Schlagwort: App

Datenschutz im Wahlkampf

20. Mai 2021

Dass der Wahlkampf der Parteien nicht mehr ausschließlich auf Wahlplakaten stattfindet, ist kein Geheimnis. Auch die Politik geht mit der Zeit und bemüht sich zunehmend um den Einsatz „neuer“ Medien. So setzt die CDU zur Unterstützung des eigenen Wahlkampfs seit der Bundestagswahl im Jahr 2017 auf eine eigene App, die CDU-Connect-App.

Mit Hilfe der Connect-App soll es den Wahlkampfhelfern der CDU möglichst einfach gemacht werden, einen effizienten Haustürwahlkampf zu organisieren. So kann in der App beispielsweise eingetragen werden, in welcher Straße man es bereits versucht, bei welchem Haus man geklingelt, ob und wer geöffnet hat und letztlich natürlich auch, wie die Person zur CDU steht. Über die Jahre sollen sich dabei riesige Datensätze angesammelt haben. Auf die Sicherheitslücke aufmerksam geworden ist die Softwareentwicklerin Lilith Wittmann, die nach eigenen Angaben über Twitter auf die App hingewiesen wurde. Ihre Herangehensweise und Ergebnisse veröffentlichte sie dann in einem eigenen Blogpost.

Das Besondere an ihrem Fund sind dabei allerdings nicht die oben genannten Rohdaten, sondern vielmehr die erfassten Zusatzinformationen, die bei einem Besuch notiert wurden. So wurde etwa der Inhalt einzelner Gespräche paraphrasiert oder politische Meinungen in Kurzform festgehalten. Auf Anfrage des Spiegels hin versicherte die CDU jedoch, die Daten nur anonymisiert gespeichert zu haben, sodass Aussagen nicht auf einzelne Personen rückführbar seien.

Anders sieht es allerdings bezüglich der Daten von eigenen Wahlkampfhelfern und Unterstützern aus. Nach Angaben von Wittmann waren die Informationen von knapp 20.000 Menschen einsehbar. Davon umfasst sein sollen Daten, wie etwa E-Mail-Adressen, Fotos und teilweise auch Facebook-Tokens. Weitreichendere Angaben wurden von etwa 1350 Unterstützern entdeckt. Bei ihnen ließen sich Adressen, Geburtsdaten und Interessen finden.

Ihren Fund hat Wittmann dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der CDU mitgeteilt. Die Partei reagierte schnell und entfernte die App vorsorglich aus dem Play und App Store. Zusätzlich meldete man sich bei Twitter und verspricht die Sicherheitslücke schnellstmöglich zu schließen. Außerdem sollen laut Angaben der CDU alle Betroffenen informiert werden.

Kategorien: Allgemein · DSGVO · Online-Datenschutz
Schlagwörter: , , ,

DSK: Kontaktverfolgung durch Apps sicher gestalten und regeln

7. April 2021

Die Nachverfolgung persönlicher Kontakte wird seit Beginn der Covid-19-Pandemie als ein wirksames Mittel zur Pandemiebekämpung betrachtet. Nachdem das Robert-Koch-Institut die Corona-Warn-App veröffentlichte, machten sich auch private Anbieter an die Entwicklung entsprechender Apps, wie beispielsweise die App Luca. In einer Stellungnahme vom 26. März hat sich die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – zu diesen Thema geäußert.

Öffentliche Stellen wollen privat betriebene Apps nutzen

Hintergrund der Stellungnahme ist, dass nunmehr einige Länder und Landkreise die Absicht bekundet hätten, private entwickelte Apps zu nutzen und auch eine Verbindung zu den lokalen Gesundheitsämtern zu ermöglichen. Dabei weist die DSK noch einmal darauf hin, dass ein solches Vorgehen datenschutzkonform erfolgen müsse. Dies sei in datensparsamer Weise aber nur dann möglich, wenn es bundesweit auf einheitliche Regelungen gestützt werde. Solche gesetzliche Regelung fehlten jedoch, so die DSK.

