Schlagwort: App
3. Oktober 2023
Der Verbraucherzentrale Bundesverband e.V. (vzbv) teste, wie Anbieter von Zyklus-Apps mit Betroffenenanfragen nach Art. 15 DSGVO umgehen. Im Ergebnis besteht für die App-Anbieter bei Beantwortung von Auskunftsersuchen Nachholbedarf.
Die Verwendung von Zyklus-Apps
Mit Hilfe von Zyklus-Apps können die Nutzerinnen persönliche Informationen über den Start ihrer Periode, gesundheitlichen Begleiterscheinungen oder beispielsweise zu einem Kinderwunsch dokumentieren. Dabei handelt es sich regelmäßig um Gesundheitsdaten im Sinne des Art. 9 DSGVO, d.h. um besondere Kategorien personenbezogener Daten, die einem besonderem Schutz unterliegen.
Im Rahmen eines Tests untersuchte nun der vzbv, wie zwölf Zyklus-Apps mit dem Recht auf Auskunft der Betroffenen umgehen. Nach Art. 15 DSGVO haben die betroffenen Nutzerinnen die Möglichkeit zu erfahren, ob die App-Anbieter ihre personenbezogenen Daten verarbeiten und wenn ja, welche Datenkategorien verarbeitet werden, zu welchen Zwecken, wem die Daten ggf. übermittelt werden, wie lange die Daten gespeichert werden und ob die Verarbeitung mittels einer automatisierten Entscheidungsfindung erfolgt. Dabei dient das Recht auf Auskunft u.a. dazu, den betroffenen Nutzern eine Informationsgrundlage zu bieten. Anschließend können sie weitere Rechte, wie das Recht auf Berichtigung oder Löschung nach Art. 16 und 17 DSGVO ausüben.
Ergebnisse der Untersuchung
Zur datenschutzrechtlichen Untersuchung der Apps sollten drei Verbraucherinnen alles zwölf Apps verwenden. Im Anschluss stellte der vzbv im Namen jeder Verbraucherin eine Auskunftsanfrage. Zum Abgleich stellte anschließend die Stiftung Warentest die gleichen Fragen offen an die App-Anbieter.
Im Ergebnis erkennbar sei, laut vzbv dass die App-Anbieter einen großer Teil der Auskunftsanfragen, d.h. 31 von 36 innerhalb der gesetzlichen Frist von einem Monat beantwortet hätten. Zu der Frage, ob eine Datenverarbeitung erfolge, hätten die App-Anbieter in 21 von 31 Fällen geantwortet.
Negativ aufgefallen seien vier Anbieter, deren Auskünfte den eigenen Datenschutzerklärungen widersprochen hätten. Dabei habe ein Anbieter auf die Auskunftsanfrage geantwortet, dass er keine Gesundheitsdaten verarbeite. Nach der eigenen Datenschutzerklärung sei dies aber gerade der Fall.
Hinzukäme, dass die App-Anbieter über die bloße Datenverarbeitung hinausgehende Fragen nur lückenhaft beantwortet hätten. Insbesondere die Fragen zu den Zwecken der Datenverarbeitung seien nur unzureichend beantwortet worden. Zu den Verarbeitungszwecken hätten die App- entweder keine, falsche oder unvollständige Antworten gegeben.
Fazit
Der durchgeführte Test erfolgte im Rahmen einer Untersuchung der Stiftung Warentest zu Zyklus-Apps. Die Anfragen zeigen, dass alle Nutzer achtsam mit der Abgabe personenbezogener Daten umgehen sollten. Dabei zeigt sich auch, dass die Wahrung von Betroffenen Rechten ein wichtiger Bestandteil des Datenschutzes sind.
21. Juli 2022
Der gemeinnützige Verein Digitalcourage hat diese Woche bekannt gegeben, dass er beabsichtigt eine Klage gegen die Deutschen Bahn einzureichen. Konkret will Digitalcourage gegen die „DB Navigator“-App vorgehen. Begründet hat der Verein sein Vorhaben damit, dass durch die App ein umfangreiches und nicht datenschutzkonformes Tracking stattfinde.
