Kategorie: Tracking

Fehlende Anonymität bei Whisper

23. Oktober 2014

Die App Whisper will seinen Nutzern die Möglichkeit geben, anonym über Geheimnisse zu berichten, mit denen ihre Nutzer nicht namentlich in Verbindung gebracht werden wollen. Wie die britische Zeitung The Guardian jetzt berichtet, speichert die App allerdings massenhaft Daten über ihre Nutzer und auch Nachrichten, nachdem diese bereits vom Nutzer gelöscht wurden.

Aus datenschutzrechtlicher Sicht ist zudem die von Whisper vorgenommene Speicherung von Standortdaten als besonders kritisch zu bewerten. Es hat bereits eine gewisse Brisanz, dass sich Whisper-Nutzer im Weißen Haus, bei der CIA und der NSA sowie auf der Guantánamo-Bay-Basis auf Kuba finden. Für die Anonymität der Betroffenen ist es allerdings besonders problematisch, dass der Standort auf 500 Meter genau über die GPS-Koordinaten bestimmt wird, wie heise.de meldet. Auf diese Weise ergibt sich ein exaktes Standortprofil des Einzelnen, das aufgrund seiner Individualität sehr deutliche Rückschlüsse auf den Betroffen zulässt und die angebliche Anonymität des Einzelnen gegenüber dem Betreiber der App aufhebt. Neben den ohnehin oft sehr sensiblen Daten, die die Nutzer bewusst bei Whisper posten, erhält der Dienst über die Geo-Profile einen tiefgehenden Einblick in die Aufenthaltsorte und damit über die Gewohnheiten seiner Nutzer. Die Betroffenen werden über die Datensammlungspraxis nur unzureichend informiert und können deshalb nicht einschätzen, wieviel sie tatsächlich über sich preisgeben.

Kategorien: Mobile Business · Social Media · Tracking
Schlagwörter:

Bundesweites massenhaftes Erfassen von Kfz-Kennzeichen

Wie Medien berichten, werden in Deutschland massenhaft Kfz-Kennzeichen gescannt, ohne dass die Fahrer davon wissen.

Der NDR und die Süddeutsche Zeitung wollen erfahren haben, dass Hersteller von Erfassungssystemen rund 80 Campingplätze und allein in diesem Jahr 200 Parkhäuser und Parkplätze mit entsprechenden Systemen ausgerüstet haben.

Die Betreiber von Campingplätzen und Parkhäusern wollen dadurch Missbrauch, zum Beispiel durch Parkmanipulationen auf ihren Geländen verhindern. Der Betreiber des Phantasielandes in Brühl bei Köln setzt ebenfalls ein System ein, um Kennzeichen zu scannen. Laut Geschäftsführer Ralf-Richter Kenter werden aber nur die ein- bis dreistelligen Regionskürzel erfasst, um zu ermitteln, woher die meisten Besucher kämen.

Im Jahr 2008 hat das Bundesverfassungsgericht Polizeibehörden bereits das massenhafte Erfassen und Speichern von Kfz-Kennzeichen untersagt, weil es nicht mit dem Grundgesetz vereinbar sei. Was die Verwendung entsprechender Systeme durch private Betreiber angeht, so gibt es bislang keine einheitliche Regelung. Datenschützer sehen die Verwendung der Systeme durch Private äußerst kritisch. Kennzeichen sind wie andere personenbezogene Daten gesetzlich geschützt. Über diese Daten lassen sich Rückschlüsse auf den Halter ermitteln. Auch liegt keine Einwilligung der Betroffenen vor. In vielen Fällen wissen sie noch nicht einmal, dass ihr Kennzeichen gescannt wird und erst recht nicht, wie lange die Daten gespeichert werden und was darüber hinaus mit ihnen geschieht.

