IPhone: Sperrbildschirm erlaubt Zugriff auf Kontakte und Fotobibliothek

18. November 2016

Nicht zum ersten Mal ist es möglich, vom Sperrbildschirm aus auf private Daten der iOS-Nutzer zuzugreifen. Ähnliche Probleme traten bereits bei der Einführung von iOS 9 auf.

Aktuell betroffen sind die Versionen ab iOS 8 aufwärts, ebenfalls die Beta 3 von der Version 10.2.

Ein Video zeigt, wie der aufwändige Vorgang durchgeführt werden muss, um den Sperrcode des IPhones zu umgehen. Die Übergehung des Sperrcodes beginnt mit dem Aufruf von Siri und erfordert noch einige weitere Schritte (eine genaue schriftliche Erklärung der Vorgehensweise findet sich hier). Durch diesen Trick kann Zugriff auf das Adressbuch, inklusive Detailansicht aller Kontakte erlangt werden. Aufgrund der Option des Anlegens neuer Kontakte, bei der auch ein Foto hinzugefügt werden kann, wird der Zugriff auf die Fotobibliothek erlaubt. Das IPhone ist während des gesamten Vorgangs weiterhin gesperrt. Die Sperrcodeeingabe bzw. das Betätigen des Fingerabdrucksensors ist nicht erforderlich, um die Daten preiszugeben.

Die Vergangenheit zeigt, dass solche Einfallstore von Apple innerhalb kürzester Zeit beseitigt werden. Somit ist auch in diesem Fall mit einem schnellen Update zu rechnen, welches den widerrechtlichen Zugriff beendet.

Nutzer können den Zugriff auf ihre persönlichen Daten auch selbst unterbinden und müssen nicht auf eine Reaktion seitens Apple warten. Dafür ist es nötig, dass sie in den iOS-Einstellungen den Punkt “Touch ID & Code“ öffnen und dort die Auswahl Siri und Mit Nachricht antworten deaktivieren.

Kategorien: Allgemein
Schlagwörter: ,

Merkel und Dobrindt wollen die gesetzlich verankerte Datensparsamkeit abschaffen

Im Zusammenhang mit dem IT-Gipfel 2016, welcher vom 16.- 17.11.2016  in Saarbrücken stattfand, äußerten sich sowohl Bundeskanzlerin Angela Merkel als auch Infrastrukturminister Alexander Dobrindt kritisch zum Thema Datensparsamkeit.

Der Grundsatz der Datensparsamkeit ist nicht nur im Bundesdatenschutzgesetz (BDSG) geregelt, sondern wurde auch in der neuen EU-Datenschutzgrundverordnung (DS-GVO) als ein Grundpfeiler des Datenschutzrechts festgelegt.

Wie heise.de berichtet fordern Merkel und Dobrindt, dass der Grundsatz der Datensparsamkeit abgeschafft wird. Einigkeit besteht darüber, dass eine Neugestaltung des Datenschutzes erforderlich ist, um die wirtschaftliche Weiterentwicklung voran zu treiben. Angela Merkel äußerte sich auf dem IT-Gipfel am Donnerstag zum Thema Datensparsamkeit und läutete gleichzeitig die Alarmglocken wegen eines lähmenden Datenschutzes. Ihr Lösungsvorschlag sieht anstatt präventiver Verbote einen Korridor für die IT-Branche vor. Zudem soll die Gesetzgebung, durch trial and error flexibler gestaltet werden. Die Bestrebungen der Kanzlerin umfassen auch das Sammeln von Bürgerdaten auf einer zentralen Plattform, ähnlich wie es für die Flüchtlinge durchgeführt wird.  Vergleichbare Aussagen finden sich auch in Alexander Dobrindts Strategiepapier für eine “digitale Agenda 2017+“. Es soll ein Datenreichtum anstrebt werden, welcher Unternehmen helfen soll die digitale Welt besser zu fördern und zu vermarkten, dafür ist eine Lockerung der momentanen Gesetzgebung zum Datenschutz erforderlich. Zudem sollen für dieses Ziel das Wettbewerbs- und Kartellrecht angepasst werden, damit auch deutsche Unternehmen zu großen Digitalkonzernen werden, die weltweit mitspielen können.

Die Aussagen von Merkel und Dobrindt finden in der CDU/CSU-Bundestagsfraktion Anklang. Auch Bundeswirtschaftsminister Sigmar Gabriel äußerte sich in einem Beitrag für die Welt ähnlich. Jedoch kommt auch negative Kritik auf. Peter Schaar, Ex-Bundesdatenschutzbeauftragter befürchtet, dass das Datenschutzniveau bezüglich personenbezogener Daten weiter abnimmt und mahnt, dass wirtschaftlicher Reichtum nicht auch Datenreichtum erfordert.

