Fluggastdatenabkommen EU-USA meistern weitere Hürde – Datenschützer protestieren weiterhin

14. Dezember 2011

Nachdem wir bereits vor Kurzem über den Streit bezüglich des “Drückens” und “Ziehens” beim geplanten Fluggastdatenabkammen (PNR-Abkommen) zwischen der EU und den USA berichtet haben, hat das umstrittene Abkommen eine weitere Hürde genommen: So haben die Innen- und Justizminister der jeweiligen Nationalstaaten im Rat der Europäischen Union am gestrigen Dienstag grünes Licht für das umstrittene Abkommen gegeben. Österreich, Deutschland und Frankreich haben sich dabei ihrer Stimme enthalten.

Auch wenn die Verabschiedung des Abkommens damit wieder einen Schritt näher gerückt ist, verstummt die Kritik der Datenschützer nicht. Ebenfalls am gestrigen Dienstag äußerte sich der europäische Datenschutzbeauftragte, Peter Hustinx, kritisch gegenüber dem Regelwerk. Die von ihm vorgetragenen Bedenken decken sich dabei im Wesentlichen mit den bereits zuvor geäußerten Einwänden:

  • Die 15-jährige Aufbewahrungsfrist sei übertrieben: Daten sollten sofort nach deren Analyse oder nach maximal 6 Monaten gelöscht werden.
  • Auch die Zweckbindung sei zu weit gefasst. Fluggastdatensätze sollten nur verwendet werden, um Terrorismus oder eine gut definierte Liste von schweren grenzüberschreitenden Verbrechen zu bekämpfen.
  • Die Liste der Daten, die übermittelt werden sollen, sei unverhältnismäßig und sollte daher begrenzt werden.
  • Es dürfe keine Ausnahmen zur “Push”-Methode geben.
  • Es müsste für jeden Bürger ein Recht auf effektiven gerichtlichen Rechtsschutz vereinbart werden.
  • Die Daten sollten nach Ansicht Hustinx’ nur an andere US-Behörden oder an Drittländer übermittelt werden dürfen, wenn diese ein gleichwertiges Schutzniveau gewährleisten könnten.

(se)

Facebook Datenpanne ermöglichte Zugriff auf Zuckerbergs private Bilder

Facebook, welches ja bereits als Liebling aller Datenschützer hinlänglich bekannt ist, konnte mal wieder mit einer kleinen Datenpanne aufwarten. Wenn man das Foto eines Nutzers als anstößig melden wollte, bot Facebook an, weitere Bilder des Nutzer als anstößig zu markieren. In einigen Fällen erhielt man dadurch die Möglichkeit auch auf solche Fotos zuzugreifen, die eigentlich als privat markiert waren.

In diesem Fall wurde bedauerlicherweise auch Facebook Gründer Mark Zuckerberg Opfer der Softwarepanne. Ein Blogger veröffentlichte daraufhin 14 private Photos von Zuckerberg. Mittlerweile ist die Lücke, die auf einen Softwarefehler zurückzuführen ist, gestopft und das Problem sollte nicht mehr länger auftreten. (se)

Kategorien: Allgemein

Verbraucherschutzministerin Aigner legt Beschwerde gegen Facebooks Gesichtserkennung ein

Nachdem der Hamburgische Beauftragte für Datenschutz bereits rechtliche Schritte gegen Facebook angekündigt hat, ist nun auch Bundesverbraucherschutzministerin Aigner aktiv geworden. Sie hat sich nach Meldung der dpa mit einem Brief an die US-Handelskommission FTC gewandt, in welchem sie moniert, dass Facebook das Safe-Harbor-Abkommen verletze.

Nach DPA-Angaben wirft Aigner Facebook insbesondere vor, in Bezug auf die Gesichtserkennung vermutlich die weltweit größte Datenbank mit biometrischen Merkmalen einzelner Personen zu erstellen, ohne über deren biometrische Erfassung klar und verständlich zu informieren

Wenig später erklärte sich Facebook gegenüber der FTC zu strengeren Datenschutzauflaugen in den USA bereit, nachdem zuvor mehrfach gegen datenschutzrechtliche Selbstverpflichtungen verstoßen worden war. Insbesondere verpflichtete sich Facebook nun dazu, neue Funktionen und Einstellungen nicht mehr automatisch freizuschalten, ohne die Einwilligung des Nutzers einzuholen. Diese Praxis hatte in der Vergangenheit vielfach für Kritik gesorgt, so auch bei der Einführung der Gesichtserkennung.

Eben diese von Aigner expliziert kritisierte Gesichtserkennung findet jedoch keinen expliziten Niederschlag in der neuen Vereinbarung mit der FTC (se).