DSK zu den Anforderungen an die Datensicherheit

Auch fasst die DSK noch einmal zusammen, welche Funktionen eine App zur Gewährleistung der Datensicherheit aufweisen sollte: Ende-zu-Ende-Verschlüsselung (sodass auch der Betreiber nicht auf die Daten zugreifen kann), automatisierte fristgemäße und datenschutzkonforme Datenlöschung, sichere Wege zur Datenübermittlung von Nutzer/Veranstalter zum Gesundheitsamt (anstatt E-Mail oder Fax), strikte Zweckbindung der Daten (sichergestellt durch entsprechende technische und organisatorische Maßnahmen) sowie unverzügliche Information über das Infektionsrisiko. Aus organisatorischer Sicht müsse die datenschutzrechtliche Verantwortung klar verteilt werden, Betroffenenrechte seien transparent und eindeutig zu regeln und die Freiwilligkeit der digitalen Erhebnung sicherzustellen.

Auch Luca-App habe noch Anpassungsbedarf

In Bezug auf die App Luca seien bereits wesentliche Punkte sichergestellt, jedoch identifiziert die DSK auch hier noch notwendige Anpassungen. So sieht die DSK die derzeit implementierte zentrale Speicherung aller erhobenen Daten kritisch und möchte hier auf eine dezentrale Speicherung hinwirken. Problematisch sei zudem, dass der Schlüssel zur Entschlüsselung der Daten (es gebe nur einen Schlüssel für alle Gesundheitsämter) bei dem Anbieter liege. Hier könne beispielsweise ein Hacker-Angriff alle erhobenen Daten in Gefahr bringen.

DSK: Orientierungshilfe für Betreiber und Appell an Gesetzgeber

Schließlich betont die DSK die Verantwortung der zuständigen Aufsichtsbehörden, die Systemsicherheit zu überprüfen und mit den Anbietern entsprechender Apps im Gespräch zu bleiben. Zur Unterstützung werde die DSK eine Orientierungshilfe für die App-Betreiber erarbeiten und kurzfristig veröffentlichen. Gleichzeitig appelliere die DSK an die Gesetzgeber des Bundes und der Länder, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen. Dabei sei auch zu prüfen, inwieweit mit datensparsameren Verfahren das Ziel der Kontaktnachverfolgung im Rahmen der aktuellen Pandemiebekämpfung erreicht werden kann.

LUCA APP – die Lösung für die Zettelwirtschaft?

12. März 2021

„Luca App“ (im Folgenden Luca) – so heißt die neue App im Corona-Universum.
Hinter dieser App steckt die Idee, den Aufwand zur Kontaktnachverfolgung nach Restaurant-, Hotel- oder Konzertbesuchen für alle Parteien einfacher zu gestalten. Ziel ist es, dass Besucher ihre personenbezogenen Daten – Name, Adresse und Telefonnummer – nicht mehr in Listen eintragen müssen, sodass Luca die bisherige Zettelwirtschaft ablösen kann.

Die händisch eingetragenen Daten hatten zudem den Nachteil, dass diese nicht zuletzt wegen unleserlicher oder ausgedachter Kontaktadressen für die Gesundheitsämter meist wenig hilfreich waren. Die personenbezogenen Daten werden von Luca für 14 Tage gespeichert und können, sofern der Nutzer einwilligt, im Falle einer Infektion mit COVID19 dem zuständigen Gesundheitsamt zur Verfügung gestellt werden.

Luca kann kostenlos im Google Play Store und im Apple App Store heruntergeladen werden. Bei der Registrierung muss der Nutzer den Namen, die Adresse und die Telefonnummer angeben. Laut Hersteller werden die Daten anonym und verschlüsselt gespeichert. Das heißt: Dritte, wie Restaurantbetreiber, können die Angaben nicht einsehen.

Erfolgt eine Infektions-Meldung an das Gesundheitsamt, wird die betroffene Person kontaktiert. Sodann geben Infizierte, sofern sie dazu einwilligt haben, in Luca via TAN ihre Historie, sprich die Orte und Veranstaltungseinrichtungen, die sie besucht haben, an das Gesundheitsamt frei. Das zuständige Gesundheitsamt entschlüsselt die Historie und erhält Informationen über die Aufenthaltsorte der letzten 14 Tage. Anschließend werden betroffene Veranstaltungsorte vom Gesundheitsamt kontaktiert und aufgefordert, die zeitlich relevanten Check-Ins über das Luca-System freizugeben. Die Check-Ins werden vom Gesundheitsamt entschlüsselt, wodurch eine schnelle wie auch lückenlose Nachverfolgung der Kontaktpersonen eingeleitet werden kann. Gehört eine Person zur Kontaktgruppe, wird sie vom Gesundheitsamt informiert.

