Kategorie: Tracking

Barbie meets Datenschutz

19. März 2015

Die Barbie-Puppe – der Spielzeugklassiker der Firma Matell. Seit 1959 geht Barbie stets mit der Zeit und orientiert sich an aktuellen (Mode-) Trends. Das gilt auch für das digitale Zeitalter. So hat es die beliebte Puppe zu ansehnlichem Erfolg bei Konsolenspielen und in Animationsfilmen gebracht. Medienberichten zufolge soll Barbie in diesem Jahr auch interaktiv und vernetzt in – zunächst US amerikanische – Kinderzimmer einziehen. Ganz im Stile von Siri soll die Puppe mit einer Spracherkennung und Internetkonnektivität ausgestattet werden. Eltern sollen über das Smartphone die Bedienung der Puppe nicht nur steuern, sondern auch auf die auf einem Server gespeicherten Sprachdaten zugreifen und diese löschen können. Die Gespräche sollen mit einer Spracherkennungssoftware ausgewertet werden, damit die Puppe möglichst genaue Antworten erwidern kann, berichtet heise online.

So amüsant es zunächst klingen mag, das Thema ist von außerordentlicher datenschutzrechtlicher Brisanz. Die kritischen Fragen sind seit Siri bekannt: Auf welchen Servern liegen die Sprachdateien? Wer hat Zugriff? Liegt eine Ermächtigung zugrunde, um die Daten zu sammeln und zu verarbeiten? Werden sie eventuell sogar an Dritte weitergegeben, um gezielte Werbung zu versenden, um Persönlichkeitsprofile zu erstellen? Was geschieht mit Umgebungsgeräuschen und Informationen, die nur zufällig aufgenommen werden? Alles bekannte Risiken, die jeder vollmündige Nutzer selber abwiegt, wenn er ein entsprechendes Spracherkennungsprogramm verwendet. Doch Barbie ist ein Spielzeug, naturgemäß – abgesehen von ein paar Liebhabern und Sammlern – somit ein Gebrauchsgegenstand für Kinder. Oder anders gesagt: Ein (nicht nur) datenschutzrechtlicher Risikococktail getarnt in einem harmlosen Kinderspielzeug. Deshalb schlagen bereits besorgte Eltern und Jugendschutzorganisationen Alarm, bevor es zu einer Serienproduktion der Puppe kommt. Die Campaign for a Commercial Free Childhood (CCFC) sieht in dem Spielzeug eine Gefährdung der Privatsphäre. Die Puppe ist in der Lage, sensible Informationen über das soziale Umfeld des Kindes, deren Entwicklung und Vorlieben zu sammeln. Eine Auswertung solcher Daten ist zum Beispiel für die Werbeindustrie von unsagbarem Wert. Soziologisch und psychologisch betrachtet, besteht hierin sogar ein hohes Manipulations- uns Missbrauchspotential an den Daten. Die „Opfer“: Kinder. Und diese sind bekanntlich besonders schutzbedürftig.

Natürlich stehen mit dem Einzug internetfähigen Spielzeugs in Kinderzimmern die Eltern in der Verantwortung und in der Pflicht, ihre Schützlinge zu schützen. Wie schwierig jedoch die Umsetzung im Alltag ist und wie oft Eltern und Pädagogen sich ob der digitalen Gefahren überfordert fühlen, ist schon von Smartphone, Apps, Social Media & Co. bekannt. Es geht also auch und vor allem um die Internetkompetenz der Eltern. Brisanz gewinnt das Thema nun dadurch, dass es sich um einen Gebrauchsgegenstand gezielt für Kinder handelt, die Gefahr also nicht unbedingt bewusst wahrgenommen wird, sondern als Begleiterscheinung eines pädagogischen Werkzeugs (Puppe) in Erscheinung tritt.

