Kategorie: Tracking

Datenschutz wird durch Lebensmittel-Lieferdienste verletzt

12. März 2018

Foodwatch Deutschland testete mehrere Lebensmittel-Lieferdienste (u.a. Amazon Fresh, Allyouneedfresh, Mytime).

Dabei wurde deutlich, dass viele Lieferdienste zur Verarbeitung der Bestellung die Angabe nicht erforderlicher Daten verlangten, wie z.B. das Geburtsdatum. Das Geburtsdatum ist lediglich bei Bonitätsprüfungen (bei Zahlung auf Rechnung) oder beim Kauf von Alkoholika notwendig.

Auch die Kontrolle der Shops durch Kontrollbehörden wird als mangelhaft angesehen. „Im Onlinehandel besteht ein echtes Kontrolldefizit, weil die Lebensmittelüberwachung nicht zeitgemäß aufgestellt ist. Die kommunal und offline organisierten Kontrollbehörden sind noch nicht im globalen Online-Zeitalter angekommen. Die zuständigen Lebensmittelkontrolleure schaffen es schlichtweg nicht, neben dem Bäcker vor Ort auch noch die großen Online-Supermärkte und die unzähligen Nischenanbieter im Internet zu kontrollieren, die zufällig ihren Sitz in diesem Ort haben.“ , sagte Martin Rücker, Geschäftsführer foodwatch Deutschland.

Außerdem benutzen die Lieferdienste bis auf Allyouneedfresh  eine hohe Anzahl von Trackern, oft völlig unbemerkt. Damit sammeln sie ohne Wissen des Nutzers Informationen über das Nutzerverhalten.

Es besteht mithin ein großer Bedarf an datenschutzrechtlichen Maßnahmen sowie an Kontrollmaßnahmen bei den Lebensmittel-Lieferdiensten.

 

 

WhatsApp Update – Live Standort

20. Oktober 2017

Whatsapp bringt wieder eine Neuerung für seinen Messenger raus – den Live Standort.

Demnächst soll es für Whatsapp-User möglich sein mit ihren Freunden in Echtzeit ihren Standort zu teilen und somit verfolgen zu lassen. Die Freigabe des Live Standorts an die Freunde aus der Kontaktliste erfolgt dabei freiwillig und nicht ohne Einwilligung des Benutzers. Um den Live Standort mitteilen zu können muss der Benutzer der App diesen aktiv an seine Freunde senden. Danach erscheint der Standort für eine ausgewählte Zeit auf einer Karte. Benutzer von Whatsapp können zum Beispiel gucken ob die Person, mit der sie sich treffen wollen bereits auf dem Weg zum vereinbarten Treffpunkt ist oder gesund zu Hause angekommen ist.

Neu ist diese Funktion jedoch nicht. Facebook, das Unternehmen hinter Whatsapp, eröffnete seinen Nutzern bereits Anfang diesen Jahres eine solche Funktion. Auch der Messengerdienst Snap Chat fügte eine solche Funktion benannt als “Snap Map” seiner App hinzu.

Whatsapp argumentiert dabei mit der Nützlichkeit dieser Funktion, wohingegen Datenschützer das ganze Vorhaben als sehr bedenklich erachten, da Standortdaten eine der persönlichsten Daten eines Smartphone-Nutzers sind.

Die Empfehlung ist daher nicht allen Apps zu erlauben die Standortnutzung zu aktivieren und den Ortungsdienst des Smartphones abzuschalten wenn er nicht aktiv benutzt wird.

Um dem Datenschutz trotzdem seinen Tribut zu zollen nutzt Whatsapp eine Ende-zu-Ende-Verschlüsselung, damit den Benutzern eine “sichere” Übermittlung gewährleistet werden kann.

Kategorien: Social Media · Tracking
Schlagwörter: ,

E-Privacy Verordnung aus Sicht von Politik und Wirtschaft

20. September 2017

Im Mai 2018 tritt neben der europäischen Datenschutzgrundverordnung (DSGVO) auch die sog. E-Privacy-Verordnung in Kraft. Sie ergänzt die DSGVO in Hinsicht auf elektronische Kommunikation. Bereits im Januar berichteten wir über den Entwurf der E-Privacy-Verordnung (“Proposal for a Regulation on Privacy and Electronic Communications“, offizieller Entwurfstext) vom 10. Januar 2017.
Im März stellten wir das Wesen, den Anwendungsbereich und wesentliche Neuerungen (z.B. bei Cookies) in einem weiteren Beitrag zur E-Privacy-Verordnung dar.