Mehr Sicherheit bei Ortung durch Apps

2. September 2014

Viele Apps haben eine Standortermittlung integriert, die Ortungsdaten der Nutzer speichern. In Deutschland müssen die Betreiber solcher Dienste die Einwilligung der Betroffenen einholen, ihre Standortdaten speichern bzw. verarbeiten zu dürfen. Heise online zitiert in diesem Zusammenhang Bundesjustizminister Heiko Maas (SPD), der die Ortung durch Apps EU-weit regeln und erschweren lassen will.

Auch Verbraucherschützer beklagen, dass Anbieter die gesetzlich geforderte Einwilligung des Verbrauchers in deren Ortung zumeist in ihren Allgemeinen Geschäftsbedingungen „verstecken“. Haas und auch Verbraucherschützer fordern, dass das nötige Opt-in-Verfahren konkretisiert werden müsse, sie müsse transparent und unmissverständlich sein und sie dürfe den Verbrauchern nicht einfach untergeschoben werden, wird ein Sprecher Haas zitiert.

Gemeinsam mit dem Bestreben des Bundesinnenministers Thomas de Maizière (CDU), der die EU-Datenschutzreform zügig vorantreiben will, soll in diesem Zusammenhang auch gleich das Opt-in-Verfahren konkretisiert und verankert werden.

Einsatz von Dashcams teilweise unzulässig

13. August 2014

Im November letzten Jahres berichteten wir an dieser Stelle bereits über datenschutzrechtliche und verfahrensrechtliche Probleme bei der Verwendung von Dashcams. In dem bislang ersten Gerichtsverfahren zu diesem Thema hat gestern das Verwaltungsgericht Ansbach ein Urteil gefällt: Das Aufzeichnen mittels Dashcams verstößt gegen das Datenschutzgesetz und ist somit unzulässig, sofern die Aufnahmen dazu dienen, ins Internet gestellt oder an Dritte – zum Beispiel auch an die Polizei – weitergegeben zu werden, fasst heise online den Tenor des Urteils zusammen.

Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutz, dessen Behörde klagende Partei in dem Verfahren ist, stellt fest, dass es aus datenschutzrechtlicher Sicht allein auf den geplanten Verwendungszweck bei Dashcam-Aufnahmen ankomme. Alexander Walk, Vorsitzender der Kammer konkretisiert beim BR: Aufnahmen, die speziell dafür entstehen, um sie anschließend ins Internet hochzuladen, kollidieren mit den Datenschutzinteressen der unwissentlich mitgefilmten Personen. Deren Interessen sind in solchen Fällen höher zu werten als das Interesse des Autofahrers an einem etwaigen Videobeweises bei einem möglichen Unfall. Dies wäre nämlich ein Fall unzulässiger Vorratsdatenspeicherung.

Die Verwendung von Dashcams ist aber nicht in jedem Fall unzulässig, wie das Gericht weiter ausführt. Handelt es sich bei den Aufzeichnungen um Videos von touristischem Interesse, etwa Landschaftsaufnahmen oder um Aufnahmen, die wie Urlaubsvideos zu werten sind, bei denen zufällig ins Bild laufende Personen ebenfalls aufgezeichnet werden, so liegt kein Verstoß gegen das Datenschutzgesetz vor. Solche Aufnahmen müssen natürlich weiterhin zulässig sein.

Das Gericht hat die Berufung gegen das Urteil wegen der grundsätzlichen Bedeutung zugelassen. Nächste Instanz wäre dann der Bayerische Verwaltungsgerichtshof.

Was beim Abhören von Telefonaten wirklich gespeichert wird

1. April 2014

Im Rahmen des von Edward Snowden ausgelösten NSA-Skandals wird oft der Begriff der „Metadaten“, insbesondere in Verbindung mit dem Abhören von Telefonaten, gebraucht. Speziell aus Richtung der USA wird der Begriff benutzt, um Kritiker und Bürger in ihren Sorgen zu beschwichtigen. Telefon-Metadaten seien lediglich Informationen darüber, wer mit wem, wie lange und von welchem Ort aus telefoniert. Inhalte, also die Gespräche selber, würden nicht mitgehört, weshalb auch keine Verletzung der Privatsphäre vorliege, so gibt die FAZ Obamas Aussage wieder.