 

Immoblienscout24: Unbefugter Zugriff auf Datenbank

Seitens des Online-Immobilienportals Immoblienscout24 wurde bekannt gegeben, dass Dritten ein unbefugter Zugriff auf unternehmenseigene Datensysteme gelungen ist und (Firmen-)Namen, Kontaktdaten und interne Registrierungs- nummern von Anbietern kopiert werden konnten. Es handele sich nur um Daten, die ohnehin in den Exposés auf der Website veröffentlicht sind, sensible Daten wie Passwörter, Bank- und Zahlungsdaten seien nicht betroffen. Der unbefugte Zugriff soll mittlerweile unterbunden und die Sicherheit der angegriffenen Server wiederhergestellt sein. Dennoch werde den Nutzen empfohlen, ihr Passwort vorsorglich zu aktualisieren. (sa)

Kategorien: Allgemein
Schlagwörter: ,

ULD fordert Klarstellung der Bußgeldzuständigkeit

13. Dezember 2011
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat den Landtag aufgefordert, die Bußgeldzuständigkeit bei Datenschutzverstößen abschließend und zeitlich vor der Novellierung des Landesdatenschutzgesetzes Schleswig-Holsteins festzulegen. Hintergrund dieser Forderung ist, dass im Rahmen der  Auseinandersetzung um die datenschutzrechtliche Zulässigkeit von Facebook-Fanpages zu Teilen die Bußgeldzuständigkeit des ULD bestritten wurde. Da die Europäische Datenschutzrichtlinie jedoch für die unabhängige Datenschutzaufsicht  explizit wirksame “Einwirkungsbefugnisse”, insbesondere die “Befugnis, eine rechtliche Verwarnung an den/die für die Verarbeitung Verantwortlichen zu richten”, fordere, solle das Parlament – schon um teure unnötige Zuständigkeitskonflikte zu vermeiden – eine Klärung herbeiführen, so der Leiter des ULD Thilo Weichert . ” Im Interesse der Wirtschaft, der betroffenen Bürgerinnen und Bürger und der Aufsicht sollte insofern Rechtssicherheit geschaffen werden.” (sa)

Google+: Automatische Gesichtserkennung “Find My Face”

12. Dezember 2011

Seitens des sozialen Netzwerkes Google+ wurde bekannt gegeben, dass dessen Nutzern nun eine Funktion zur automatischen Gesichtserkennung angeboten wird. Mit “Find My Face” sollen Gesichter in hochgeladenen Fotos markiert und einem Namen zugeordnet werden können. Die Gesichtserkennung funktioniere jedoch ausschließlich unter Bekannten und fließe nicht in eine öffentliche Google-Suche ein. Ferner sei die automatische Gesichtserkennung nicht standardmäßig aktiviert, sondern der Nutzer müsse die Option erst in den Privatsphäreeinstellungen einschalten. Erst dann werde Google anhand von bereits hochgeladenen und mit Tags versehenen Fotos ein digitales Gesichtsmodell erstellen, dass bei einer späteren Deaktivierung der Funktion automatisch wieder gelöscht werde. Mit dieser Opt-in-Regelung geht Google einen anderen Weg als Facebook, das sich mit seiner von vornherein aktivierten Gesichtserkennung zu umfassender Kritik aus Datenschutzkreisen geführt hat. (sa)

BfDI: Löschung von ELENA-Daten

9. Dezember 2011

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat bekannt gegeben, den Datenbankhauptschlüssel des Verfahrens zum Elektro- nischen Entgeltnachweis (ELENA), mit dem ausschließlich ein Zugriff auf die verschlüsselt gespeicherten Entgeltdaten von rund 35 Millionen Arbeitnehmern möglich war, unter Beteiligung des Bundesamtes für Sicherheit in der Informations- technik gelöscht zu haben. Die als Träger des digitalen Schlüssels verwendeten Chipkarten seien überschrieben worden und sollen nun geschreddert werden. Damit sei sichergestellt, dass niemand auf die ELENA-Datenbank zugreifen kann.

Der BfDI ist mit der Löschung des von ihm verwalteten Datenbankhauptschlüssels seiner Pflicht aus dem am 3. Dezember 2011 in Kraft getretenen Gesetz zur Aufhebung von Vorschriften zum Verfahren des elektronischen Entgeltnachweises nachgekommen. Das Gesetz verpflichtet die beteiligten Institutionen zur unver- züglichen Löschung aller im Zusammenhang mit dem ELENA-Verfahren entstand- enen Daten und hebt die Meldepflicht der Arbeitgeber auf. (sa)
Kategorien: Allgemein
Schlagwörter: ,

BMI/BMJ: Zusammenarbeit bei E-Government und E-Justice

8. Dezember 2011

Das Bundesministerium des Inneren (BMI) und das Bundesministerium der Justiz (BMJ) haben bekannt gegeben, sich auf eine enge Zusammenarbeit in den Bereichen E-Government und E-Justice verständigt zu haben. Ziel sei es, eine anwenderfreundliche Kommunikation mit der Justiz sowohl per De-Mail als auch über das elektronische Gerichts- und Verwaltungspostfach (EGVP) bundesweit zu ermöglichen und die bisher nahezu ausschließlich papiergebundene Kommunikation dauerhaft abzulösen. Dafür sei u.a. eine grundlegende Modernisierung des Zugangs zu Gerichten und der Justiz unerlässlich, der auch durch den sich derzeit im Entwicklungsstadium befindlichen Entwurf für ein E-Government-Gesetz des Bundes realisiert werden soll.