Ein zentraler Regelungsbereich der E-Privacy-Verordnung betrifft Cookies. Zukünftig sollen die für Verbraucher störenden und für Webseitenbetreiber unansehnlichen Cookie-Warn-Banner obsolet werden.
Mozilla Firefox, Google Chrome oder der Internet Explorer holen ab Mai 2018 die Einwilligungen für das Erheben der Browserdaten ein – und zwar durch “benutzerfreundliche Voreinstellungen” im Einklang mit den DSGVO-Grundsätzen Privacy by Design und Privacy by Default.
Führende Verlage Deutschlands, so DIE ZEIT, die Süddeutsche und die F.A.Z., äußerten sich kritisch gegenüber der geplanten Cookie-Einstellungen im Browser, wie wir im Mai schilderten. Die Neuregelung begünstige US-Konzerne zu Lasten des Werbefinanzierungsmodells im Nachrichtenmarkt.

Auf der Privacy-Konferenz des Digitalverbands Bitkom am 19. September äußerten sich Vertreter aus Wirtschaft und Politik zur Thematik. Jan Philipp Albrecht, stellvertretender Vorsitzender für Inneres und Justiz der Grünen im EU-Parlament, betonte die Notwendigkeit eines Europäischen Binnenmarkts für elektronische Kommunikation. Die Politik stehe in der Pflicht, nachdem die bisherige Cookie-Einwilligung und Do-Not-Track gescheitert seien. Er begrüßte die geplanten Browser-Voreinstellungen für Cookies grundsätzlich, soweit sie datenschutzfreundlich ausgestaltet werden. Auch Lokke Moerel von der Kanzlei Morrison & Foerster begrüßte die Cookie-Einwilligung durch Browsereinstellungen und fordert vom Gesetzgeber lange Umsetzungsfristen für die Browseranbieter. Da große Datenmengen in der Hand weniger US-Browseranbieter seien, schlug Dirk Woywod von der Bundesdruckerei eine Zertifizierung der Browser vor. Jan Lichtenberg von der Deutschen Telekom bemängelte das Fehlen von Möglichkeiten zur Pseudonymisierung im E-Privacy-Entwurf.

Es bleibt abzuwarten wie die endgültige Fassung der E-Privacy-Verordnung aussehen wird. Das Tracking von Nutzerdaten ist und bleibt ein wichtiges Thema nicht nur für den E-Commerce, da es jeden Webseitenbetreiber betrifft. Bei Neuigkeiten werden wir Sie gerne an dieser Stelle informieren.

 

Uber überwachte Fahrgäste über das Fahrtende hinaus

31. August 2017

Der Taxidienst Uber hat seine Nutzer mit dem sogenannten Post-Trip-Tracking bis zu fünf Minuten nach Fahrtende via GPS überwacht.

Uber ist im Moment dabei sein Image was den Datenschutz angeht aufzupolieren. Im Zuge dessen wird seit dieser Woche eine Maßnahme nicht mehr genutzt. Mit dem Post-Trip-Tracking konnte Uber noch fünf Minuten nach der Fahrt sehen wohin sich der gerade ausgestiegene Fahrgast bewegt.

Die Begründung des Unternehmens, welche auf massive Kritik folgte, ist, dass sichergestellt werden sollte, dass die Fahrgäste auch wirklich an ihrem Ziel ankommen und nicht überfallen werden. Wie ein solcher Überfall hätte verhindert werden sollen, wenn es dazu gekommen wäre, wird von Uber nicht beantwortet.

Bis zum Update war es so, dass Uber den Fahrgast via GPS auch tracken konnte, wenn die App nur im Hintergrund lief, um dies zu verhindern musste die Anwendung komplett geschlossen werden. Seit dieser Woche wird die GPS-Position nur noch erfasst, wenn die Anwendung im Vordergrund ist.

Allerdings bedeutet das nicht, dass es zukünftig dabei bleibt. Bis November letzten Jahres bestand die Möglichkeit das GPS-Tracking im Hintergrund durch App-Einstellungen zu unterbinden, diese Möglichkeit wurde durch ein Update entfernt und es kam zu dem Zustand wie er bis zu diesem Update herrschte. Der Sicherheitschef von Uber Joe Sullivan hat jedoch gegenüber Reuters klargestellt, dass es zu einem Hop oder Top wie zuletzt nicht mehr kommen werde, sondern das wieder der Nutzer entscheiden kann, ob er das Post-Trip-Tracking aktiviert, wenn es eine erneute Änderung diesbezüglich gibt.

Das Update wird zunächst nur für iPhone-Nutzer verfügbar sein. Ein Update für Android-Nutzer soll zeitig folgen.