Die Entwickler der Luca App versprechen höchste Datensicherheit. Die dezentral gespeicherten Nutzerdaten können nur von den Gesundheitsämtern, nicht aber von den Gastgebern, der App oder Dritten ausgelesen werden. “Wir haben frühzeitig die Datenschützer mit ins Boot geholt – es hilft ja niemandem etwas, wenn wir erst etwas entwickeln, das von den Datenschützern so nicht abgenickt wird.” Die App könne nur dann beim Weg aus dem Lockdown helfen, wenn alle Beteiligten die App auch gut finden, alle bereit seien, diese auch zu benutzen. “Daher finden wir es wichtig, dass Luca positiv besetzt ist. Es sollen für Betreiber und Gäste keine Kosten entstehen, niemand muss Angst um seine Daten haben.”

Smudo, Rapper der Fantastischen Vier und unter anderem Mitwirkender der App, beteuert, dass die Luca-App nicht als Konkurrenz zur Warn-App des Bundes geplant ist. “Das sind zwei ganz verschiedene Dinge”, Rapper Smudo, „Die Warn-App sei eine Art passives Risiko-Radar, Luca erleichtere hingegen die Arbeit der Gesundheitsämter.“

Videodienst Zoom weiter in der Kritik

16. April 2020

Seit Wochen überschlagen sich die Nachrichten zur Videokonferenz App Zoom, das seit der Corona Krise eine rasante Nachfrage zu verzeichnen hat, gleichzeitig aber auch mit erheblicher Kritik hinsichtlich seiner Datensicherheit kämpft (wir berichteten hierzu am 01.04.2020 und 09.04.2020).

Das Unternehmen arbeitet laut eigener Aussage seitdem auf Hochtouren daran seine Datensicherheit zu verbessern.

Politiker raten von Nutzung ab

Deutsche Politiker raten momentan jedoch weiter von der Verwendung des Videodienstes ab. Solange es dem Unternehmen nicht gelinge, sämtliche Sicherheits- und Datenschutzvorwürfe vollständig zu entkräften, könne Zoom nicht als Videokonferenzdienst empfohlen werden.

Der Vorsitzende des Digitalausschusses im Bundestag, Manuel Höferlin (FDP) äußert sich hierzu sehr deutlich: „Solange Zoom nicht nachweisen kann, dass ihre Software sicher und vertrauenswürdig ist, sollten deutsche Unternehmen auf die Nutzung dieser Video-Plattform weitestgehend verzichten. Das sollte zumindest für alle Besprechungen gelten, bei denen das erforderliche Vertraulichkeitsmaß höher ist als bei einer Postkarte.“

Vor allem aber auch Behörden und Ministerien wird von einer Nutzung der App abgeraten. Politiker von CDU und FDP befürchten einen Zugriff Chinas auf die Nutzerdaten und Inhalte.

Das Unternehmen hatte noch im Februar Konferenzen über Server in China geleitet. Auch wenn das Problem nach eigener Aussage des Unternehmens mittlerweile behoben sei, sind deutsche Politiker weiterhin der Ansicht, dass der Zugriff chinesischer Behörden auf Zoom-Daten nicht ausgeschlossen werden könne. Vor allem da sich nach wie vor ein Rechenzentrum des Unternehmens in China befinde.

Zoom reagiert

Per Blog-Post gab das Unternehmen nun bekannt, dass zahlende Kunden ab dem 18.April die Möglichkeit erhalten sollen, Rechenzentren-Regionen selbst auszuwählen. Somit soll der zahlende Kunde selbst entscheiden können, über welche Länder die Daten und Konferenzen geleitet werden. Als Regionen zur Auswahl stehen derzeit die USA, Kanada, Europa, Indien, Australien, China, Lateinamerika, und die Region Japan / Hong Kong.

Nutzer die die App weiterhin kostenlos nutzen wollen, haben diese Möglichkeit allerdings nicht.

Fazit

Es bleibt abzuwarten, ob Zoom es schafft seine Funktionen sicherer zu gestalten. Massive datenschutzrechtliche Bedenken bestehen in jedem Falle weiterhin und auch die Politik hat deutlich gemacht, dass Zoom für sensible Daten oder vertrauliche Informationen keinesfalls verwendet werden sollte.