Wearables machen Versicherte zu “gläsernen Patienten”

4. März 2015

Sogenannte „Wearables“ (von Wearable Computing, tragbare Computersysteme), also am Körper zu tragenden mobile kleine Computersysteme, sind nicht nur auf dem zurzeit stattfindenden Mobile World Congress in Barelona das Thema. Auch im Gesundheitswesen sorgen sie jetzt für Aufsehen und können Versicherte zu gläsernen Patienten machen. Der New Yorker Krankenversicherer Oscar Health sammelt die Daten seiner Kunden bereits auf diese Weise und zahlt ihnen Prämien aus, wenn Sie trainieren – und ihre Aktivitäten über die Wearables aufzeichnen lassen.

Oscar Health operiert dabei mit folgendem Konzept: Es schickt Versicherten Smartwatches und zahlt Prämien, wenn sie bestimmte Fitness-Ziele erreichen. Wer sein Programm erfolgreich absolviert, bekommt einen Dollar Belohnung pro Tag. Der maximale Erlös ist allerdings auf 20 Dollar im Monat und 240 Dollar im Jahr begrenzt.

Datenschützer haben bereits in der Vergangenheit mehrfach vor dieser Praxis gewarnt: Bei der Übermittlung von Trainingswerten handelt es sich um sensible Gesundheitsdaten. Zusammen mit anderen Daten kann damit ein umfassendes Gesundheitsprofil der betreffenden Person erstellt werden. Daraus können die Versicherungen Gesundheitsprognosen ableiten und dem Versicherten nicht nur profilgenaue Angebote unterbreiten, sondern auch künftige Risikozuschläge berechnen. Darüber hinaus ist die langfristige Verwendung der auf diese Art gespeicherten sensiblen Daten noch völlig offen.

Ehemaliger Datenschutzbeauftragter Schaar meldet sich aus Protest bei Facebook ab

30. Januar 2015

Peter Schaar, langjähriger Bundesdatenschutzbeauftragter und Vorgänger der amtierenden Bundesdatenschutzbeauftragten Andrea Voßhoff, gab bekannt, dass er Facebook aufgrund der heute in Europa in Kraft getretenen neuen Nutzungsbedingungen verlässt. Diese sehen eine weitgehende Verfolgung des Nutzerverhaltens auch auf Webseiten außerhalb von Facebook vor.

Schaar hält nun in seinem Blogbeitrag fest, er könne eine solche Missachtung der Privatsphäre der Nutzer und damit europäischer Grundrechte nicht akzeptieren. Wie bereits bei datenschutzticker.de berichtet, wurden die geplanten Änderungen auch schon im Bundestags-Ausschuss scharf kritisiert.

Kategorien: Online-Datenschutz · Social Media · Tracking
Schlagwörter:

Niederländische Datenschutzbehörde droht Google mit Sanktionen

23. Dezember 2014

Die niederländische Datenschutzbehörde College Bescherming Persoonsgegevens (CBP) kritisiert Googles Praxis, Daten von Nutzern ohne deren Einwilligung für Werbezwecke zu nutzen, als mit europäischem Datenschutzrecht nicht vereinbar.

Wie die CBP auf ihrer Webseite berichtet sammelt das Unternehmen Nutzerdaten unabhängig davon, ob der Betroffene über eine Google-Account eingeloggt ist oder nicht. Seit der Änderung von Googles Datenschutzerklärung 2012, können beispielsweise Daten über Suchanfragen, Standortdaten und angesehene Videos zu einem Profil zusammengefügt werden, auf dessen Grundlage personenbezogene Werbung gezeigt wird.

Die niederländische Datenschutzbehörde fordert jetzt von Google bis Ende Februar 2015 die Einwilligung seiner Nutzer dazu einzuholen, dass die Daten aus verschiedenen Diensten wie der Websuche, mobilen Diensten, GMail und YouTube für Werbezwecke miteinander kombiniert werden dürfen. Die Nutzer sollen auch deutlich darüber aufgeklärt werden, welche Daten von diesen Diensten genutzt werden. Ansonsten droht Google eine Geldbuße von bis zu 15 Millionen Euro.