Kategorien: Tracking
Schlagwörter: ,

ePrivacy-Verordnung: Verlage wehren sich gegen Cookie-Banner im Browser

30. Mai 2017

In Ergänzung zur EU-Datenschutzgrundverordnung (DSGVO), wird 2018 die ePrivacy-Verordnung in Kraft treten. Dabei sollen nach dem mit der DSGVO eingeführten Privacy-by-Design-Grundsatz, die Cookie-Banner nach der EU-Kommission zukünftig nicht mehr auf jeder Website, sondern in den Browsern auftauchen. Privacy-by-Design soll die Berücksichtigung des Daten- bzw. des Persönlichkeitsrechtsschutzes bereits in der Phase der Technikentwicklung sicherstellen. Browser-Hersteller müssen demnach alle technischen Voreinstellungen Privatsphäre-freundlich ausgestalten. Damit erfolgt die Einwilligungserklärung der Nutzer zur Datenerhebung zukünftig zentral.

Deutschlands führende Verlage äußerten sich in einem offenen Brief an das EU Parlament kritisch gegenüber dieser neuen Regelung, denn sie befürchten damit keinen Zugriff mehr auf die für ihr Geschäft notwendigen Nutzerdaten zu haben. Zudem, so argumentieren u.a. die Zeit, die Süddeutsche und die F.A.Z., würden die neuen Regelungen die browsermarktführenden US-Internetkonzerne wie Google, Apple oder Microsoft weiterhin begünstigen. Diese bekämen noch mehr Einfluss auf den Nachrichtenkonsum der Verbraucher und auf das ob und wie der Zugriffsfreigabe von Verbraucherdaten gegenüber den Verlagen. Damit besteht zudem die Gefahr, dass der Nutzer die Kontrolle über seine Daten zunehmend verliert womit ein Verstoß gegen das datenschutzrechtliche Transparenzgebot vorliegt.

Darüber hinaus kann der Regelungsentwurf zu Lasten des digitalen Nachrichtengeschäftes dazu führen, dass kaum noch Nutzer dem Datentransfer zustimmen. Soweit die Verlage nicht mehr auf sogenannte Third-Party-Cookies zugreifen können, kann außerdem die Möglichkeit der Verlage, den Nutzern relevante Inhalte und Werbung anzuzeigen, und damit das Werbefinanzierungsmodell von Nachrichten, behindert werden.

Auch aus Datenschutzkreisen wird der neue Regelungsentwurf kritisiert. So monierten die Datenschützer der Artikel-29-Gruppe, dass mit dem neuen Regelungsentwurf der Einwilligungserklärung der Nutzer nach vorheriger Belehrung entgegen gewirkt werde. Die Datenschützer setzten sich dafür ein, unterschiedliche Tracking-Ziele gesondert freischalten zu lassen. Demnach würden z.B. die für Werbung genutzten Daten, von solchen Daten, die der Navigationsverbesserung auf Websites dienen, getrennt werden.

Französische Datenschutzbehörde verhängt Strafe gegen Facebook

17. Mai 2017

Wegen der “massiven Kombination” von Nutzerdaten, der nicht widersprochen werden kann, hat die französische Datenschutzaufsichtsbehörde CNIL gegen Facebook eine Strafe in Höhe von 150.000 Euro verhängt. Damit meint die CNIL die Praxis von Facebook, die Daten der Nutzer so zu verknüpfen, dass diese gezielt mit Werbung angesprochen werden können, ohne das sich der Nutzer hiergegen wehren kann. Auch die Möglichkeit des Nutzers, dem Tracking durch Cookies zu widersprechen gäbe es nicht.

Nach Ansicht der französischen Datenschutzaufsichtsbehörde sei auch die Datenschutzerklärung nur ungenügend. So informiere Facebook die Nutzer nur unzureichend darüber, dass es auf anderen Webseiten Daten zum Surfverhalten selbst von solchen Internetnutzern sammle, die kein Konto bei dem Online-Netzwerk haben. Ferner hole das Social-Media-Unternehmen nicht die ausdrückliche Einwilligung seiner Nutzer ein, wenn diese in ihrem Profil sensible Daten, wie z.B. zu politischen und religiösen Einstellungen oder zur sexuellen Orientierung angeben.

Zur verhängten Strafe kam es erst, nachdem die CNIL Facebook im Januar 2006 aufgefordert hatte, sich an die geltenden französischen Vorschriften zu halten, Facebook dieser Forderung aber nicht innerhalb der vorgesehenen drei Monate in zufriedenstellendem Maße nachkam. Dabei ist zu beachten, dass die Strafe in Höhe von 150.000 Euro die höchstmögliche Strafe ist, die die CNIL verhängen kann. Gegen die Strafe kann Facebook innerhalb von vier Monaten Einspruch beim Staatsrat, dem obersten Verwaltungsgericht Frankreichs, einlegen.

