31. Oktober 2012
Die Datenschutzbeauftragte von Kanada (Privacy Commissioner of Canada) Stoddart und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in Deutschland (BfDI) Schaar haben eine gemeinsame Vereinbarung unterzeichnet, um ihre gegenseitige Zusammenarbeit in der grenzüberschreitenden Datenschutzaufsicht zu stärken.
Die Vereinbarung sieht nach einer Mitteilung des BfDI vor, dass beide Datenschutzbehörden im Rahmen ihrer Aufsichtstätigkeit Informationen austauschen und sich über wichtige Ereignisse oder Beschwerden gegenseitig unterrichten. In konkreten Fällen soll es damit künftig ermöglicht werden, auch koordinierte datenschutzrechtliche Aufsichtsverfahren beider Behörden durchzuführen, um den Schutz der Betroffenen unabhängig vom Ort der Datenverarbeitung zu gewährleisten. Die kanadischen und deutschen Datenschützer haben sich nach eigenen Angaben außerdem zum Ziel gesetzt, die Kooperation mit weiteren Datenschutzbehörden in aller Welt auszubauen.
“Deutschland hat den beneidenswerten Ruf, eine Führungsrolle beim Schutz der Privatsphäre und der personenbezogenen Daten einzunehmen. Ich freue mich sehr, in Berlin zu sein, um diese wichtige Vereinbarung für die Erleichterung der Zusammenarbeit zwischen unseren Behörden zu unterzeichnen. In einer Welt, in der Fragen des Datenschutzes keine Landesgrenzen kennen, müssen wir zur Sicherstellung unserer gemeinsamen Interessen zusammenarbeiten.”, so Stoddart.
30. Oktober 2012
Wie Heise-Online berichtet besteht bei diversen Apps des Betriebssystems und der Software-Plattform Android ein erhebliches Problem mit der SSL-/TLS-Verschlüsselung. Das Online-Portal bezieht sich dabei auf eine Studie von Forschern der Leibniz-Universität in Hannover in Kooperation mit der Philipps-Universität Marburg. Diese hatten Android-Apps untersucht und dabei festgestellt, dass über 1.000 der 13.500 beliebtesten Anwendungen des im zweiten Quartal 2012 mit 68,1 % weltweiten Marktanteil stärksten Marktteilnehmers eine fehlerhafte oder unsichere Verschlüsselung aufwiesen. Die Ergebnisse veröffentlichten die Wissenschaftler in dem Paper „Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security“.
Konkret wurden 100 Android-Apps eingehender von den Forschern unter die Lupe genommen, wobei zunächst die Codes der Apps statistisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners zertifizieren müssen, untersucht wurden. Da sich dabei noch nicht feststellen lässt, ob tatsächlich der gefundene Code zum Einsatz kommt, wurden im Anschluss sogenannte Man-In-The-Middle-Attacken durchgeführt, um die verschlüsselte Verbindung aufzubrechen. Dabei wurde festgestellt, dass 41 der untersuchten Apps anfällig für Angriffe waren. Den Forschern gelang es über diese Apps Zugriff auf Bank- und Kreditkartenkonten sowie an Zugangs-Tokens für Email-Konten, Facebook-Konten und Messaging-Services zu erlangen. 20 Apps akzeptierten dabei schlicht jedes Zertifikat, die restlichen 21 kontrollierten zwar die Gültigkeit der Unterschrift des Zertifikats, nicht jedoch ob dieses auch auf den richtigen Namen ausgestellt war.
Besondere Beachtung war nach dem Bericht von Heise dabei dem plakativen Umstand zu schenken, dass es den Forschern gelang, Zoner AntiVir für Android eine gefälschte Signatur unterzuschieben, durch welche sich das Programm anschließend selbst als Bedrohung einstufte und die eigene Löschung anbot.
Medienberichten zufolge haben Unbekannte bei einem Cyberangriff auf Computersysteme der Finanzbehörde des US-Bundesstaates South Carolina (South Carolina Department of Revenue) 3,6 Millionen Sozialversicherungsnummern erbeuten können. Betroffen seien Bürger des Bundesstaates, die seit 1998 eine Steuerrückerstattung beantragt haben. Darunter fielen auch Personen, die seitdem in einen anderen Bundesstaat gezogen sind.
“Wir haben unverzüglich Maßnahmen ergriffen, um die Steuerzahler in South Carolina zu schützen”, soll Gouverneur Nikki Haley den Angriff kommentiert haben. Die Betroffenen werde u.a. ermöglicht, über einem Zeitraum von einem Jahr eine Kreditüberwachung zu verwenden.
