4. April 2012
Der Berliner Datenschutzbeauftragte Dr. Alexander Dix hat in seinem Jahresbericht 2011 auf die stark erhöhte Gefahr eines Missbrauchs bei der Nutzung und Verarbeitung von privaten Daten hingewiesen.
Die Privatsphäre des Bürgers sei insbesondere durch neuartige Überwachungstechniken in Staat und Wirtschaft bedroht. Hier nimmt der Bericht vor allem Cloud-Computing sowie soziale Netzwerke aber auch den Einsatz von sogenannten Staatstrojanern ins Visier.
Unternehmen und Behörden müssten ebenfalls bei der Nutzung von Cloud-Computing die grundsätzlichen Anforderungen an Datenverarbeitungsprozesse, zu denen neben Informationssicherheit etwa auch Kontrollierbarkeit, Transparenz und Beeinflussbarkeit gehörten, erfüllen.
Facebook-Nutzern rät der Datenschutzbeauftragte die Timeline Funktion nicht zu aktivieren oder zumindest die Reichweite in die Vergangenheit zu begrenzen. Zudem sollte es Facebook-Apps und anderen Webseiten verwehrt sein, Einträge ungefragt auf die persönliche Neuigkeiten-Seite zu schreiben.
Im Rahmen der in der Vergangenheit kontrovers diskutierten staatlichen Maßnahmen wie die gesetzliche Verankerung der Online-Durchsuchung und die durch das Bundesverfassungsgericht vorgenommene Abgrenzung zur unzulässigen Quellen-Telekommunikationsüberwachung kommt der Bericht zu dem Ergebnis, dass die “Informationelle Selbstbestimmung, Persönlichkeitsrechte und die sich daraus ergebenden Forderungen für die Freiheit des Einzelnen nach den Vorgaben des Grundgesetzes […] zusehends in die Defensive gegenüber den Interessen des Staates zur Vorbeugung und Verfolgung von Straftaten und zur Gewährleistung von Sicherheit und Ordnung [geraten].”
Eine weitere besondere Herausforderung für den Datenschutz sieht der Datenschutzbeauftragte darin, dass große internationale – vor allem aber US-amerikanische – Unternehmen, wie Google, Apple, Amazon und vor allem Facebook immer größere Mengen an personenbezogenen Daten verarbeiten und speichern ohne dabei das deutsche und europäische Datenschutzrecht hinreichend zu berücksichtigen.
7. Dezember 2011
Carrier IQ wird zur Zeit in den Medien heiß diskutiert, was sicherlich auch der Behauptung des Unternehmens geschuldet ist, dass Carrier IQ auf über 140 Millionen Geräten laufe.
Was aber hat es mit Carrier IQ auf sich?
Alles nahm seinen Anfang damit, dass der IT-Experte Trevor Eckhart eine Beschreibung der Analyse Software der Firma Carrier IQ veröffentlichte in der er die Software als Rootkit bezeichnete. Daraufhin war man bei Carrier IQ wenig amüsiert, mahnte Eckhart ab und forderte ihn zur Unterlassung auf. Dieser erhielt daraufhin Unterstützung von der US-Bürgerrechtsbewegung EFF (Electronic Frontier Foundation). Kurze Zeit später entschuldigte sich Carrier IQ(Link entfernt) bei Eckhart für das übereilte Säbelgerassel und zog die Androhung juristischer Maßnahmen zurück.