Update

Wie jetzt bekannt wurde, werden die Zugangsdaten von über 500.000 Zoom-Accounts im Darknet für weniger als einen Penny zum Kauf angeboten. In einigen Fällen werden die Daten auch kostenlos zur Verfügung gestellt. Der Verkauf soll seit Anfang April 2020 laufen.

Die Daten wurden vermutlich durch sogenannte „Credential Stuffing“-Angriffe gesammelt. Hierbei versuchen Hacker sich bei Online-Diensten – wie in diesem Fall Zoom – mit Login-Daten anzumelden, die aus älteren Datenpannen stammen. Denn: Viele Nutzer verwenden dasselbe Passwort für mehrere Dienste. Dies kommt Hackern beim „Credential Stuffing“ zugute. Erfolgreiche Anmeldungen werden dann in Listen zusammengestellt und an andere Hacker verkauft. Die Listen beinhalten neben den E-Mail-Adressen auch Passwortkombinationen.

Zoom erklärte, gegen diese Angriffe bereits umfangreiche Maßnahmen ergriffen zu haben. So habe man Firmen damit beauftragt, die Passwort-Dumps und Tools, mit denen diese erstellt wurden, ausfindig zu machen. Außerdem würden als kompromittiert erkannte Zoom-Accounts gesperrt und Nutzer würden gebeten, ihre Passwörter zu ändern. Zoom betonte außerdem, dass große Unternehmenskunden mit eigenen Single-Sign-On-Systeme im Allgemeinen nicht von den Angriffen betroffen seien.

Bei „Credential Stuffing“ handelt es sich um kein Zoom-spezifisches Sicherheitsproblem. Jeder Dienst kann Opfer solcher Angriffe werden.  Doch insbesondere während der Corona-Krise, in der ein erhöhter Bedarf an Video-Kommunikationsmitteln besteht, sind die Nutzerdaten von Zoom für Hacker wohl von besonderem Interesse.

„Zoombombing“ ade – Zoom reagiert auf Datenschutzbedenken

9. April 2020

Auch in Zeiten von Covid 19 gilt es den Datenschutz und die Datensicherheit ernst zu nehmen. Das hat sich mittlerweile auch bis zum Silicon Valley rumgesprochen. Der Anbieter der Videokonferenz-App Zoom reagiert nämlich auf die anhaltende Kritik. Das Unternehmen führt Maßnahmen ein, die bei den Nutzern für mehr Datenschutz- und Sicherheit sorgen sollen. Insbesondere das sogenannte “Zoombombing” will Zoom verhindern.

Hintergrund

Die mittlerweile 200 Millionen Nutzer zählende Videokonferenz-App erlebt wegen der Corona Krise einen regelrechten Boom, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:

So häuften sich in den USA Fälle des Zoombombing. Hierbei wählen sich Trolle durch das Erraten von Zoom-Meeting-IDs, eine Ziffernfolge, in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein. Bis jetzt war dies möglich, weil die bloße Kenntnis der ID ausreichte, um sich ungefragt in nicht passwortgeschütze Meetings einzuklinken. Manche Nutzer machten es den Trollen aber auch nicht gerade schwer. So teilten viele Nutzer – prominentestes Beispiel ist wohl der britische Premierminister Boris Johnson – Screenshots ihrer Zoom Gespräche über ihre Social Media Accounts. Auf diesen Screenshots war dann die Zoom-Meeting-ID für jedermann sichtbar.

Zuletzt hat sogar Google seinen Mitarbeitern die Benutzung des Videkonferenz-Programms auf Arbeitsrechnern untersagt, weil Sicherheitsstandarts nicht eingehalten würden, wie ein Konzernsprecher gegenüger BuzzFeed bekannt gab. In unserem Beitrag vom 01.04.2020 sind wir auf weitere datenschutzrechtliche Bedenken eingegangen.

Step by step: Zoom reagiert

Der Videodienst hat für alle seine Plattformen nun eine erneuerte Version seiner Client-Software zur Verfügung gestellt. Eine der Neuerungen ist, dass die Meeting-ID nun nicht mehr wie bis dato für jedermann sichtbar in der Titelleiste steht. Ferner wurde ein “Security”-Button eingeführt. Dieser soll relevante Sicherheitsfeatures bündeln und transparent darstellen. Beispielsweise kann so der Zurgiff auf Meetings für die Außenwelt komplett gesperrt werden.