Wie viel Metadaten tatsächlich über den Menschen, von dem sie stammen verraten, hat der IT-Sicherheitsforscher Jonathan Mayer mit seinem Team des Center for Internet and Society der Stanford University (CIS) in einer Studie herausgefunden. Dabei ging Mayer sehr ähnlich vor wie die NSA selbst. Er programmierte eine App, die ähnlich funktioniert wie das System des Geheimdienstes, das bei den umstrittenen Telefonüberwachungen eingesetzt wird, wie die Süddeutsche beschreibt. Dank des selbst geschriebenen Programms in Form einer App konnten die Metadaten der Testpersonen, also wer mit wem, wann, von wo aus und wie lange telefoniert, zunächst gespeichert werden. Daraufhin hat das Forscherteam sich einfachster und öffentlich zugänglicher Quellen bedient, wie Internet-Suchmaschinen, Branchenverzeichnisse, soziale Netzwerke wie Facebook, Google Places und den kostenpflichtigen aber frei zugänglichen Personensuch-Dienst Intelius, dort jeweils recherchiert und mit den gespeicherten Metadaten und ein wenig logischem Denken und Sozialverständnis Rückschlüsse gezogen. Das Ergebnis, so schreibt die Süddeutsche weiter, lag danach bei über 90 % richtig identifizierter Anschlüsse.

Das allein ist schon sehr verblüffend. Bedenkt man, dass eine Organisation wie die NSA über weit aus größere Datensätze und Möglichkeiten verfügt, als Mayer und seinem Team zur Verfügung standen. Wirklich erschreckend aber ist, dass in der gut fünf Monate andauernden Studie mit lediglich 500 Testpersonen, Rückschlüsse auf noch weit sensiblere Informationen ans Tageslicht kamen, als die Forscher zu Beginn der Studie erwartet hatten. Wenn ein Telefonanschluss erst einmal zugeordnet war, ließ sich mittels der Metadaten herausfinden, dass beispielsweise ein Telefongespräch mit einem Fachgeschäft für Schusswaffen, ein anderes mit einem Scheidungsanwalt und wieder andere mit einer Parteizentrale, einer Arztpraxis oder einem Bordell geführt wurden. So konnten den Anschlussinhabern Waffenaffinität, Geschlechtskrankheiten, Affären, Religionszugehörigkeit oder gar Drogenhandel zugeordnet werden.

Wie die FAZ schreibt, geht es bei den Metadaten und ihren Verknüpfungen mit anderen Daten aber auch um den Unterschied zwischen Wahrheit und Lüge. Es sei entscheidend, in welche Richtung man die Informationen auswertet und insbesondere wie man sie soziologisch interpretiert. Daten und Informationen können nicht nur absichtlich falsch in Umlauf gebracht oder gar manipuliert werden. Sie können auch in ihrem Inhalt unterschiedlich gedeutet werden, was zu völlig falschen Rückschlüssen der einzelnen Personen, deren Lebensumstände oder Sozialstrukturen führen kann.

Nach noch unbestätigten Medienberichten der Washington Post setzt die NSA seit 2011 auch ein Programm zur Telefonüberwachung namens „Mystic“ ein, das in der Lage ist die gesamte Kommunikation eines Landes abzuhören. Telefonate würden für 30 Tage gespeichert und könnten in dieser Zeit vom Geheimdienst angehört werden. Bei Bedarf werden die Inhalte auch länger gespeichert.
Doch auch ohne die Speicherung des Inhalts der Gespräche, erhält die NSA über die reinen Verbindungsdaten mehr Informationen, als auf den ersten Blick ersichtlich.

Datenschutz im Kfz

4. Februar 2014

Vor kurzem berichteten wir an dieser Stelle über das Thema „Was mein Auto über mich weiß – Datenschutz im Automobil“ . Nun wurde die Problematik auch beim 52. Deutschen Verkehrsgerichtstag 2014 (52. VGT)  in der vergangenen Woche in Goslar diskutiert.