Funktionsweise der App
Die „DB Navigator“-App bietet Reisenden der Deutschen Bahn eine Vielzahl von Anwendungen. Der Nutzer kann über die App beispielsweise Zugverbindung suchen, sich Echtzeit-Verspätungen anzeigen lassen, Zugtickets kaufen und diese im Anschluss in der App hinterlegen.
Die Kritik
Digitalcourage e.V. kritisiert an der „DB Navigator“-App die Cookie-Einstellungen. Der Nutzer der App könne zunächst zwischen den Einstellungen „Alle Cookies zulassen“, „Cookie-Einstellung öffnen“ und „Nur erforderliche Cookies zulassen“ wählen. Hierbei ist die vermeintlich datenschutzfreundlichste Wahlmöglichkeit die Letzte. Wenn der Nutzer nur technisch notwendige Cookies auswählt, soll die App nur diejenigen Cookies anwenden, die für ihr ordnungsgemäßes Funktionieren erforderlich sind.
Wählt der Nutzer die letzte Option („Nur erforderliche Cookies zulassen“), so sei diese Wahl laut Digitalcourage aus datenschutzrechtlicher Sicht problematisch, da ein umfangreiches Tracking stattfinde. Wenn der Nutzer nur technisch notwendige Cookies auswähle, wende die App verschiedene Funktionen von rund zehn Unternehmen an. Bei Anwendung der durch die Unternehmen zur Verfügung gestellten Dienstleistungen, können beispielsweise Nutzungsstatistiken erstellt oder dem Nutzer personalisierte Angebote anzeigt werden. Die Folge sei, dass die App personenbezogene Daten ihrer Nutzer an diese Unternehmen übermittle. Zu den übermittelten personenbezogenen Daten zählen beispielsweise die Anzahl der Reisenden, der Beginn der Reise, der Start- und Zielbahnhof.
Indem die Deutsche Bahn die eingesetzten Cookies zu solchen Cookies erkläre, die technisch notwendig seien, könne der Nutzer dieser Übermittlung nicht widersprechen. Außerdem sei für den Nutzer nicht ersichtlich, wann und in welchem Umfang die App seine personenbezogenen Daten übermittle. Hinzukäme, dass der Reisende gezwungen sei die App zu nutzen, da einige Dienstleistungen nur über die App erbracht werden. Beispielsweise könne ein Reisender nach Fahrtantritt Tickets nicht mehr beim Schaffner, sondern nur noch über die App kaufen.
21. Februar 2022
Die App, die ohnehin schon schon wegen zahlreichen datenschutzrechtlichen Problemen in der Kritik stand (wie hier berichtet), könnte nun auch zum Instrument der Strafverfolgung werden, ginge es nach dem Willen der Brandenburger Justizministerin Susanne Hoffmann. Die Kontaktdaten der Luca-App sollen zur Verfolgung schwerer Straftaten genutzt werden, forderte die CDU-Politikerin am Donnerstag im Rechtsausschuss des Landtages.
Die Kontaktdaten würden ausschließlich zur Verfolgung schwerer Straftaten eingesetzt werden. Als Beispiele für solche schweren Straftaten nennt Hoffmann eine “gewaltsame Auseinandersetzung in einer Lokalität, die in einem Tötungsdelikt endet” oder eine “Vergewaltigung in einem Restaurant”. Auch würde die App nur bei einer umfassenden Abwägung von Staatsanwaltschaft und Gerichten im Einzelfall zur Anwendung kommen.