Wie heise.de berichtet, ist auch der in Deutschland zuständige Datenschutzbeauftragte Hamburgs mit Google wegen der aussagekräftigen Profilbildung im Gespräch. Google sei aber bislang nicht bereit, substanzielle Verbesserungen zugunsten der Nutzerkontrolle umzusetzen.

EU-Parlament: eCall soll ab April 2018 Pflicht werden

11. Dezember 2014

Nach dem jüngsten Beschluss des Binnenmarktausschusses des EU-Parlament müssen Neufahrzeuge von Anfang April 2018 an über ein Ortungssystem mit der vorgesehenen Notrufmöglichkeit verfügen.

Die Infrastruktur für das System müssen die EU-Länder bis Anfang Oktober 2017 installiert haben, meldet der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (Coreper). Der Ministerrat muss der Coreper-Entscheidung noch bei einer seiner Sitzungen zustimmen. Dies wird aller Voraussicht nach am 17. Dezember erfolgen.

Bei einem Unfall soll eCall automatisch den Rettungsdienst alarmieren und so die Zeit bis zum Eintreffen der Helfer verkürzen. Geplant ist, dass der bordeigene Notruf bei einem Zusammenstoß im Straßenverkehr oder vergleichbaren Unglücken nach dem Auslösen der Airbags automatisch die einheitliche europäische Notrufnummer 112 anwählt. Zusätzlich haben die Abgeordneten sichergestellt, dass ein Alarm manuell ausgelöst werden kann.

Die Einführung von eCall war bei Datenschützern auf Bedenken gestoßenwir haben hier auch bereits darüber berichtet. Sie fürchteten, das System könne etwa auch Informationen zur Fahrweise des Autofahrers. Nach dem Beschluss des Parlaments sollen zu den übermittelten Daten nunmehr jedoch ausschließlich die Fahrzeugklasse, die Art des Treibstoffs sowie Unfallzeit und -ort gehören. Es sollen ferner erst dann Daten übermittelt werden, wenn ein Unfall geschieht. Der Rettungsdienst darf diese Daten nicht ohne ausdrückliche Genehmigung der Betroffenen an Dritte weitergeben, zudem müssen sie löschbar sein.

Kategorien: Allgemein · Tracking
Schlagwörter: ,

Uber sammelt unverhältnismäßig Daten

4. Dezember 2014

Der Fahrdienstvermittler Uber sorgt mit seiner App nicht nur bei der Zunft der Droschkenfahrer für Aufsehen, sondern nun auch bei den Datenschützern. Joe Giron, ein US-amerikanischer Software-Experte, hatte festgestellt, dass die App für Android-Geräte auffällig viele Daten sammelt, die in keinem offensichtlichen Bezug zu der Dienstleistung stehen, die über die App vermittelt werden. Uber erklärte dies wie folgt:

  • Namen der umliegenden WLAN-Netze dienen zur präzisen Lokalisierung des Nutzers für die Abholung.
  • Der Kamerazugriff diene zur direkten Einbindung von Profilfotos oder dem Einscannen von Kreditkarteninformationen.
  • Die Telefonfunktion stelle einen direkten Kontakt zum Fahrer her.

Zugegeben, andere Apps greifen auf die gleichen Funktionen zu, aber es stellt sich trotzdem die Frage, ob dies tatsächlich notwendig ist. Muss man etwa bei Uber nun keine Adresse angeben, weil man nur anhand der WLAN-Netze geortet werden kann? Und was passiert mit den Daten, wenn man seine Adresse angibt? Löscht Uber dann umgehend die Informationen die nunmehr ja überflüssigerweise gesammelt worden sind?