Es bleibt abzuwarten, ob weiterhin Datensparsamkeit angestrebt wird oder ob Datenreichtum zum neuen Prinzip wird.

Kritik an der Ausweitung der öffentlichen Videoüberwachung

Als Reaktion auf die Gewalttat in München, den Bombenanschlag in Ansbach und die Axt-Attacke in Würzburg kündigte Bundesinnenminister Thomas de Maizière in diesem Jahr eine Ausweitung der Videoüberwachung an öffentlichen Orten an. Hierdurch solle die Sicherheit der Bevölkerung „insbesondere in Sport-, Versammlungs- und Vergnügungsstätten, sowie Einkaufszentren und im öffentlichen Personennahverkehr“ erhöht werden.

Gegen dieses Vorhaben meldete sich nun der frühere Bundesdatenschutzbeauftragte Peter Schaar zu Wort.

In seiner im November veröffentlichten Stellungnahme kritisiert Schaar, dass durch die Videoüberwachung größtenteils Personen erfasst würden, „von denen keine Gefahr für die öffentliche Sicherheit ausgeht und die keine Straftaten begangen haben“.

Er bezweifelt, inwiefern eine Erhöhung der Videopräsenz die Sicherheit der Bevölkerung gewährleiste. Vielmehr würden die Videoaufzeichnung und ihre Verbreitung gerade dazu beitragen, den Tätern ein breiteres mediales Wirkungsfeld zu offerieren.

Dieser Auffassung schließt sich auch der Deutsche Verein für Datenschutz (DVD) und das Netzwerk Datenschutzexpertise an. Beide Organisationen lehnen die Pläne des Innenministers in ihrer Stellungnahme ebenfalls ab.

Daten von WhatsApp werden nicht mehr an Facebook übermittelt

10. November 2016

Wie wir bereits im September berichteten, hat WhatsApp im August 2016 damit begonnen personenbezogene Daten wie Account-Informationen, Profilbilder, Handynummern etc. an seinen Mutterkonzern Facebook weiterzuleiten. Ziel dieser Datenübermittlung sei es den Nutzern personalisierte Werbung und Freundschafts-Vorschläge zu unterbreiten. Wie heise.de mitteilte, wird den rund eine Milliarde Nutzern des Messenger-Dienstes eine Möglichkeit des vollständigen Widerspruchs gegen die Weitergabe der Daten nicht zugestanden.

Gegen dieses Vorgehen wehrten sich sowohl Hamburgs Datenschutzbeauftragter Johannes Casper, als auch die britische Datenschutzbeauftragte Elizabeth Denham. Diese forderten eine eigenständige Entscheidung der Nutzer über die Weitergabe Ihrer Daten.

Gestern wurde bekanntgegeben, dass die Weitergabe von WhatsApp-Nutzerdaten an den Facebook Mutterkonzern vorerst eingestellt wurde.

Laut chip.de beabsichtigt Facebook nun sich der Kritik europäischer Datenschützer zustellen und den Dialog zu suchen.

Kategorien: Allgemein · Social Media

Datenschutzbeauftragte rügen Kriminalämter des Bundes und der Länder

Erstmalig haben die Datenschutzbeauftragten der  Länder und des Bundes eine gemeinsame Kontrolle durchgeführt und bundesweit die Handhabung der Falldatei Rauschgift überprüft. Wie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, mitteilte, bestehe Nachbesserungsbedarf bei der Pflege der bundesweit geführten Datenbank. In der Falldatei Rauschgift speichern das Bundeskriminalamt, das Zollkriminalamt und die Polizeibehörden der Länder Daten von circa 680.000 Personen.

Das Bundeskriminalamtgesetz (BKAG) ermächtigt das Bundeskriminalamt personenbezogene Daten von Beschuldigten und Tatverdächtigen – konkret Informationen zu deren Person sowie Tatort und Tatzeit zu speichern. Dies geschieht vor dem Hintergrund der effektiven Strafverfolgung und Gefahrenabwehr von Drogendelikten. Bei der alltäglichen Ausführung ihres staatlichen Auftrages haben die Sicherheitsbehörden gleichwohl gesetzliche Vorgaben zu beachten. Dies gilt auch für die datenschutzrechtlichen Anforderungen an die Führung einer Verbunddatei wie der Falldatei Rauschgift.