Kritik an der Forderung
Von Seiten der Opposition hagelte es jedoch Kritik in puncto Datenschutz. Der rechtspolitische Sprecher der FDP in Brandenburg sprach von einem “Datenmissbrauch”. Der Fraktionschef der freien Wähler, Péter Vida, unterstrich, die Daten der App dürften nur für die Kontaktnachverfolgung von Infektionsketten, aber nicht für die Ermittlung nach Straftaten genutzt werden. Damit spielt er auf das Gebot der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO im Datenschutz an. Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Werden die Daten zu einem anderen Zweck verarbeitet als zu dem sie erhoben wurden, ist die Verarbeitung nicht mehr von der ursprünglichen Rechtsgrundlage gedeckt. Wenn also der Nutzer der Luca-App in die Erhebung seiner Daten zu Zwecken der Kontaktverfolgung von Infektionsketten einwilligt, ist die Verarbeitung seiner Kontaktdaten zum Zwecke der Strafverfolgung rechtswidrig, weil nicht vom ursprünglichen Erhebungszweck gedeckt. Es gilt abzuwarten, ob sich die Forderung von Susanne Hoffmann bei dieser Rechtslage durchsetzen kann.
20. Mai 2021
Dass der Wahlkampf der Parteien nicht mehr ausschließlich auf Wahlplakaten stattfindet, ist kein Geheimnis. Auch die Politik geht mit der Zeit und bemüht sich zunehmend um den Einsatz „neuer“ Medien. So setzt die CDU zur Unterstützung des eigenen Wahlkampfs seit der Bundestagswahl im Jahr 2017 auf eine eigene App, die CDU-Connect-App.
Mit Hilfe der Connect-App soll es den Wahlkampfhelfern der CDU möglichst einfach gemacht werden, einen effizienten Haustürwahlkampf zu organisieren. So kann in der App beispielsweise eingetragen werden, in welcher Straße man es bereits versucht, bei welchem Haus man geklingelt, ob und wer geöffnet hat und letztlich natürlich auch, wie die Person zur CDU steht. Über die Jahre sollen sich dabei riesige Datensätze angesammelt haben. Auf die Sicherheitslücke aufmerksam geworden ist die Softwareentwicklerin Lilith Wittmann, die nach eigenen Angaben über Twitter auf die App hingewiesen wurde. Ihre Herangehensweise und Ergebnisse veröffentlichte sie dann in einem eigenen Blogpost.
Das Besondere an ihrem Fund sind dabei allerdings nicht die oben genannten Rohdaten, sondern vielmehr die erfassten Zusatzinformationen, die bei einem Besuch notiert wurden. So wurde etwa der Inhalt einzelner Gespräche paraphrasiert oder politische Meinungen in Kurzform festgehalten. Auf Anfrage des Spiegels hin versicherte die CDU jedoch, die Daten nur anonymisiert gespeichert zu haben, sodass Aussagen nicht auf einzelne Personen rückführbar seien.
Anders sieht es allerdings bezüglich der Daten von eigenen Wahlkampfhelfern und Unterstützern aus. Nach Angaben von Wittmann waren die Informationen von knapp 20.000 Menschen einsehbar. Davon umfasst sein sollen Daten, wie etwa E-Mail-Adressen, Fotos und teilweise auch Facebook-Tokens. Weitreichendere Angaben wurden von etwa 1350 Unterstützern entdeckt. Bei ihnen ließen sich Adressen, Geburtsdaten und Interessen finden.
Ihren Fund hat Wittmann dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der CDU mitgeteilt. Die Partei reagierte schnell und entfernte die App vorsorglich aus dem Play und App Store. Zusätzlich meldete man sich bei Twitter und verspricht die Sicherheitslücke schnellstmöglich zu schließen. Außerdem sollen laut Angaben der CDU alle Betroffenen informiert werden.
7. April 2021
Die Nachverfolgung persönlicher Kontakte wird seit Beginn der Covid-19-Pandemie als ein wirksames Mittel zur Pandemiebekämpung betrachtet. Nachdem das Robert-Koch-Institut die Corona-Warn-App veröffentlichte, machten sich auch private Anbieter an die Entwicklung entsprechender Apps, wie beispielsweise die App Luca. In einer Stellungnahme vom 26. März hat sich die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – zu diesen Thema geäußert.