„Justiz und Verwaltung müssen sich an die moderne Lebenswirklichkeit anpassen. Der elektronische Rechtsverkehr und eine elektronische Aktenführung machen die Kommunikation zwischen Bürgern und Behörden einfacher, effektiver und langfristig kostengünstiger. Dies ist der richtige und wichtige Schritt in die Zukunft.“, so Bundesjustizministerin Leutheusser-Schnarrenberger. (sa)

Kategorien: Allgemein
Schlagwörter: , , ,

Carrier IQ – Lässt das Smartphone Provider und Hersteller mithorchen?

7. Dezember 2011

Carrier IQ wird zur Zeit in den Medien heiß diskutiert, was sicherlich auch der Behauptung des Unternehmens geschuldet ist, dass Carrier IQ auf über 140 Millionen Geräten laufe.

Was aber hat es mit Carrier IQ auf sich?

Alles nahm seinen Anfang damit, dass der IT-Experte Trevor Eckhart eine Beschreibung der Analyse Software der Firma Carrier IQ veröffentlichte in der er die Software als Rootkit bezeichnete. Daraufhin war man  bei Carrier IQ wenig amüsiert, mahnte Eckhart ab und forderte ihn zur Unterlassung auf. Dieser erhielt daraufhin Unterstützung von der US-Bürgerrechtsbewegung EFF (Electronic Frontier Foundation). Kurze Zeit später entschuldigte sich Carrier IQ(Link entfernt) bei Eckhart für das übereilte Säbelgerassel und zog die Androhung juristischer Maßnahmen zurück.

Im Kern der Anschuldigungen steht der Vorwurf, dass Carrier IQ die Möglichkeiten hat, Tastatureingaben, Standortinformationen, die installierten Apps (…) – kurzum – fast alle relevanten Daten aufzuzeichnen, die auf einem Smartphone anfallen. Zweifelsfrei nachgewiesen ist bisher, dass die auf einem HTC-Gerät für den US-Markt installierte Carrier IQ Software Suchanfragen und gewählte Telefonnummern schon während des Eintippens aufzeichnet. Carrier IQ sah sich daraufhin veranlasst, eine Pressemitteilung (Linke entfernt) herauszugeben, in der klargestellt wurde, dass Carrier IQ zwar einen weitreichenden Zugriff auf die Daten des Gerätes habe, aber keine Inhalte von SMS, E-Mails, Photos sowie Audio und Videoinhalten sammele. Beispielsweise könne die Software nachvollziehen, ob eine SMS korrekt gesendet wurde, aber nicht was in der SMS gestanden habe. [Update 12.12.11] Ineinem Update der Pressemelung vom 12.12.2011 gestand Carrier IQ dann ein, dass es auf Grund eines Bugs in einigen seltenen Fällen doch dazu gekommen sei, dass der Inhalt der SMS übermittelt worden sei. Dieser Inhalt wäre aber kodiert und damit nicht durch Menschen lesbar gewesen. [/Update] Weiterhin wisse man auch, welche Apps den Akku leersaugen, Screenshots würden jedoch nicht erstellt. Auch auf die Frage warum Carrier IQ auf den Geräten installiert ist, gibt die Pressemeldung Aufschluss: Carrier IQ werde im Interesse der Netzbetreiber installiert, um diesen eine Verbesserung der Servicequalität zu ermöglichen. Der Mitteilung kann man auch entnehmen, dass es nicht “eine” Carrier IQ Version, sondern jeweils auf den Kunden zugeschnittene Lösungen gibt.