Konkret bemängeln die Datenschutzbeauftragten, dass die nach dem BKAG erforderliche Negativkontrolle in vielen Fällen nicht stattfand. Die Negativkontrolle, die Behörden in jedem Einzelfall durchzuführen haben, soll verhindern, dass Bagatellfälle in die Datenbank eingetragen werden. So kam es laut BfDI vor, dass Daten von Konsumenten eines Joints sowie die Daten eines Apothekers, dessen Kunde rezeptpflichtige Medikamente gestohlen hatte, in der Falldatei Rauschgift gespeichert sind.

Weiterhin rügen die Datenschutzbeauftragten die fehlende Löschung der gespeicherten Daten. Rechtsstaatliche Grundsätze wie die Unschuldsvermutung müssen sich auch in der Führung und Pflege von sicherheitsbehördlichen Datenbanken wiederspiegeln. In Fällen in denen Ermittlungsverfahren eingestellt werden oder das Strafverfahren mit einem Freispruch endet, sind die erhobenen Daten nach dem Ablauf festgelegter Fristen zu löschen. Auf diese Weise entsprechen die Sicherheitsbehörden nicht nur den rechtsstaatlichen Anforderungen, sondern auch den datenschutzrechtlichen.

Sensible Daten auf Smartphones werden zu wenig geschützt

9. November 2016

Nach einer aktuellen Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nutzt rund jeder fünfte Smartphone-Besitzer (20,7 %) sein Gerät ohne jegliche Sicherheitsfunktion. Dies überrascht umso mehr vor dem Hintergrund, dass fast Dreiviertel der Nutzer (74,6 %) sensible Daten wie Bilder, Videos, Kontaktdaten, Passwörter und sogar Gesundheitsdaten (etwa in Form von sog. Fitness-Apps) auf ihren Smartphones oder Tablets ablegen.

Das Marktforschungsinstituts TNS Infratest GmbH hatte diese Umfrage Ende Oktober im Auftrag des BSI anlässlich der vierten Aktionswoche im European Cyber Security Month (ECSM) durchgeführt. Das BSI nutzte diese Aktionswoche, um über Risiken und Schutzmöglichkeiten für Smartphones aufzuklären und die Nutzer zu sensibilisieren. Wie das konkret aussehen kann, hat das BSI auf einer Service-Seite zusammengestellt. Wenigstens die einfachen Sicherheitsmaßnahmen sollten konsequent und regelmäßig umgesetzt werden, wie beispielsweise die regelmäßige Aktualisierung des Betriebssystems, das Sichern des Gerätes mit PIN, Wischmuster oder Fingerabdruck und die Deaktivierung von offenen Schnittstellen wie WLAN oder Bluetooth bei Nichtgebrauch.

Bedenkt man, dass auch in Unternehmen teilweise die Verwendung des persönlichen Smartphones für betriebliche Zwecke zugelassen ist (“Bring your own device – BYOD”), hat dieses Umfrageergebnis auch eine Bedeutsamkeit für den Datenschutz im Unternehmen.

Kategorien: Allgemein · Mobile Business
Schlagwörter: , ,

Überprüfung durch die Datenschutz-Aufsichtsbehörden

7. November 2016

Seit November 2016 kontrollieren die Datenschutz-Aufsichtsbehörden von 10 Bundesländern einige deutschlandweit ausgewählte Unternehmen, dahingehend, ob der internationale Datentransfer datenschutzkonform ausgestaltet ist.

Einer Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen zufolge werden die Unternehmen nach dem Zufallsprinzip ausgewählt. Die Behörden achten darauf, dass die Unternehmen verschiedener Größe und aus unterschiedlichen Branchen sind. Die ausgewählten Unternehmen müssen einen detaillierten Fragebogen ausfüllen. Sofern die datenschutzrechtlichen Anforderungen nicht erfüllt sind ist mit Folgemaßnahmen zu rechnen.

Zweck dieser Kontrolle ist zum einen die Überprüfung der Unternehmen hinsichtlich der Übermittlung personenbezogener Daten in das Nicht-EU-Ausland. Zum anderen soll auch eine Sensibilisierung der Unternehmen bezüglich des Problembewusstseins beim Umgang mit der Übermittlung personenbezogenen Daten erreicht werden.

 

 

Bundesrat genehmigt umstrittene Gesetzesreform: Telekommunikationsnetze dürfen vom BND angezapft werden

4. November 2016

Erst am 21.Oktober wurde die Reform bezüglich der BND-Netzüberwachung vom Bundestag beschlossen und ist schon mit dem heutigen Tage von der Länderkammer genehmigt worden.