Öffentliche Stellen wollen privat betriebene Apps nutzen
Hintergrund der Stellungnahme ist, dass nunmehr einige Länder und Landkreise die Absicht bekundet hätten, private entwickelte Apps zu nutzen und auch eine Verbindung zu den lokalen Gesundheitsämtern zu ermöglichen. Dabei weist die DSK noch einmal darauf hin, dass ein solches Vorgehen datenschutzkonform erfolgen müsse. Dies sei in datensparsamer Weise aber nur dann möglich, wenn es bundesweit auf einheitliche Regelungen gestützt werde. Solche gesetzliche Regelung fehlten jedoch, so die DSK.
DSK zu den Anforderungen an die Datensicherheit
Auch fasst die DSK noch einmal zusammen, welche Funktionen eine App zur Gewährleistung der Datensicherheit aufweisen sollte: Ende-zu-Ende-Verschlüsselung (sodass auch der Betreiber nicht auf die Daten zugreifen kann), automatisierte fristgemäße und datenschutzkonforme Datenlöschung, sichere Wege zur Datenübermittlung von Nutzer/Veranstalter zum Gesundheitsamt (anstatt E-Mail oder Fax), strikte Zweckbindung der Daten (sichergestellt durch entsprechende technische und organisatorische Maßnahmen) sowie unverzügliche Information über das Infektionsrisiko. Aus organisatorischer Sicht müsse die datenschutzrechtliche Verantwortung klar verteilt werden, Betroffenenrechte seien transparent und eindeutig zu regeln und die Freiwilligkeit der digitalen Erhebnung sicherzustellen.
Auch Luca-App habe noch Anpassungsbedarf
In Bezug auf die App Luca seien bereits wesentliche Punkte sichergestellt, jedoch identifiziert die DSK auch hier noch notwendige Anpassungen. So sieht die DSK die derzeit implementierte zentrale Speicherung aller erhobenen Daten kritisch und möchte hier auf eine dezentrale Speicherung hinwirken. Problematisch sei zudem, dass der Schlüssel zur Entschlüsselung der Daten (es gebe nur einen Schlüssel für alle Gesundheitsämter) bei dem Anbieter liege. Hier könne beispielsweise ein Hacker-Angriff alle erhobenen Daten in Gefahr bringen.
DSK: Orientierungshilfe für Betreiber und Appell an Gesetzgeber
Schließlich betont die DSK die Verantwortung der zuständigen Aufsichtsbehörden, die Systemsicherheit zu überprüfen und mit den Anbietern entsprechender Apps im Gespräch zu bleiben. Zur Unterstützung werde die DSK eine Orientierungshilfe für die App-Betreiber erarbeiten und kurzfristig veröffentlichen. Gleichzeitig appelliere die DSK an die Gesetzgeber des Bundes und der Länder, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen. Dabei sei auch zu prüfen, inwieweit mit datensparsameren Verfahren das Ziel der Kontaktnachverfolgung im Rahmen der aktuellen Pandemiebekämpfung erreicht werden kann.
12. März 2021
„Luca App“ (im Folgenden Luca) – so heißt die neue App im Corona-Universum.
Hinter dieser App steckt die Idee, den Aufwand zur Kontaktnachverfolgung nach Restaurant-, Hotel- oder Konzertbesuchen für alle Parteien einfacher zu gestalten. Ziel ist es, dass Besucher ihre personenbezogenen Daten – Name, Adresse und Telefonnummer – nicht mehr in Listen eintragen müssen, sodass Luca die bisherige Zettelwirtschaft ablösen kann.
Die händisch eingetragenen Daten hatten zudem den Nachteil, dass diese nicht zuletzt wegen unleserlicher oder ausgedachter Kontaktadressen für die Gesundheitsämter meist wenig hilfreich waren. Die personenbezogenen Daten werden von Luca für 14 Tage gespeichert und können, sofern der Nutzer einwilligt, im Falle einer Infektion mit COVID19 dem zuständigen Gesundheitsamt zur Verfügung gestellt werden.