Nach unserer Einschätzung dürfte dies kurzen Prozess mit dem Phänomen des Zoombombing machen. Doch damit nicht genug. Zoom-Chef Eric Yuan kündigte an, in den nächsten drei Monaten step by step weitere Schwachstellen zu eliminieren anstatt neue Funktionen zu entwickeln.

New Yorker Generalstaatsanwaltschaft prüft Datenschutzpraxis der Videokonferenz-App Zoom

1. April 2020

Laut New York Times ist die Videokonferenz-App Zoom ins Blickfeld der New Yorker Generalstaatsanwaltschaft geraten.

Die Staatsanwaltschaft forderte das verantwortliche Unternehmen demnach auf, Auskunft über die getroffenen Sicherheitsmaßnahmen zum Schutz von Nutzerdaten zu erteilen. Des Weiteren will die Staatsanwaltschaft prüfen, welche Kategorien von Daten die App genau sammle.

Hintergrund

Die Videokonferenz-App Zoom hat seit der Corona Krise eine enorme Nachfrage zu verzeichnen, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:

So häufen sich in den USA Fälle des sogenannten „Zoombombing“. Hierbei wählen sich Fremde in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein.

Ende März berichtete das Magazin Motherboard, dass Zoom die Daten seiner Nutzer an Facebook weitergebe. Dies geschehe unabhängig davon, ob der Nutzer über ein Facebook Profil verfüge oder nicht. Sobald der Nutzer die App öffne, gebe Zoom beispielsweise Einzelheiten über das verwendete Gerät des Nutzers – wie das Modell, die Zeitzone und die Stadt von der die Verbindung hergestellt wird – und den Namen des Mobilfunkanbieters an Facebook weiter.

Kritisiert wurde dabei weniger die Form der Datenübermittlung, als dass die Datenschutzhinweise von Zoom über diese Vorgehensweise nicht aufklärten. Dort hieß es lediglich, dass Facebook-Profilinformationen gesammelt werden könnten, wenn man sich mit seinem Facebook Konto anmeldet. Dass darüber hinaus eine generelle Datenübermittlung an Facebook stattfinde, ging aus den Datenschutzhinweisen nicht hervor.

Erst als die Datenweitergabe an Facebook öffentlich wurde, reagierte das Unternehmen umgehend und beendete die uneingeschränkte Datenweitergabe an Facebook mittels eines Updates.

Auch die US-Bürgerrechtsorganisation EFF wies jüngst darauf hin, dass Administratoren in Zoom erhebliche Einblicke in das jeweilige Nutzerverhalten erhielten. So hätten Administratoren die Möglichkeit sich darüber zu informieren, wie, wann und wo der jeweilige Nutzer Zoom benutze und könnten über ein Ranglistensystem Kenntnis von der Gesamtzahl der Sitzungen eines Nutzers erlangen. Weiterhin ermögliche Zoom die Aufmerksamkeit der Nutzer zu kontrollieren, in dem der Gastgeber einer Konferenz eine Mitteilung erhalte, sobald das Zoom-Fenster eines Konferenzteilnehmers länger als 30 Sekunden nur im Hintergrund liefe.

Sicherheitsmaßnahmen prüfen

Der Staatsanwaltschaft gehe es, laut NY Times, vor allem darum, sicherzustellen, dass Zoom eine umfassende Überprüfung seiner Sicherheitspraktiken vorgenommen hat und die Sicherheitsmaßnahmen des Unternehmens dem neuen und erhöhtem Datenverkehr auch in datenschutzrechtlicher Hinsicht gerecht werden.

Das Unternehmen selbst teilte mit, der Generalstaatsanwaltschaft die gewünschten Informationen zur Verfügung stellen zu wollen.

Update

Zoom selbst hat sich mit einem umfassenden Statement zu der Situation geäußert und erläutert, welche Maßnahmen, abgesehen von der Beendigung der Datenweitergabe an Facebook, ergriffen wurden und welche in Zukunft zum Tragen kommen sollen, um die datenschutzkonforme Nutzung von Zoom zu ermöglichen.