Im Kern der Anschuldigungen steht der Vorwurf, dass Carrier IQ die Möglichkeiten hat, Tastatureingaben, Standortinformationen, die installierten Apps (…) – kurzum – fast alle relevanten Daten aufzuzeichnen, die auf einem Smartphone anfallen. Zweifelsfrei nachgewiesen ist bisher, dass die auf einem HTC-Gerät für den US-Markt installierte Carrier IQ Software Suchanfragen und gewählte Telefonnummern schon während des Eintippens aufzeichnet. Carrier IQ sah sich daraufhin veranlasst, eine Pressemitteilung (Linke entfernt) herauszugeben, in der klargestellt wurde, dass Carrier IQ zwar einen weitreichenden Zugriff auf die Daten des Gerätes habe, aber keine Inhalte von SMS, E-Mails, Photos sowie Audio und Videoinhalten sammele. Beispielsweise könne die Software nachvollziehen, ob eine SMS korrekt gesendet wurde, aber nicht was in der SMS gestanden habe. [Update 12.12.11] Ineinem Update der Pressemelung vom 12.12.2011 gestand Carrier IQ dann ein, dass es auf Grund eines Bugs in einigen seltenen Fällen doch dazu gekommen sei, dass der Inhalt der SMS übermittelt worden sei. Dieser Inhalt wäre aber kodiert und damit nicht durch Menschen lesbar gewesen. [/Update] Weiterhin wisse man auch, welche Apps den Akku leersaugen, Screenshots würden jedoch nicht erstellt. Auch auf die Frage warum Carrier IQ auf den Geräten installiert ist, gibt die Pressemeldung Aufschluss: Carrier IQ werde im Interesse der Netzbetreiber installiert, um diesen eine Verbesserung der Servicequalität zu ermöglichen. Der Mitteilung kann man auch entnehmen, dass es nicht “eine” Carrier IQ Version, sondern jeweils auf den Kunden zugeschnittene Lösungen gibt.
Dies ließe vermuten, dass sich Carrier IQ Software nur auf Geräten befindet, die spezifisch auf den Netzbetreiber angepasst sind (sog. Branding). Ganz so einfach ist es jedoch nicht, da auch Apple’s populäres iPhone Carrier IQ Software nutzt(e). In einem Rundschreiben an die Medien gab die Firma aus Cupertino bekannt, dass die Unterstützung von Carrier IQ mit iOS 5 für die meisten Geräte eingstellt wurde. Gegenüber ars technica führte Apple aus, dass das iPhone 4 auch mit iOS 5 noch Carrier IQ Software verwendet. Mit einem zukünftigen Update soll die Software jedoch aus sämtlichen iOS Geräten entfernt werden. Fraglich ist allerdings, ob dies auch für “alte” Geräte gilt, die nicht auf iOS 5 geupdatet werden können. Die Apple-Implementierung bietet gegenüber den Androidversionen die Besonderheit, dass es sich um ein Opt-In Verfahren handelt. Standardmäßig ist die Option laut Angaben von Apple ausgeschaltet. iPhone-Nutzer können unter Einstellungen>Allgemein>Info>Diagnose & Nutzung überprüfen, ob das automatische Senden von Diagnose & Nutzungsdaten aktiviert ist. Ebenfalls kann dort eingesehen werden, welche Diagnose & Nutzungsdaten erhoben wurden. Die Daten werden im Falle der iOS-Implementierung nicht an Mobilfunknetzbetreiber gesendet, sondern an Apple selbst.
Dies wirft die Frage auf, wer (nach bisherigem Kenntnisstand) von Carrier IQ betroffen ist:
Zugegeben haben bisher die US Provider AT&T, Sprint und T-Mobile USA den Einsatz von Carrier IQ auf ihren Geräten. Wie eben erläutert, setzt(e) auch Apple die Software in gewissem Umfang ein. HTC und Motorola haben angegeben die Geräte auf Wunsch der Provider mit der Software auszustatten, wobei HTC explizit betonte, dass dies für den europäischen Markt nicht geschehe. Auch auf Smartphones von Samsung und Huawei wurde Carrier IQ Software nachgewiesen.
Die deutschen Provider Telekom, E-Plus und Vodafone haben angegeben, die Software nicht zu nutzen. Mehr Spielraum lässt die Aussage von O2 zu: O2 erhält nach eigenen Angaben keine Kundendaten durch Carrier IQ. Dies schließt jedoch nicht aus, dass die Software auf O2 Geräten installiert (und möglicherweise deaktiviert) ist.
Googles Nexus Geräte (One, S, S 4G und Galaxy) laufen mit einem weder durch Hersteller noch durch Provider angepassten Android-Betriebssystem und sind daher frei von Carrier IQ Software. Auch auf Geräten von HP, Palm, RIM und sämtlichen Windows Phone 7 Geräten ist bisher keine Spur von Carrier IQ nachzuweisen gewesen.