Luca kann kostenlos im Google Play Store und im Apple App Store heruntergeladen werden. Bei der Registrierung muss der Nutzer den Namen, die Adresse und die Telefonnummer angeben. Laut Hersteller werden die Daten anonym und verschlüsselt gespeichert. Das heißt: Dritte, wie Restaurantbetreiber, können die Angaben nicht einsehen.
Erfolgt eine Infektions-Meldung an das Gesundheitsamt, wird die betroffene Person kontaktiert. Sodann geben Infizierte, sofern sie dazu einwilligt haben, in Luca via TAN ihre Historie, sprich die Orte und Veranstaltungseinrichtungen, die sie besucht haben, an das Gesundheitsamt frei. Das zuständige Gesundheitsamt entschlüsselt die Historie und erhält Informationen über die Aufenthaltsorte der letzten 14 Tage. Anschließend werden betroffene Veranstaltungsorte vom Gesundheitsamt kontaktiert und aufgefordert, die zeitlich relevanten Check-Ins über das Luca-System freizugeben. Die Check-Ins werden vom Gesundheitsamt entschlüsselt, wodurch eine schnelle wie auch lückenlose Nachverfolgung der Kontaktpersonen eingeleitet werden kann. Gehört eine Person zur Kontaktgruppe, wird sie vom Gesundheitsamt informiert.
Die Entwickler der Luca App versprechen höchste Datensicherheit. Die dezentral gespeicherten Nutzerdaten können nur von den Gesundheitsämtern, nicht aber von den Gastgebern, der App oder Dritten ausgelesen werden. “Wir haben frühzeitig die Datenschützer mit ins Boot geholt – es hilft ja niemandem etwas, wenn wir erst etwas entwickeln, das von den Datenschützern so nicht abgenickt wird.” Die App könne nur dann beim Weg aus dem Lockdown helfen, wenn alle Beteiligten die App auch gut finden, alle bereit seien, diese auch zu benutzen. “Daher finden wir es wichtig, dass Luca positiv besetzt ist. Es sollen für Betreiber und Gäste keine Kosten entstehen, niemand muss Angst um seine Daten haben.”
Smudo, Rapper der Fantastischen Vier und unter anderem Mitwirkender der App, beteuert, dass die Luca-App nicht als Konkurrenz zur Warn-App des Bundes geplant ist. “Das sind zwei ganz verschiedene Dinge”, Rapper Smudo, „Die Warn-App sei eine Art passives Risiko-Radar, Luca erleichtere hingegen die Arbeit der Gesundheitsämter.“
16. April 2020
Seit Wochen überschlagen sich die Nachrichten zur Videokonferenz App Zoom, das seit der Corona Krise eine rasante Nachfrage zu verzeichnen hat, gleichzeitig aber auch mit erheblicher Kritik hinsichtlich seiner Datensicherheit kämpft (wir berichteten hierzu am 01.04.2020 und 09.04.2020).
Das Unternehmen arbeitet laut eigener Aussage seitdem auf Hochtouren daran seine Datensicherheit zu verbessern.
Politiker raten von Nutzung ab
Deutsche Politiker raten momentan jedoch weiter von der Verwendung des Videodienstes ab. Solange es dem Unternehmen nicht gelinge, sämtliche Sicherheits- und Datenschutzvorwürfe vollständig zu entkräften, könne Zoom nicht als Videokonferenzdienst empfohlen werden.
Der Vorsitzende des Digitalausschusses im Bundestag, Manuel Höferlin (FDP) äußert sich hierzu sehr deutlich: „Solange Zoom nicht nachweisen kann, dass ihre Software sicher und vertrauenswürdig ist, sollten deutsche Unternehmen auf die Nutzung dieser Video-Plattform weitestgehend verzichten. Das sollte zumindest für alle Besprechungen gelten, bei denen das erforderliche Vertraulichkeitsmaß höher ist als bei einer Postkarte.“
Vor allem aber auch Behörden und Ministerien wird von einer Nutzung der App abgeraten. Politiker von CDU und FDP befürchten einen Zugriff Chinas auf die Nutzerdaten und Inhalte.