Zu den ergriffenen Maßnahmen gehört unter anderem ein Update der Datenschutzerklärung und die Deaktivierung des in Kritik geratenen “Aufmerksamkeitstracking” (welches darüber hinaus sowieso nur aktiv war, wenn der Host es bewusst aktiviert).

Face App: Kritik wird lauter

18. Juli 2019

Ist man derzeit im Internet und dort insbesondere auf den unterschiedlichsten Social-Media-Netzwerken unterwegs, stolpert man seit einigen Tagen vermehrt auf Portraitbilder, die die Abgebildeten älter erscheinen lassen als sie tatsächlich sind. Möglich macht dies ein Filter der App “Face App”, die sowohl auf iOS als auch auf Android erhältlich ist und sich momentan großer Beliebtheit erfreut – auch weil oben erwähnter Gesichtsfilter kostenlos und beliebig oft auf bereits vorhandene Fotos sowie auf Liveaufnahmen angewendet werden kann.

Wie so oft bei der Nutzung von neuen Apps bleibt dabei jedoch die datenschutzrechtliche Komponente von der großen Maße der Nutzer unbeachtet. Auch gerade deshalb werden die öffentlichen Stimmen und Kritiken gegen die App des russischen Unternehmens Wireless Lab lauter, um vor datenschutzrechtlichen Risiken zu warnen.
So warnt nun auch der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bei SWR aktuell wegen “Befürchtungen, dass wichtige persönliche Daten in die falschen Hände geraten könnte” vor der Nutzung der App. Die Nutzungsbedingungen und die Datenschutzerklärung seien schwammig, insbesondere im Hinblick auf die Informationen wie die im Rahmen der App verarbeiteten und erhobenen personenbezogenen Daten genutzt und weitergegeben werden.
Die Entwickler betonen dagegen, dass keine Daten an Dritte weitergegeben oder verkauft würden.

Spanische Fußballfans belauscht

12. Juni 2019

Wie wir bereits berichteten hat die spanische Fußballliga Millionen Fans über eine App belauscht, in der das Mikrofon der Smartphones mit dem Ziel angezapft wurde, illegale Zuschauer aufzuspüren. Nachdem der Verband die Datenschutzerklärung aktualisierte, flog der Lauschangriff auf die Fans auf.

Jetzt hat die spanische Datenschutzbehörde AEPD ein Bußgeld in Hohe von 250.000 Euro gegen die spanische Fußball-Liga “La Liga” verhängt. Betroffen von dem Lauschangriff sind mehr als vier Millionen Fans.

Grund für die Datenabfrage sei unter anderem der Kampf gegen Pay-TV-Betrug, da immer wieder Sportkneipen und Übertragungsorte die Gebühr für die Lizenz prellen würden, die zur öffentlichen Vorführung der Fußballturniere berechtigen.

Die Datenschützer kritisieren, dass die App-Nutzer gegen ihr Wissen als Spitzel für die wirtschaftlichen Interessen der Liga eingespannt worden sein. Der jährliche Schaden soll sich nach Angaben der spanischen Liga auf 400 Millionen Euro belaufen.

Zwar hätte aufmerksamen Lesern der Datenschutzvereinbarung der offiziellen Liga-App bereits 2019 bemerken können, dass der Anbieter unter anderem Zugriff auf das Smartphone-Mikrofon der Nutzer verlangte. Jedoch bewertete die spanische Datenschutzbehörde das Vorgehen von “La Liga” jetzt als Verstoß gegen die geltenden Transparenzregeln und verhängte die Strafe. Zusätzlich muss die App bis zum 30.Juni entfernt werden.

Gegen diese Entscheidung wehrt sich der Fußballverband nun und wies die Vorwürfe als “unbegründet” zurück. Sie wollen gegen die “unverhältnismäßige” Strafe in Berufung gehen. La Liga hätte immer “verantwortungsbewusst” und “im Einklang mit dem Gesetz” gehandelt. Als Begründung führte sie an, dass die App das Smartphone-Mikro nur zur Sendezeit der Ligaspiele aktiviere. Die Aufzeichnung von Gesprächen oder zusammenhängenden Audio-Dateien würde nicht stattfinden und eine Gewährleistung der Privatsphäre wäre gegeben.