29. Oktober 2012
Vergangene Woche wurde Windows 8 von Microsoft veröffentlicht. Bestandteil des Betriebssystems ist auch der Internet Explorer 10. Dies ist insofern erwähnenswert, dass der Internet Explorer 10 der erste Browser ist, der die Do Not Track (DNT) Kennung per Voreinstellung aktiviert hat. Dieser Umstand wurde bereits im Vorfeld der Veröffentlichung kontrovers diskutiert.
Yahoo! hat auf Microsofts Vorstoß nun derart reagiert, dass vom Internet Explorer 10 gesendete Do Not Track Signale ignoriert werden. Begründet wird dies mit dem Schutz der Nutzerinteressen. Die Yahoo! Nutzer seien daran gewöhnt, maßgeschneiderte Angebote, wie örtliches Wetter, Sportergebnisse, Aktienkurse oder auch Werbungen auf der Seite zu erhalten. Zum Schutz dieses personalisierten Nutzererlebnisses sei es nicht hinnehmbar, dass Microsoft einseitig entscheide, das Do Not Track Signal zu aktivieren. Hierin liege keine Entscheidung des Nutzers, sondern ausschließlich des Browserherstellers.
Nichtsdestotrotz bekräftigt Yahoo! seine grundsätzliche Unterstützung des DNT Ansatzes, solange dabei Nutzerinteressen und nicht die Auffassung von Browserherstellern, Plug-In-Schreibern oder sonstigen Dritten abgebildet würden.
Zu bedenken ist, dass von der Entscheidung Yahoo!s auch solche Nutzer des Internet Explorer 10 betroffen sind, die sich bewusst für die Do Not Track Option entscheiden wollen, da es nicht möglich ist zu unterscheiden, ob das Do Not Track Signal als Voreinstellung oder auf Veranlassung des Nutzers gesendet wird. Trotz des Lippenbekenntnisses zum DNT Ansatz versagt Yahoo! den Nutzern des Internet Explorer 10 somit generell diese Möglichkeit sich gegen Tracking zur Wehr zu setzen, anstatt denjenigen, die tatsächlich verfolgt werden wollen, zuzutrauen, die entsprechende Option zu aktivieren.
Die Haltung Yahoo!s dient damit als geradezu exemplarisches Beispiel für die Befürchtungen europäischer Datenschützer, dass der Do Not Track Ansatz verwässert werden könne, oder durch ein selbstreguliertes Vorgehen im Rahmen des W3C nicht zum Erfolg geführt werden könne.
Seit Februar 2012 betreibt der Kreditkartenkonzern Mastercard laut einem Bericht der Financial Times das Programm “MasterCard Audiences”. Dabei handele es sich um ein derzeit noch auf die USA beschränktes Verfahren, in dem anonym die Informationen über das Einkaufsverhalten der Kunden für kundenorientierte gezielte Werbung ausgewertet werden. Dazu sollen ca. 34 Milliarden abgewickelte Transaktionen zur Analyse zur Verfügung stehen. Mit dem Programm beabsichtige Mastercard, seinen Werbekunden effektive(re) Einblicke in das Einkaufsverhalten der Verbraucher verschaffen, z.B. damit Werbetreibende nach Kategorien sortierte Datenpakete kaufen können. Wie das Unternehmen gegenüber der Financial Times gegenüber betont haben soll, werden allerdings bei der Analyse oder Entwicklung von Produkten oder Diensten keine persönlich identifizierbaren Informationen gesammelt, öffentlich gemacht oder verwendet. Es würden ausschließlich Kreditkartennummern gesammelt und diese auch nicht mit den Werbekunden geteilt.
26. Oktober 2012
Auf dem 45. Treffen der Internet Corporation for Assigned Names and Numbers (ICANN), die über die Grundlagen der Verwaltung der Top-Level-Domains (TLDs) entscheidet, wurde Medienberichten zufolge der mit Domainregistraren und Strafverfolgern ausgehandelte Kompromiss für die Aufbewahrung von Transaktionsdaten vorgestellt. Provider, die Domains registrieren, sollen danach zukünftig ihre Transaktionsdaten sechs Monate lang und „alle anderen Daten“ ihrer Kunden bis zu zwei Jahre nach Ende des Vertrages speichern dürfen. Was unter „alle anderen Daten“ zu verstehen ist, soll bis Ende 2012 ausgehandelt werden. Ebenfalls bis Ende des Jahres soll über Ausnahmeregeln für Registrare aus dem Unionsraum und Bestimmungen zur Verifikation von E-Mail-Adressen und Telefonnummern von Domainkunden verhandelt werden.