Das Unternehmen hatte noch im Februar Konferenzen über Server in China geleitet. Auch wenn das Problem nach eigener Aussage des Unternehmens mittlerweile behoben sei, sind deutsche Politiker weiterhin der Ansicht, dass der Zugriff chinesischer Behörden auf Zoom-Daten nicht ausgeschlossen werden könne. Vor allem da sich nach wie vor ein Rechenzentrum des Unternehmens in China befinde.
Zoom reagiert
Per Blog-Post gab das Unternehmen nun bekannt, dass zahlende Kunden ab dem 18.April die Möglichkeit erhalten sollen, Rechenzentren-Regionen selbst auszuwählen. Somit soll der zahlende Kunde selbst entscheiden können, über welche Länder die Daten und Konferenzen geleitet werden. Als Regionen zur Auswahl stehen derzeit die USA, Kanada, Europa, Indien, Australien, China, Lateinamerika, und die Region Japan / Hong Kong.
Nutzer die die App weiterhin kostenlos nutzen wollen, haben diese Möglichkeit allerdings nicht.
Fazit
Es bleibt abzuwarten, ob Zoom es schafft seine Funktionen sicherer zu gestalten. Massive datenschutzrechtliche Bedenken bestehen in jedem Falle weiterhin und auch die Politik hat deutlich gemacht, dass Zoom für sensible Daten oder vertrauliche Informationen keinesfalls verwendet werden sollte.
Update
Wie jetzt bekannt wurde, werden die Zugangsdaten von über 500.000 Zoom-Accounts im Darknet für weniger als einen Penny zum Kauf angeboten. In einigen Fällen werden die Daten auch kostenlos zur Verfügung gestellt. Der Verkauf soll seit Anfang April 2020 laufen.
Die Daten wurden vermutlich durch sogenannte „Credential Stuffing“-Angriffe gesammelt. Hierbei versuchen Hacker sich bei Online-Diensten – wie in diesem Fall Zoom – mit Login-Daten anzumelden, die aus älteren Datenpannen stammen. Denn: Viele Nutzer verwenden dasselbe Passwort für mehrere Dienste. Dies kommt Hackern beim „Credential Stuffing“ zugute. Erfolgreiche Anmeldungen werden dann in Listen zusammengestellt und an andere Hacker verkauft. Die Listen beinhalten neben den E-Mail-Adressen auch Passwortkombinationen.
Zoom erklärte, gegen diese Angriffe bereits umfangreiche Maßnahmen ergriffen zu haben. So habe man Firmen damit beauftragt, die Passwort-Dumps und Tools, mit denen diese erstellt wurden, ausfindig zu machen. Außerdem würden als kompromittiert erkannte Zoom-Accounts gesperrt und Nutzer würden gebeten, ihre Passwörter zu ändern. Zoom betonte außerdem, dass große Unternehmenskunden mit eigenen Single-Sign-On-Systeme im Allgemeinen nicht von den Angriffen betroffen seien.
Bei „Credential Stuffing“ handelt es sich um kein Zoom-spezifisches Sicherheitsproblem. Jeder Dienst kann Opfer solcher Angriffe werden. Doch insbesondere während der Corona-Krise, in der ein erhöhter Bedarf an Video-Kommunikationsmitteln besteht, sind die Nutzerdaten von Zoom für Hacker wohl von besonderem Interesse.
9. April 2020
Auch in Zeiten von Covid 19 gilt es den Datenschutz und die Datensicherheit ernst zu nehmen. Das hat sich mittlerweile auch bis zum Silicon Valley rumgesprochen. Der Anbieter der Videokonferenz-App Zoom reagiert nämlich auf die anhaltende Kritik. Das Unternehmen führt Maßnahmen ein, die bei den Nutzern für mehr Datenschutz- und Sicherheit sorgen sollen. Insbesondere das sogenannte “Zoombombing” will Zoom verhindern.