Kategorien: Allgemein · DSGVO
Schlagwörter: , , , ,

Steuer-App: Speicherung personenbezogener Daten in der Cloud

19. September 2018

Eine Schweizer Steuerberatungsfirma bietet eine kostenpflichtige App für die Erstellung einer Steuererklärungen an. Dazu muss der Nutzer Dokumente und Belege abfotografieren und mit der App hochladen. Alle abfotografierten Dokumente sowie die erhobenen Nutzerdaten wurden beim Cloud Anbieter Amazon Web Services (AWS) gespeichert. Durch die Speicherung in der öffentlich einsehbaren Cloud von Amazon, waren die Nutzerdaten für jeden einsehbar, der über ein Konto bei AWS verfügt. Folglich waren Steuerklärungen, Steuerbescheide, Lohnabrechnungen, Heirats- und Geburtsurkunden usw. in einem öffentlich lesbaren AWS Bucket abgelegt.

Ein Sicherheitsforscher bemerkte dieses Problem und fand zudem die per bcrypt gesicherten Passwörter der Admins heraus. Zudem waren die Chatverläufe zwischen der Steuerberaterfirma und dem Nutzer, in denen teilweise über die Steuererklärung gesprochen wurde, im Klartext gespeichert.

Der App-Entwickler hatte also nicht dafür gesorgt, dass die personenbezogenen Daten in einem gesicherten Bereich gespeichert werden.

Gesundheits-App: Fluch oder Segen?

18. September 2018

Eine App, die alle Daten eines Patienten über Krankheit, Medikamente und Arztbesuche speichert, damit der Haus- oder Facharzt unmittelbar ein vollständiges Bild bekommen, könnte eine lebensrettende Maßnahme sein. Allerdings dürfen die Nachteile einer solchen App, insbesondere in datenschutzrechtlicher Sicht, nicht unbeachtet bleiben. Gesundheitsdaten sind sensible Daten, die eines besonderen Schutzes bedürfen.

Werden in einer App jeder Arztbesuch, jedes Röntgenbild, Medikamente und Allergien gespeichert, können Unverträglichkeiten direkt berücksichtigt und doppelte Untersuchungen mit vielleicht überflüssigen Röntgenaufnahmen vermieden werden. Eine Studie der beteiligten Krankenkassen besagt, dass jeder vierte Befragte schon einmal doppelt untersucht und teilweise sogar doppelt geröntgt wurde, was eine unnötige Belastung für den Körper darstellt. Bereits in anderen europäischen Ländern wie Österreich gibt es ein zentrales Verzeichnis, in das alle Gesundheitsdaten einfließen. Dabei können die Patienten selbst entscheiden, wer ihre Daten sehen kann.

Man könnte meinen, dass dieser Mehrwert das kleine Risiko der Datenspeicherung wert sei. Eine solche App erscheint auf den ersten Blick sehr verlockend.

Allerdings sollte man dies auch unter den datenschutzrechtlichen Aspekten genauer betrachten. Krankenhäuser haben Probleme mit ihrer digitalen Sicherheit. Die Computersysteme in vielen Praxen und Krankenhäusern können häufig nicht ausreichend gesichert werden. Laut einer Studie des Beratungsunternehmens Roland Berger wurden bereits zwei von drei deutschen Klinken zum Opfer von Cyberkriminellen. Hätten diese anfälligen Systeme Zugang zu allen, kann das zu einem großen Problem werden. Nicht nur Krankenhäuser können angegriffen werden, sondern auch Ambulanzen und medizinische Forschungseinrichtungen.

Experten warnen davor, dass durch ein Handel mit gestohlenen Patientendaten zum Beispiel hochrangige Politiker erpressbar werden. Dadurch könnten Krankheiten politisch instrumentalisiert werden.

Die Entwickler sprechen von mehrstufigen Sicherheitsprozessen und Verschlüsselungen, die die Daten hinreichend schützen sollen. Allerdings entwickelt sich auch diejenigen weiter, die an diese Daten gelangen wollen.

Fest steht, dass Gesundheitsdaten nicht zu einem Risiko werden dürfen – weder für die einzelnen Bürger, noch für Politiker.

Es bleibt abzuwarten, ob sich in Zukunft eine solche App gegen Kritiker durchsetzen kann.

 

1 2