In der Empfehlung des Arbeitskreises VII fordern Experten, dass sowohl Fahrzeughersteller als auch bestimmte weitere Dienstleister den Käufer umfassen und verständlich in dokumentierter Form informieren müssen, welche Daten in welcher Form, an welcher Stelle und zu welchem Zweck verarbeitet und übermittelt werden. Fahrzeughalter und Fahrer sollen technisch und rechtlich in der Lage sein, die Datenübermittlung zu kontrollieren und bei Bedarf auch ausschalten zu können. Auch sollen die Zugriffsrechte der Strafverfolgungsbehörden und Gerichte so geregelt werden, dass grundrechtliche und strafprozessrechtliche Schutzziele nicht unterlaufen werden.

Kategorien: Allgemein · Online-Datenschutz · Tracking
Schlagwörter: ,

Stellungnahme des Bundesrates zu eCall: Datenschutzrechtliche Bedenken

25. September 2013

Medienberichten zufolge hat der Bundesrat am vergangenen Freitag eine Stellungnahme zum Auto-Notrufsystem eCall verabschiedet.

eCall steht für Emergency Call und ist ein für Kraftfahrzeuge von der EU geplantes Notrufsystem. Es soll ab 2015 in allen neuen Autos vom Hersteller eingebaut werden. Das System löst im Falle eines Unfalls automatisch einen Notruf an eine europäisch einheitliche Notrufnummer aus und übermittelt einen Minimaldatensatz (u.a. Koordinaten des Unfallortes, Zeit, Fahrzeug-ID) an eine Unfallzentrale. Dadurch soll Hilfe schneller eintreffen und die Zahl der Unfalltoten und Verletzten deutlich minimiert werden. eCall wird auch vom ADAC unterstützt.  ADAC-Experte Thomas Strobl betont, dass bei eCall nicht nur die technische Umsetzung wichtig sei, sondern – da es sich hierbei um eine Datenübermittlung handelt – auch der Datenschutz gewahrt werden müsse.

Über den Minimaldatensatz hinaus können auch weitere umfangreiche Informationen übermittelt werden. Diese können insbesondere für Versicherer und Fahrzeughersteller wertvoll sein. Der Bundesrat verlangt, dass insbesondere für solche zusätzlichen Daten eine konkrete Regelung getroffen werden müsse.

Als Starttermin für eCall ist Oktober 2015 gesetzt. Heise.de zufolge beklagt der Bundesrat die Einführungsfrist und glaubt nicht, dass diese realistisch eingehalten werden könne, da wichtige technische Rahmenbedingungen noch gar nicht vorlägen und ohne diese keine Ausschreibungen für entsprechende Leitstellentechnik getätigt werden könne. Der Bundesrat erwarte ebenfalls eine Regelung darüber, wie die Kosten der durch eCall zusätzlich eingehenden und zu verarbeitenden Notrufe getragen werden.

Kategorien: Allgemein · Internationaler Datenschutz · Tracking
Schlagwörter: ,

Tauziehen um Do Not Track Ansatz geht weiter

22. Juli 2013

Mit einem im Juni eingereichten Änderungsvorschlag versuchte die DAA (Digital Advertising Alliance) einmal mehr die Entwicklung des Do Not Track Standards durch dasW3C (Standardisierungsgremium für das Worl Wide Web) im Sinne der Online-Werbewirtschaft zu beeinflussen. Dabei wurde unter anderem eine enge Definition des Tracking Begriffs sowie ein Ampelsystem zu internen Behandlung von Daten, die durch Tracking gesammelt wurden, vorgeschlagen.