Hintergrund
Die mittlerweile 200 Millionen Nutzer zählende Videokonferenz-App erlebt wegen der Corona Krise einen regelrechten Boom, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:
So häuften sich in den USA Fälle des Zoombombing. Hierbei wählen sich Trolle durch das Erraten von Zoom-Meeting-IDs, eine Ziffernfolge, in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein. Bis jetzt war dies möglich, weil die bloße Kenntnis der ID ausreichte, um sich ungefragt in nicht passwortgeschütze Meetings einzuklinken. Manche Nutzer machten es den Trollen aber auch nicht gerade schwer. So teilten viele Nutzer – prominentestes Beispiel ist wohl der britische Premierminister Boris Johnson – Screenshots ihrer Zoom Gespräche über ihre Social Media Accounts. Auf diesen Screenshots war dann die Zoom-Meeting-ID für jedermann sichtbar.
Zuletzt hat sogar Google seinen Mitarbeitern die Benutzung des Videkonferenz-Programms auf Arbeitsrechnern untersagt, weil Sicherheitsstandarts nicht eingehalten würden, wie ein Konzernsprecher gegenüger BuzzFeed bekannt gab. In unserem Beitrag vom 01.04.2020 sind wir auf weitere datenschutzrechtliche Bedenken eingegangen.
Step by step: Zoom reagiert
Der Videodienst hat für alle seine Plattformen nun eine erneuerte Version seiner Client-Software zur Verfügung gestellt. Eine der Neuerungen ist, dass die Meeting-ID nun nicht mehr wie bis dato für jedermann sichtbar in der Titelleiste steht. Ferner wurde ein “Security”-Button eingeführt. Dieser soll relevante Sicherheitsfeatures bündeln und transparent darstellen. Beispielsweise kann so der Zurgiff auf Meetings für die Außenwelt komplett gesperrt werden.
Nach unserer Einschätzung dürfte dies kurzen Prozess mit dem Phänomen des Zoombombing machen. Doch damit nicht genug. Zoom-Chef Eric Yuan kündigte an, in den nächsten drei Monaten step by step weitere Schwachstellen zu eliminieren anstatt neue Funktionen zu entwickeln.
1. April 2020
Laut New York Times ist die Videokonferenz-App Zoom ins Blickfeld der New Yorker Generalstaatsanwaltschaft geraten.
Die Staatsanwaltschaft forderte das verantwortliche Unternehmen demnach auf, Auskunft über die getroffenen Sicherheitsmaßnahmen zum Schutz von Nutzerdaten zu erteilen. Des Weiteren will die Staatsanwaltschaft prüfen, welche Kategorien von Daten die App genau sammle.
Hintergrund
Die Videokonferenz-App Zoom hat seit der Corona Krise eine enorme Nachfrage zu verzeichnen, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:
So häufen sich in den USA Fälle des sogenannten „Zoombombing“. Hierbei wählen sich Fremde in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein.
Ende März berichtete das Magazin Motherboard, dass Zoom die Daten seiner Nutzer an Facebook weitergebe. Dies geschehe unabhängig davon, ob der Nutzer über ein Facebook Profil verfüge oder nicht. Sobald der Nutzer die App öffne, gebe Zoom beispielsweise Einzelheiten über das verwendete Gerät des Nutzers – wie das Modell, die Zeitzone und die Stadt von der die Verbindung hergestellt wird – und den Namen des Mobilfunkanbieters an Facebook weiter.
Kritisiert wurde dabei weniger die Form der Datenübermittlung, als dass die Datenschutzhinweise von Zoom über diese Vorgehensweise nicht aufklärten. Dort hieß es lediglich, dass Facebook-Profilinformationen gesammelt werden könnten, wenn man sich mit seinem Facebook Konto anmeldet. Dass darüber hinaus eine generelle Datenübermittlung an Facebook stattfinde, ging aus den Datenschutzhinweisen nicht hervor.