Bei der Reform geht es um die strategische Telekommunikationsüberwachung durch den Bundesnachrichtendienst (im Folgenden BND). Was der BND bislang mehr oder minder legal durchgeführt hat, bekommt jetzt eine legale Grundlage, aufgrund derer der BND im großen Stil vom Inland aus personenbezogene Daten mit Auslandsbezug erheben, für 6 Monate auf Vorrat speichern und durchrastern kann.

Diese umfassenden Überwachungsbefugnisse stießen nicht überall auf Zustimmung. Sowohl die Opposition im Bundesrat als auch der renommierte Verfassungsrechtler Hans-Jürgen Pieper äußerten ihre Bedenken. Letzterer bezeichnete die Abschöpfung der Daten sogar als verfassungswidrig. Trotz der Gegenstimmen konnte sich die große Koalition durchsetzen, sodass das Gesetz noch dieses Jahr in Kraft treten kann. Die Oppositionsparteien haben bereits angekündigt Verfassungsbeschwerde beim Bundesverfassungsgericht einzulegen. Es bleibt abzuwarten, ob diese Erfolg haben werden.

Französische Bürgerrechtsorganisationen reichen ebenfalls Klage gegen den “EU-US Privacy Shield” ein

3. November 2016

Laut Next Impact haben nicht nur irische Datenschützer – wir berichteten bereits vergangene Woche darüber – Nichtigkeitsklage gegen den “EU-US Privacy Shield” eingereicht, sondern auch drei französische Bürgerrechtsorganisationen, unter anderem Quadtrature du Net. Die drei Organisationen bezweifeln, dass der “EU-US Privacy Shield” ausreichend Schutz vor den Risiken der Massenüberwachung durch die US-Geheimdienste bietet.

Zurzeit prüft das Gericht der Europäischen Union (EuG) auch die Zulässigkeit dieser Klagen. Hinsichtlich etwaiger Erfolgsaussichten der Klagen lassen sich zu diesem Zeitpunkt jedoch keine konkreten Aussagen treffen. In diesem Zusammenhang sollte allerdings nicht unerwähnt bleiben, dass sowohl das bayerische Landesamt für Datenschutzaufsicht als auch der nordrhein-westfälische Datenschutzbeauftragte der Ansicht sind, dass “sobald ein US-Unternehmen in dieser Liste [der aktiven zertifizierten sowie inaktiven Unternehmen] aufgeführt ist, […] der EU-US Privacy Shield auf der zweiten Stufe grundsätzlich herangezogen werden [kann], um die Daten in die USA zu übermitteln.” Zumindest letzterer wolle sich dabei aber vorbehalten, Datenübermittlungen unter dem “EU-US Privacy Shield” in Einzelfällen auszusetzen.

Derzeit sind bereits 500 US-Unternehmen, insbesondere Internet- und Cloud-Anbieter, EU-US Privacy Shield zertiziert und auf der offiziellen Liste des US-Handelsministeriums eingetragen.

 

Kategorien: Allgemein

Article 29 WP will release guidelines on the GDPR by the end of 2016

28. Oktober 2016

As Bloomber reports, the Article 29 WP will provide guidance on the GDPR soon. Isabelle Falque-Pierrotin, Chairwoman of the CNIL as well as of the Article 29 WP, acknowledged that the GDPR text is ambiguous in some aspects. Therefore, these guidelines aim at serving as an operational toolbox.

Amongst others, the guidance to the GDPR shall refer to the following aspects:

• The designation of the leading Supervisory Authority in case of complaints or in relation to other procedures. Moreover, aspects of the bilateral cooperation and competence to resolve disputes by the Supervisory Authorities and the European Data Protection Board shall be clarified.
• Guidance on the figure of Data Protection Officers is one of the priorities of the Article 29 WP, as it will play an essential role in companies on achieving GDPR compliance.
• The right to data portability has been regulated for the first time in the GDPR. This right will allow data subjects to access their data and transfer data to other data controllers, for example upon the change of telephone provider. The guidance should focus on its scope and implementation.
• The standard by which the proof of consent will take place, will have to be specified. This is especially important for small and medium-sized companies, for which a “simple pedagogical tool” will be developed.
• A formal guidance on the Privacy Shield will not take place until the EU Commission has reviewed its functioning after the first year, this is summer or early fall 2017.

At the moment, the Article 29 WP remains neutral with regard to the Brexit. However, Falque-Pierrotin remarked that the Privacy Shield may be also useful in UK regarding international data flows with the U.S.A.

Further guidance is also expected in 2017, especially regarding topics such as the EU-U.S. Privacy Shield and the implication of the Brexit in privacy issues.

———-
If you would like to read more articles about international data protection topics, we invite you to visit our international blog: www.privacy-ticker.com.

1 145 146 147 148 149 274