Die Tracking Protection Working Group des W3C hat dem Angebot der Werbewirtschaft jedoch eine Absage erteilt und führt aus, dass der DAA Vorschlag

  • das DNT Signal nicht nutze, um einen Do Not Target oder Do Not Collect Ansatz zu verwirklichen.
  • keine deutliche Verbesserung des Status Quo darstelle.
  • das Retargeting und die Profilbildung wie bisher fortführe und sich einzig Auswirkungen auf die Handhabung der Daten durch die Werbewirtschaft habe.

Damit bleibt abzuwarten, ob und wie der Standardisierungsprozess fortschreitet.

Kategorien: Tracking
Schlagwörter: , ,

Amazons 1Button App übermittelt gesamtes Surfverhalten der Nutzer

15. Juli 2013

Amazons 1Button App, welche es als Erweiterung für Firefox und Chrome gibt, bietet direkten Zugriff auf die Amazon-Suche und zeigt Angebote und Topseller übersichtlich an.

Doch das ist nicht alles, was das Programm kann! Wie wahrscheinlich kaum ein Nutzer weiß, übermittelt die Erweiterung sämtliche aufgerufenen Websites nicht nur an Amazon selber, sondern teilweise auch an den Webstatistik Dienst Alexa, welcher zum Amazon Konzern gehört. Wie der der polnische Sicherheitsfachmann Krzysztof Kotowicz herausgefunden hat, werden dabei sogar die URLs von verschlüsselten HTTPS-Verbindungen an die Amazon-Server übertragen.

In den Datenschutzbestimmungen zur App findet sich zu diesem Verhalten folgender Passus: „The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you.Dem Wortlaut nach ist also nur von Sammeln, nicht aber von Übermitteln die Rede. Auch die Angabe, dass die übermittelten Daten nicht mit dem Amazon-Account verbunden werden oder zur Identifizierung genutzt werden, scheint fragwürdig, weil Amazon bei der Übermittlung das gleiche Cookie verwendet, wie auch zur Identifikation der Nutzer im Onlineshop.

Doch damit nicht genug: Amazon überträgt von bestimmten Seiten sogar die Inhalte an die eigenen Server. So werden beispielsweise die über eine verschlüsselte HTTPS-Verbindung aufgerufenen Ergebnisse einer Google-Suche an Alexa übertragen. In Bezug auf diese Übermittlung an Alexa finden sich folgende Angaben in den Datenschutzbedingungen: „In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user.“ Damit gibt Amazon recht unverhohlen zu, dass durch die Übermittlung einzelne Nutzer identifizierbar sind. Die übermittelten Daten enthalten dabei nicht nur identifizierende Merkmale, sondern auch sämtliche URL-Parameter wie Session-IDs, die zumindest theoretisch dazu genutzt werden können, die Identität des Nutzers gegenüber den besuchten Webdiensten zu übernehmen.

Der “Prism“-Überwachung entgehen

11. Juni 2013

Medienberichten zufolge, spioniert der US-Geheimdienst NSA Internet-Firmen wie Google, Facebook, Microsoft, Apple, Yahoo und Co. im Rahmen eines Programms mit dem Namen „PRISM“ aus. Dabei gehe es um eine Fülle an Informationen wie etwa E-Mails, Fotos, Videos, Chats und andere gespeicherte Daten. Hierdurch könnten Aktivitäten von Personen über längere Zeiträume hinweg verfolgt werden.
Um einer „Totalüberwachung“, wie der Bundesdatenschutzbeauftragte Peter Schaar sie nannte, zu entgehen, sollten Internetnutzer alternative Dienste nutzen, die – nach aktuellem Wissensstand – nicht überwacht werden. Berichten zufolge sei das Angebot bei den E-Mail-Diensten groß, da deutsche Unternehmen wie die Telekom, web.de oder GMX, dem strengen deutschen Datenschutzrecht unterlägen. Zur Auswahl stünden zudem Twitter für den Bereich der sozialen Netzwerke, ixquick.com (bzw. www.startpage.com) als Suchmaschinen,  openstreetmap.de als Kartendienst, zum Speichern und Teilen seien das Angebot der Telekom oder jenes von wuala.com zu beachten.

1 5 6 7 8