Dies ließe vermuten, dass sich Carrier IQ Software nur auf Geräten befindet, die spezifisch auf den Netzbetreiber angepasst sind (sog. Branding). Ganz so einfach ist es jedoch nicht, da auch Apple’s populäres iPhone Carrier IQ  Software nutzt(e). In einem Rundschreiben an die Medien gab die Firma aus Cupertino bekannt, dass die Unterstützung von Carrier IQ mit iOS 5 für die meisten Geräte eingstellt wurde. Gegenüber ars technica führte Apple aus, dass das iPhone 4 auch mit iOS 5 noch Carrier IQ Software verwendet. Mit einem zukünftigen Update soll die Software jedoch aus sämtlichen iOS Geräten entfernt werden. Fraglich ist allerdings, ob dies auch für “alte” Geräte gilt, die nicht auf iOS 5 geupdatet werden können. Die Apple-Implementierung bietet gegenüber den Androidversionen die Besonderheit, dass es sich um ein Opt-In Verfahren handelt. Standardmäßig ist die Option laut Angaben von Apple ausgeschaltet. iPhone-Nutzer können unter Einstellungen>Allgemein>Info>Diagnose & Nutzung überprüfen, ob das automatische Senden von Diagnose & Nutzungsdaten aktiviert ist. Ebenfalls kann dort eingesehen werden, welche Diagnose & Nutzungsdaten erhoben wurden. Die Daten werden im Falle der iOS-Implementierung nicht an Mobilfunknetzbetreiber gesendet, sondern an Apple selbst.

Dies wirft die Frage auf, wer (nach bisherigem Kenntnisstand) von Carrier IQ betroffen ist:

Zugegeben haben bisher die US Provider AT&T, Sprint und T-Mobile USA den Einsatz von Carrier IQ auf ihren Geräten. Wie eben erläutert, setzt(e) auch Apple die Software in gewissem Umfang ein. HTC und Motorola haben angegeben die Geräte auf Wunsch der Provider mit der Software auszustatten, wobei HTC explizit betonte, dass dies für den europäischen Markt nicht geschehe. Auch auf Smartphones von Samsung und Huawei wurde Carrier IQ Software nachgewiesen.

Die deutschen Provider Telekom, E-Plus und Vodafone haben angegeben, die Software nicht zu nutzen. Mehr Spielraum lässt die Aussage von O2 zu: O2 erhält nach eigenen Angaben keine Kundendaten durch Carrier IQ. Dies schließt jedoch nicht aus, dass die Software auf O2 Geräten installiert (und möglicherweise deaktiviert) ist.

Googles Nexus Geräte (One, S, S 4G und Galaxy) laufen mit einem weder durch Hersteller noch durch Provider angepassten Android-Betriebssystem und sind daher frei von Carrier IQ Software. Auch auf Geräten von HP, Palm, RIM und sämtlichen Windows Phone 7 Geräten ist bisher keine Spur von Carrier IQ nachzuweisen gewesen.

Für den Nutzer stellt sich die Situation also wie folgt dar: Mit Windows Phone, Web OS und Blackberry Geräten ist man nach bisherigen Erkenntnissen auf der sicheren Seite. Bei Apple kann man die Funktion, wie oben beschrieben, zumindest abschalten. Android Nutzer können mit einem Tool von Trevor Eckhart herausfinden, ob ihre Geräte von Carrier IQ (und sonstiger Loging-Software) betroffen sind. Eine Abschaltung der Software ist dabei nicht vorgesehen, kann aber im Einzelfall gerätespezifisch mit etwas Aufwand bewerkstelligt werden.

Juristische Reaktionen auf Carrier IQ

Auf Grund der Berichterstattung durch die Medien hat US-Senator Al Franken, seines Zeichens Vorsitzender des Unterausschusses für Datenschutz und Technologie, Carrier IQ, die Netzbetreiber und die Gerätehersteller aufgefordert, bis Mitte Dezember ausführliche Informationen vorzulegen. Insbesondere will er dabei wissen, ob gewählte Telefonnummern und der Inhalt von SMS aufgezeichnet werden. Gestützt auf den sogenannten Federal Wiretap Act sind nach Medienberichten in den USA mittlerweile auch Sammelklagen gegen Carrier IQ, Apple, HTC, Samsung, Sprint, AT&T und T-Mobile USA eingereicht wurden. Auch die deutschen Datenschützer sind nicht untätig geblieben: Einem Bericht von Bloomberg zufolge hat der Bayerische Landesdatenschutzbeauftragte, Thomas Kranig, Apple um Details bezüglich dem Einsatz von Carrier IQ gebeten. (se)

Microsoft: Datenschutz bei Cloud-Dienst Office 365

Microsoft wird Medienberichten zufolge im Laufe dieses Monats seine Vertragsbe- stimmungen für den Cloud-Dienst Office 365 anpassen. Die Anpassung werde dazu führen, dass die nationalen datenschutzrechtlichen Vorgaben hinreichend Berück- sichtigung finden, was das bayerische Landesamt für Datenschutzaufsicht bereits schriftlich bestätigt haben soll. Zudem seien die von der Europäischen Kommission vorgegebenen Standardvertragsklauseln enthalten, die die Übermittlung personen- bezogener Daten betreffen. Den Kunden sollen künftig alle Informationen zur Cloud-Sicherheit und zum Datenschutz in einem Portal (“Trustcenter”) zur Verfügung gestellt werden. (sa)
1 277 278 279 280 281 296