Das Verfahren und die nun verhängte Strafe ist Teil von gemeinsamen Untersuchungen des Datenschutzes bei Facebook der Datenschutzbehörden Frankreichs, Deutschlands, der Niederlande, Belgiens sowie Spaniens. Im November 2014 hatte Facebook angekündigt, seine Datenschutzrichtlinien und dem Umgang mit den Cookies zu überarbeiten. Daraus resultierte unter anderem, dass Nutzerdaten zwischen WhatsApp und Facebook nicht ausgetauscht werden dürfen.

 

Google bietet persönliche Standortfreigabe in Echtzeit an

28. April 2017

Google bietet seinen Nutzern eine neue Funktion des Live-Trackings an. Danach kann der Nutzer über Google Maps seinen aktuellen Standort in Echtzeit mit von ihm vorher ausgewählten Kontakten auf dem Smartphone oder dem PC teilen.

Aus datenschutzrechtlicher Perspektive ist das Abrufen der Standortdaten in Echtzeit, welche personenbezogene Daten nach dem Bundesdatenschutzgesetz (BDSG) darstellen, kritisch zu betrachten. Um eine Vereinbarkeit mit den Bestimmungen des BDSG zu erzielen, müsste der betroffene Nutzer vor Datenerhebung grundsätzlich darüber informiert werden, welche konkreten personenbezogenen Daten erhoben, gespeichert und für welche Zwecke genau verarbeitet werden. Auch muss den Nutzern die jederzeitige und einfach zu handhabende Löschung seiner  erhobenen personenbezogenen Daten ermöglicht werden.

Der Nutzer des Live-Trackings kann genau einstellen, welche Personen aus seiner Kontaktliste die Standortangaben angezeigt bekommen und den konkreten Zeitraum für die Freigabe festlegen sowie die Übermittlung jederzeit wieder deaktivieren. Die damit angebotene, zielgerichtete Freischaltung des Nutzers gegenüber einer bestimmten Person kann somit als Einwilligung in die Übermittlung der personenbezogenen Standortdaten angesehen werden. Zudem zeigt ein Symbol auf der eigenen Google Maps Karte dem Nutzer an, dass er seinen Standort gerade aktiv mit seinen Kontakten teilt.

Trotz dieser teilweisen datenschutzrechtlichen Konformität, ist davon asuzugehen, dass Google die zusätzlichen Datenangaben der Nutzer im Hinblick auf Sucheingaben nach Restaurants, Geschäften u.s.w. auswerten wird, um sein eigenes Angebot zu erweitern. Denn anhand von Standortdaten und Nutzerverhalten lassen sich immer mehr Informationen über den Nutzer gewinnen. Ob diese Anhäufung personenbezogner Daten von der Einwilligung des Nutzers im Rahmen von Googles Nutzungsbedingungen umfasst ist, bleibt daher stark zu bezweifeln.

Neue Regelungen zur Vorratsdatenspeicherung widersprechen europarechtlichen Vorgaben

6. Februar 2017

Wie die Mitteldeutsche Zeitung (MZ) berichtet kommt ein Gutachten des Wissenschaftlichen Dienstes des Bundestages, welches der Zeitung vorliegt, zu dem Ergebnis, dass die neuen Regelungen zur Vorratsdatenspeicherung, welche Ende 2015 in Kraft traten, nicht mit europarechtlichen Vorgaben vereinbar sind.

Europarechtlich sind die Regelungen nicht haltbar, weil sie gegen Vorgaben des Europäischen Gerichtshofs (EuGH) verstoßen. Wie der EuGH jüngst wieder bekräftigte ist die Speicherung von Vorratsdaten nur bei Vorliegen einer schweren Straftat zulässig und nicht vorbehaltlos, wie das Gesetz es vorsieht.

Laut hiesigem Gesetz müssen Zugangsanbieter Verbindungsinformationen zehn Wochen und Standortdaten vier Wochen speichern und zwar von allen Nutzern, es entsteht ein Generalverdacht gegen jeden. Lediglich E-Mails werden nicht gespeichert.

Anderer Meinung ist Bundesjustizminister Heiko Maas (SPD) der fortlaufend betonte, dass die Regelungen der höchstrichterlichen Rechtsprechung vollumfänglich gerecht werden.