Kritisch aufgefasst wurde indes, dass das Treffen abermals ohne Beteiligung von Datenschützern stattgefunden hat. So war z.B. die Datenschutzbehörde des Gastgeberlandes Kanada (
The Office of the Privacy Comissioner of Canada) trotz hoher datenschutzrechtlicher Brisanz nicht eingeladen.
25. Oktober 2012
Nach einem Bericht von Heise-Online wurde der Europäische Gerichtshof ersucht, über die Rechtmäßigkeit der Integration biometrischer Daten in Form von Fingerabdrücken in Reisepässen zu entscheiden und zu beurteilen, ob die Verordnung zur Einführung biometrischer Merkmale in Reisepässen mit den einschlägigen Bestimmungen zum Schutz der Privatsphäre der EU-Bürger vereinbar ist. Neben dem obersten niederländischen Verwaltungsgerichtshof soll sich u.a. das Verwaltungsgericht Gelsenkirchen an den Europäischen Gerichtshof gewandt haben. Dieses hatte zuvor den im Passgesetz aufgenommenen Fingerabdruckzwang als eine “schwere Datenschutzverletzung” eingeordnet. Die Maßnahme sei nicht verhältnismäßig. Außerdem bieten die eingesetzten RFID-Chips nach Ansicht des Gerichts weder die notwendige Haltbarkeit noch die erforderliche Sicherheit. Es würden noch zu häufig Erkennungsfehler bei Grenzkontrollen auftreten. Die Unsicherheiten würden derzeit noch eher zu Unsicherheiten führen, als dass darin eine scharfe Waffe gegen den Terrorismus zu sehen sei.
Derzeit berate das Parlament in Den Haag über einen Regierungsvorstoß, wonach in Ausweisen keine Fingerabdrücke mehr gespeichert werden sollen.
24. Oktober 2012
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat im Rahmen einer Pressemitteilung mehr Politik und Aufsicht in Zusammenhang mit „Do Not Track“ gefordert und zugleich den bisherigen Selbstregulierungsansatz für gescheitert erklärt.
Abseits von der Öffentlichkeit vollziehe sich gerade ein Handelskrieg zwischen Europa und den USA, der sich mit der Thematik Datenschutz contra Kommerz sowie digitale Bürgerrechte contra Schutz von Monopolen befasse. Da die USA bei der Diskussion um die Europäische Datenschutz-Grundverordnung ihre Lobbytruppen in Brüssel aufstelle und die Gefahr bestünde, dass diese Lobby gerade bei dem Thema Tracking erste Erfolge haben wird, müsse der Wahrung des Datenschutzes im Internet ein besonders hoher Stellenwert eingeräumt werden und dieser aktiv umgesetzt werden. Die meisten Internet-Angebote von US-Firmen würden zwar kostenfrei angeboten, die Nutzer bezahlten jedoch letzten Endes mit der Erhebung ihrer Daten durch Cookies oder andere Tracking-Methoden, die in Folge für zielgerichtete Werbung verwendet werden. Die nach europäischen Recht geforderte Transparenz und Wahlmöglichkeit der Nutzer (z.B. in Form einer Einwilligung in das Setzen von Cookies) werde von vielen US-Unternehmen – u. a. Google, Yahoo!, Amazon und Facebook – vernachlässigt, wohl weil ansonsten ihre Vermarktungsmöglichkeiten in Mitleidenschaft gezogen werden könnte.