Das Datenschutzrecht ist wesentlich geprägt von den Grundsätzen der Datensparsamkeit und Zweckbindung. Diese werden zweifelsfrei durch derartige Zugriffsmöglichkeiten ignoriert. Daher muss es im Eigeninteresse des Nutzers liegen, entweder sofern vorhanden derartige Zugriffe durch das individualisieren der möglichen Einstellungen zu verhindern, diese zu akzeptieren oder sich bewusst gegen die Nutzung dieser Dienste zu entscheiden.

Kategorien: Mobile Business · Online-Datenschutz · Tracking
Schlagwörter:

Fehlende Anonymität bei Whisper

23. Oktober 2014

Die App Whisper will seinen Nutzern die Möglichkeit geben, anonym über Geheimnisse zu berichten, mit denen ihre Nutzer nicht namentlich in Verbindung gebracht werden wollen. Wie die britische Zeitung The Guardian jetzt berichtet, speichert die App allerdings massenhaft Daten über ihre Nutzer und auch Nachrichten, nachdem diese bereits vom Nutzer gelöscht wurden.

Aus datenschutzrechtlicher Sicht ist zudem die von Whisper vorgenommene Speicherung von Standortdaten als besonders kritisch zu bewerten. Es hat bereits eine gewisse Brisanz, dass sich Whisper-Nutzer im Weißen Haus, bei der CIA und der NSA sowie auf der Guantánamo-Bay-Basis auf Kuba finden. Für die Anonymität der Betroffenen ist es allerdings besonders problematisch, dass der Standort auf 500 Meter genau über die GPS-Koordinaten bestimmt wird, wie heise.de meldet. Auf diese Weise ergibt sich ein exaktes Standortprofil des Einzelnen, das aufgrund seiner Individualität sehr deutliche Rückschlüsse auf den Betroffen zulässt und die angebliche Anonymität des Einzelnen gegenüber dem Betreiber der App aufhebt. Neben den ohnehin oft sehr sensiblen Daten, die die Nutzer bewusst bei Whisper posten, erhält der Dienst über die Geo-Profile einen tiefgehenden Einblick in die Aufenthaltsorte und damit über die Gewohnheiten seiner Nutzer. Die Betroffenen werden über die Datensammlungspraxis nur unzureichend informiert und können deshalb nicht einschätzen, wieviel sie tatsächlich über sich preisgeben.

Kategorien: Mobile Business · Social Media · Tracking
Schlagwörter:

Bundesweites massenhaftes Erfassen von Kfz-Kennzeichen

Wie Medien berichten, werden in Deutschland massenhaft Kfz-Kennzeichen gescannt, ohne dass die Fahrer davon wissen.

Der NDR und die Süddeutsche Zeitung wollen erfahren haben, dass Hersteller von Erfassungssystemen rund 80 Campingplätze und allein in diesem Jahr 200 Parkhäuser und Parkplätze mit entsprechenden Systemen ausgerüstet haben.

Die Betreiber von Campingplätzen und Parkhäusern wollen dadurch Missbrauch, zum Beispiel durch Parkmanipulationen auf ihren Geländen verhindern. Der Betreiber des Phantasielandes in Brühl bei Köln setzt ebenfalls ein System ein, um Kennzeichen zu scannen. Laut Geschäftsführer Ralf-Richter Kenter werden aber nur die ein- bis dreistelligen Regionskürzel erfasst, um zu ermitteln, woher die meisten Besucher kämen.

Im Jahr 2008 hat das Bundesverfassungsgericht Polizeibehörden bereits das massenhafte Erfassen und Speichern von Kfz-Kennzeichen untersagt, weil es nicht mit dem Grundgesetz vereinbar sei. Was die Verwendung entsprechender Systeme durch private Betreiber angeht, so gibt es bislang keine einheitliche Regelung. Datenschützer sehen die Verwendung der Systeme durch Private äußerst kritisch. Kennzeichen sind wie andere personenbezogene Daten gesetzlich geschützt. Über diese Daten lassen sich Rückschlüsse auf den Halter ermitteln. Auch liegt keine Einwilligung der Betroffenen vor. In vielen Fällen wissen sie noch nicht einmal, dass ihr Kennzeichen gescannt wird und erst recht nicht, wie lange die Daten gespeichert werden und was darüber hinaus mit ihnen geschieht.