Erst als die Datenweitergabe an Facebook öffentlich wurde, reagierte das Unternehmen umgehend und beendete die uneingeschränkte Datenweitergabe an Facebook mittels eines Updates.
Auch die US-Bürgerrechtsorganisation EFF wies jüngst darauf hin, dass Administratoren in Zoom erhebliche Einblicke in das jeweilige Nutzerverhalten erhielten. So hätten Administratoren die Möglichkeit sich darüber zu informieren, wie, wann und wo der jeweilige Nutzer Zoom benutze und könnten über ein Ranglistensystem Kenntnis von der Gesamtzahl der Sitzungen eines Nutzers erlangen. Weiterhin ermögliche Zoom die Aufmerksamkeit der Nutzer zu kontrollieren, in dem der Gastgeber einer Konferenz eine Mitteilung erhalte, sobald das Zoom-Fenster eines Konferenzteilnehmers länger als 30 Sekunden nur im Hintergrund liefe.
Sicherheitsmaßnahmen prüfen
Der Staatsanwaltschaft gehe es, laut NY Times, vor allem darum, sicherzustellen, dass Zoom eine umfassende Überprüfung seiner Sicherheitspraktiken vorgenommen hat und die Sicherheitsmaßnahmen des Unternehmens dem neuen und erhöhtem Datenverkehr auch in datenschutzrechtlicher Hinsicht gerecht werden.
Das Unternehmen selbst teilte mit, der Generalstaatsanwaltschaft die gewünschten Informationen zur Verfügung stellen zu wollen.
Update
Zoom selbst hat sich mit einem umfassenden Statement zu der Situation geäußert und erläutert, welche Maßnahmen, abgesehen von der Beendigung der Datenweitergabe an Facebook, ergriffen wurden und welche in Zukunft zum Tragen kommen sollen, um die datenschutzkonforme Nutzung von Zoom zu ermöglichen.
Zu den ergriffenen Maßnahmen gehört unter anderem ein Update der Datenschutzerklärung und die Deaktivierung des in Kritik geratenen “Aufmerksamkeitstracking” (welches darüber hinaus sowieso nur aktiv war, wenn der Host es bewusst aktiviert).
18. Juli 2019
Ist man derzeit im Internet und dort insbesondere auf den unterschiedlichsten Social-Media-Netzwerken unterwegs, stolpert man seit einigen Tagen vermehrt auf Portraitbilder, die die Abgebildeten älter erscheinen lassen als sie tatsächlich sind. Möglich macht dies ein Filter der App “Face App”, die sowohl auf iOS als auch auf Android erhältlich ist und sich momentan großer Beliebtheit erfreut – auch weil oben erwähnter Gesichtsfilter kostenlos und beliebig oft auf bereits vorhandene Fotos sowie auf Liveaufnahmen angewendet werden kann.
Wie so oft bei der Nutzung von neuen Apps bleibt dabei jedoch die datenschutzrechtliche Komponente von der großen Maße der Nutzer unbeachtet. Auch gerade deshalb werden die öffentlichen Stimmen und Kritiken gegen die App des russischen Unternehmens Wireless Lab lauter, um vor datenschutzrechtlichen Risiken zu warnen.
So warnt nun auch der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bei SWR aktuell wegen “Befürchtungen, dass wichtige persönliche Daten in die falschen Hände geraten könnte” vor der Nutzung der App. Die Nutzungsbedingungen und die Datenschutzerklärung seien schwammig, insbesondere im Hinblick auf die Informationen wie die im Rahmen der App verarbeiteten und erhobenen personenbezogenen Daten genutzt und weitergegeben werden.
Die Entwickler betonen dagegen, dass keine Daten an Dritte weitergegeben oder verkauft würden.