popups gegenüber, da diese regelmäßig von Browsern geblockt werden.

Abschließend wird festgehalten, dass Websitebetreiber verantwortlich für Drittanbietercookies sind, sofern diese beim Besuch ihrer Website gesetzt werden. Außerdem wird klargestellt, dass eine Zustimmung nicht durch Nutzungsbedinungen oder deren Änderung erfolgen kann.

Am Ende wird darauf aufmerksam gemacht, dass pro Verstoß Bußgelder bis zu 300.000 € und strafrechtliche Verfolgung drohen.

Auch für Unternehmen außerhalb Frankreichs dürften diese Einschätzungen eine wertvolle Orientierungshilfe darstellen, da die nationalstaatlichen Regelwerke bestenfalls in Details voneinander abweichen.(se)

ENISA mahnt zur Vorsicht beim Cloud Computing

Udo Helmbrecht, Direktor der Europäischen Agentur für Netz- und Informationssicherheit, warnte Medienberichten zufolge vor einer unvorsichtigen Nutzung des Cloud Computings. Gerade mittelständische Unternehmen speicherten sensible Daten in der digitalen Wolke, so Helmbrecht, ohne datenschutzrechtliche Risiken zu beachten. Handele es sich um ausländische Anbieter von Cloud Computing, landeten die Daten möglicherweise in den USA oder anderen Drittstaaten. Dieser Datentransfer verstößt möglicherweise gegen das Bundesdatenschutzgesetz – und birgt damit ungeahnte Risiken für die Unternehmen, die auf das kostensparende Cloud Computing setzen.

Nach Ansicht von Helmbrecht seien die ersten Skandale beim Cloud Computing nur noch eine Frage der Zeit. (ssc)

Die eigenen Basisstationen aus Googles WLAN-Datenbank entfernen

17. November 2011

Google betreibt eine Datenbank, in der alle bekannten WLAN-Basisstationen verzeichnet sind. Die Standorte der Netzwerke werden gespeichert und dazu verwendet, auch ohne GPS-Signal eine ungefähre Positionssbestimmung zu ermöglichen. Ein Teil der Daten wurde durch Fahrten mit den Street-View-Fahrzeugen zusammengetragen; andere Daten stammen von mobilen Endgeräten, wie z.B. Android-Telefonen. Ebenso wie bei den Mitbewerbern Apple und Microsoft gab es in der Vergangenheit Unstimmigkeiten in Bezug auf den Datenschutz dieser Geolocation-Dienste.

Wer möchte, dass seine Basistation nicht mehr erfasst wird, kann dies auf einfache Weise erreichen. Google führt dazu in einem Blogeintrag aus, dass bei der Netzwerkkennung (SSID) ein „_nomap“ angehängt werden muss. Lautet der Name des Netzwerkes also bisher „JuppMüller“, reicht es aus, das Netzwerk in „JuppMüller_nomap“ umzubennen. Dies kann einfach über die Konfigurationsoberfläche der WLAN-Basisstation geschehen. Beispiele für das Vorgehen bei verschiedenen Endgeräten gibt Google auf einer Hilfeseite.

Wer die Datensammlung zur Postionsbestimmung generell nicht unterstützen möchte, sollte bei seinem Endgerät die Option deaktivieren, Standorte mit Hilfe von Mobilfunk- und WLAN-Netzwerken zu bestimmen. Durch das Abschalten dieser Option wird üblicherweise auch die Übertragung der gefundenen Netze an den Datenbankbetreiber unterbunden. Dies gilt herstellerübergreifend für alle Mobilgeräte mit Ortungsfunktionen.

Die Möglichkeit eines Opt-Outs für bereits in der Datenbank befindliche Daten bietet bisher allerdings nur Google. Google selbst drückt in dem Blogeintrag jedoch die Hoffnung aus, dass das einfache Anhängen eines „_nomap“  an die SSID sich universell durchsetzt und in Zukunft von mehreren Betreibern von Geolocation-Datenbanken berücksichtigt wird. (se)

1 77 78 79 80 81 83