Mehr Sicherheit bei Ortung durch Apps

2. September 2014

Viele Apps haben eine Standortermittlung integriert, die Ortungsdaten der Nutzer speichern. In Deutschland müssen die Betreiber solcher Dienste die Einwilligung der Betroffenen einholen, ihre Standortdaten speichern bzw. verarbeiten zu dürfen. Heise online zitiert in diesem Zusammenhang Bundesjustizminister Heiko Maas (SPD), der die Ortung durch Apps EU-weit regeln und erschweren lassen will.

Auch Verbraucherschützer beklagen, dass Anbieter die gesetzlich geforderte Einwilligung des Verbrauchers in deren Ortung zumeist in ihren Allgemeinen Geschäftsbedingungen „verstecken“. Haas und auch Verbraucherschützer fordern, dass das nötige Opt-in-Verfahren konkretisiert werden müsse, sie müsse transparent und unmissverständlich sein und sie dürfe den Verbrauchern nicht einfach untergeschoben werden, wird ein Sprecher Haas zitiert.

Gemeinsam mit dem Bestreben des Bundesinnenministers Thomas de Maizière (CDU), der die EU-Datenschutzreform zügig vorantreiben will, soll in diesem Zusammenhang auch gleich das Opt-in-Verfahren konkretisiert und verankert werden.

Einsatz von Dashcams teilweise unzulässig

13. August 2014

Im November letzten Jahres berichteten wir an dieser Stelle bereits über datenschutzrechtliche und verfahrensrechtliche Probleme bei der Verwendung von Dashcams. In dem bislang ersten Gerichtsverfahren zu diesem Thema hat gestern das Verwaltungsgericht Ansbach ein Urteil gefällt: Das Aufzeichnen mittels Dashcams verstößt gegen das Datenschutzgesetz und ist somit unzulässig, sofern die Aufnahmen dazu dienen, ins Internet gestellt oder an Dritte – zum Beispiel auch an die Polizei – weitergegeben zu werden, fasst heise online den Tenor des Urteils zusammen.

Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutz, dessen Behörde klagende Partei in dem Verfahren ist, stellt fest, dass es aus datenschutzrechtlicher Sicht allein auf den geplanten Verwendungszweck bei Dashcam-Aufnahmen ankomme. Alexander Walk, Vorsitzender der Kammer konkretisiert beim BR: Aufnahmen, die speziell dafür entstehen, um sie anschließend ins Internet hochzuladen, kollidieren mit den Datenschutzinteressen der unwissentlich mitgefilmten Personen. Deren Interessen sind in solchen Fällen höher zu werten als das Interesse des Autofahrers an einem etwaigen Videobeweises bei einem möglichen Unfall. Dies wäre nämlich ein Fall unzulässiger Vorratsdatenspeicherung.

Die Verwendung von Dashcams ist aber nicht in jedem Fall unzulässig, wie das Gericht weiter ausführt. Handelt es sich bei den Aufzeichnungen um Videos von touristischem Interesse, etwa Landschaftsaufnahmen oder um Aufnahmen, die wie Urlaubsvideos zu werten sind, bei denen zufällig ins Bild laufende Personen ebenfalls aufgezeichnet werden, so liegt kein Verstoß gegen das Datenschutzgesetz vor. Solche Aufnahmen müssen natürlich weiterhin zulässig sein.

Das Gericht hat die Berufung gegen das Urteil wegen der grundsätzlichen Bedeutung zugelassen. Nächste Instanz wäre dann der Bayerische Verwaltungsgerichtshof.

1 8 9 10 11 12