Die zur Lösung dieses Konfliktes initiierten Gespräche zur Selbstregulierung im Internet, die von der Internet-Standardisierungsorganisation W3C (World Wide Web Consortium) moderiert und von der EU-Kommissarin für die digitale Wirtschaft Neelie Kroes und der US-Verbraucherschutzbehörde FTC (Federal Trade Commission) unterstützt wurden, haben nach Ansicht des ULD gezeigt, dass die Mehrheit der US-Wirtschaft kaum zu Kompromissen bereit ist und lediglich ihre Werbedominanz weiter auszubauen möchte. Die US-Unternehmen setzten unter Missachtung des europäischen Rechts vielmehr rücksichtslos auf ihre Marktmacht und ihre mediale Dominanz. Der Ansatz von „Do Not Track“ sei inzwischen so weit verändert, dass der Name der Initiative eher als Verbrauchertäuschung angesehen werden könne. Der Name „Do Not Track“ diene Werbefirmen dazu, ihr rechtswidriges Verhalten zu legitimieren. Daher sagt Thilo Weichert, Leiter des ULD: „Die Hoffnungen auf eine Bereitschaft der Internet-Wirtschaft zur Selbstregulierung wurden bitter enttäuscht“ und mahnt „Wir dürfen nicht zulassen, dass der Datenschutz im Internet als Verlustposten verbucht wird.“
Das mit der Verwendung von sogenannten “Baller-Spielen” nicht nur eine potentielle Gefahr für die persönliche Entwicklung heranwachsender Nutzer verbunden sein kann, sondern auch eine datenschutzrechtliche Gefahrenkomponente besteht, belegt nun nach einem Bericht von Heise-Online eine Untersuchung der Firma ReVuIn. Diese hatte das Protokoll untersucht, über das die Server von Valves Spieleplattform Steam mit dem Browser des Users kommunizieren, und dabei erhebliche Sicherheitslücken entdeckt. So sei es Dritten über diesen Kanal z.B. möglich, Spionage-Software auf den Rechnern der Nutzer zu installieren. Aufgrund der offenbarten Schwächen des Systems rät Heise-Online den Nutzern der Spieleplattform, ausschließlich über einen reinen Computer für Spielzwecke mit der Plattform zu interagieren oder zumindest ein separates Spielekonto in dem verwendeten Betriebssystem zu installieren, welches nur über beschränkte Nutzerrechte verfügt, und so das Risiko eines weitreichenden An- und Eingriffs von schädigender Software auf den Computer von Grund auf minimiert.
22. Oktober 2012
Nachdem Google zu Beginn des Jahres seine neue Datenschutzerklärung umsetzte und dafür viel Kritik erntete, hat auch Microsoft seine Nutzungsbedingungen jüngst geändert. Aus Datenschutzsicht beachtenswert ist dabei, was sich Microsoft unter Punkt 3.3. “Wie werden meine Inhalte von Microsoft verwendet?” vorbehält:
Wenn Sie Ihre Inhalte in die Dienste hochladen, geben Sie damit Ihre Zustimmung, dass die Inhalte in dem Umfang, in dem dies zu Ihrem Schutz sowie zur Bereitstellung, zum Schutz und zur Verbesserung von Microsoft-Produkten und -Diensten erforderlich ist, genutzt, geändert, angepasst, gespeichert, vervielfältigt, verteilt und angezeigt werden dürfen. So können wir beispielsweise gelegentlich mithilfe von automatisierten Verfahren Informationen aus E-Mail-Nachrichten, Chats oder Fotos filtern, um Spam und Malware zu erkennen und Schutzmaßnahmen gegen diese zu entwickeln sowie um die Dienste mit neuen Features auszustatten, die ihre Benutzerfreundlichkeit steigern. Beim Verarbeiten Ihrer Inhalte ergreift Microsoft Maßnahmen zum Schutz Ihrer Privatsphäre.
Im Gegensatz zu Google blendet Microsoft bisher keine personalisierte Werbung auf Grundlage der ausgewerteten Inhalte ein; nichtsdestotrotz bleibt der fade Beigeschmack, dass der Nutzer nicht erkennen kann, für welche “Verbesserung von Microsoft-Produkten” seine Daten verwendet werden. An dieser Stelle bleibt also fraglich, zu welchem konkreten Zweck Microsoft die Nutzerdaten heranzieht.
Regelrecht peinlich muten die neuen Bestimmungen an, wenn man bedenkt, dass Microsoft noch zu Beginn des Jahres Google für ähnliche Verhaltensweisen durch das viral verbreitete Gmail Man Video und große Anzeigen an den Pranger gestellt hat.
Ohne Microsofts oder Googles Nutzungsbedingungen in Schutz nehmen zu wollen, sei an dieser Stelle erwähnt, dass in der Regel alle E-Mails, die einem Webmailer anvertraut werden, zumindest vom Spamfilter maschinell “gelesen” werden. Zu welchen darüber hinausgehenden Zwecken die extrahierten Inhalte (tatsächlich) verwendet werden, weiß ausschließlich der E-Mail Provider. Die Wahl des E-Mail Providers ist also Vertrauenssache.
Pages: 1 2 ... 233 234 235 236 237 ... 275 276 