Die Gegner der Vorratsdatenspeicherung befürchten einen unverhältnismäßigen Eingriff in die Grundrechte. Es wurden bereits Verfassungsbeschwerden gegen die neuen Regelugen eingereicht in der Hoffnung, dass das Bundesverfassungsgericht auch dieses Mal den Bedenken zustimmt und hohe Maßstäbe für die Vorratsdatenspeicherung anlegt, sodass ein Gang zum EuGH vermieden werden kann.  In der Vergangenheit wurden durch die Speicherungsgegner bereits mehrere Verfassungsbeschwerden erhoben und das Vorgängergesetz wurde vom Bundesverfassungsgericht als verfassungswidrig gekippt.

Datenschutz bei Wearables mangelhaft

7. Dezember 2016

Datenschutzaufsichtsbehörden aus Bayern, Brandenburg, Hessen, Niedersachsen, Nordrhein-Westfalen und Schleswig-Holstein sowie die Bundesdatenschutzbeauftragte haben sog. Wearables einer besonderen Prüfung unterzogen.

Das Ergebnis: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Insbesondere wurden Geräte wie Fitness-Armbänder oder Activity-Tracker, die Körperaktivitäten wie Schrittzahl, Herzfrequenz, Schlafrhythmus oder Körpertemperatur erfassen, unter die Lupe genommen. Wie aus einer gemeinsamen Pressemitteilung der Aufsichtsbehörden hervorgeht, wurde vor allem überprüft, welche Daten die Wearables erheben und ob die Daten an Dritte weitergegeben werden sowie die Gewährleistung von Auskunfts- und Löschungsansprüche durch den Anbieter. Im Einzelnen fanden sie dabei heraus, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen, wobei unklar bliebe, was dort mit den Daten im Einzelnen geschehe. Ferner erfüllen bereits die Datenschutzbestimmung meistens nicht die gesetzlichen Anforderungen, d. h. die Nutzer werden über Funktionalität der Geräte und Umfang der Datenverarbeitung gar nicht ausreichend informiert. Die Unsicherheit endet auch nicht bei Verkauf oder Verlust des Geräts, denn viele Geräte bieten keine Möglichkeit, Daten selbstständig vollständig zu löschen. Auch sei unklar, wie lange die Daten bei Hersteller oder Betreiber gespeichert werden.

Die Aufsichtsbehörden kündigten nun an, innerhalb ihrer Zuständigkeiten die Hersteller aufzufordern, die Mängel zu beseitigen.

Browser-Plugins protokollieren Surfverhalten

23. November 2016

Installierte Browser-Plugins (auch Add-ons genannt) wie Web of Trust und Proxtube protokollieren das Surfverhalten von Anwendern, um die gesammelten Daten anschließend zu verkaufen. Diese Daten können die intimsten Seiten eines Nutzers aufdecken und sind für die Werbeindustrie hoch interessant, um dem Surfer maßgeschneiderte Werbung zu präsentieren.

Zuerst ist das Add-on Web of Trust als Datenschutzrisiko entdeckt worden. Web of Trust war ein Add-on, dass das Surfen sicherer machen sollte. In den Datenschutzrichtlinien des Unternehmens wurde auf das Sammeln von Daten und die Weitergabe an Dritte hingewiesen und mitgeteilt, dass die Daten anonymisiert werden. Dies ist jedoch, wie der NDR schon Anfang des Monats aufdeckte, nicht der Fall. Nach Aufdeckung der Missstände ist Web of Trust inzwischen aus dem Plugin-Verzeichnis von Mozilla verschwunden, sodass diesbezüglich keine Gefahr mehr besteht.

Proxtube hingegen gibt es immer noch. Proxtube ist dafür da, die GEMA-Sperre bei Youtube-Musikvideos zu umgehen. Ob jeder Schritt des Nutzers dokumentiert wird oder ob dafür eine bestimmte Konfiguration erforderlich ist, ist bisher nicht abschließend geklärt.

Was kann der Nutzer tun? Grundsätzlich können installierte Add-ons gelöscht werden, das ist nicht nur vorteilhaft um dem Datenausspähen entgegen zu wirken, sondern durch jedes Add-on wird auch der Browser verlangsamt. Bezüglich Proxtube ist zu sagen, dass mit Beilegung des Rechtsstreits zwischen der GEMA und Youtube und der daraus folgenden Abschaffung der GEMA-Sperre, für das Plugin ohnehin kein Bedarf mehr besteht. Der Anwender sollte sich vor Installation eines Add-ons also die Fragen stellen, ob es wirklich benötigt wird und wie sich kostenlose Dienste finanzieren.

1 6 7 8 9 10 12