Für den Nutzer stellt sich die Situation also wie folgt dar: Mit Windows Phone, Web OS und Blackberry Geräten ist man nach bisherigen Erkenntnissen auf der sicheren Seite. Bei Apple kann man die Funktion, wie oben beschrieben, zumindest abschalten. Android Nutzer können mit einem Tool von Trevor Eckhart herausfinden, ob ihre Geräte von Carrier IQ (und sonstiger Loging-Software) betroffen sind. Eine Abschaltung der Software ist dabei nicht vorgesehen, kann aber im Einzelfall gerätespezifisch mit etwas Aufwand bewerkstelligt werden.
Juristische Reaktionen auf Carrier IQ
Auf Grund der Berichterstattung durch die Medien hat US-Senator Al Franken, seines Zeichens Vorsitzender des Unterausschusses für Datenschutz und Technologie, Carrier IQ, die Netzbetreiber und die Gerätehersteller aufgefordert, bis Mitte Dezember ausführliche Informationen vorzulegen. Insbesondere will er dabei wissen, ob gewählte Telefonnummern und der Inhalt von SMS aufgezeichnet werden. Gestützt auf den sogenannten Federal Wiretap Act sind nach Medienberichten in den USA mittlerweile auch Sammelklagen gegen Carrier IQ, Apple, HTC, Samsung, Sprint, AT&T und T-Mobile USA eingereicht wurden. Auch die deutschen Datenschützer sind nicht untätig geblieben: Einem Bericht von Bloomberg zufolge hat der Bayerische Landesdatenschutzbeauftragte, Thomas Kranig, Apple um Details bezüglich dem Einsatz von Carrier IQ gebeten. (se)
2. Juli 2011
Gordon Frazer, Managing Director bei Microsoft UK, räumte zum Start des Online-Office-Dienstes Office 365 ein, dass US-Behörden auch dann Zugriff auf Daten gewährt werden müsste, wenn diese physikalisch auf europäischen Servern gespeichert sind.
Auf Grundlage des USA Patriot Acts ist ein solcher Zugriff dann nicht auszuschließen, wenn eine Firma ihren Hauptsitz in den USA hat oder alle Anteile von einer US-Mutterfirma gehalten werden. Neben Microsoft sind auch sonstige Internetgrößen wie Amazon, Apple und Google betroffen. Dies wird auch durch die Aussage Frazers, dass weder Microsoft noch andere Firmen die Garantie geben könnten (, dass den US-Behörden kein Zugriff auf die Daten gewährt wird), deutlich.
Nach Möglichkeit würden die Kunden aber von einem solchen Zugriff unterrichtet. Die Einschränkung “nach Möglichkeit” ist notwendig, da bestimmte US-Behörden wie das FBI einen National Security Letter erlassen können, welcher es den betroffenen Stellen verbietet, Informationen über die Anfrage weiterzugeben (sogenannte Gag order).
Insgesamt wurde damit zum ersten Mal eine solche Zugriffsmöglichkeit explizit bestätigt. Unternehmen, die den rechtlichen Anforderungen des Datenschutzes beim Cloud-Computing Genüge tun wollen, kann somit vorerst nur geraten werden, ihre Daten einem europäischen Anbieter anzuvertrauen. (se)
8. Juni 2011
Aus Sicht des Bayerischen Landesamtes für Datenschutzaufsicht ist das im April einer breiten Öffentlichkeit bekannt gewordene Datenschutzproblem bei Apples iOS, welches auf populären Geräten wie dem iPhone 4 oder dem iPad läuft, mittlerweile behoben.
Apples Betriebssystem iOS speicherte dabei in großem Umfang Standortinformationen zu nahegelgenen WLAN-Zugangspunkten und Mobilfunkmasten mit einem Zeitstempel auf den Geräten der Nutzer ab. Durch ein Auslesen der Daten, welche nicht durch den Nutzer gelöscht werden konnten, waren Rückschlüsse auf den Standort des Geräts zu einem bestimmten Zeitpunkt möglich. Somit ließ sich zumindest für das Gerät ein relativ genaues Bewegungsprofil erstellen.
Das von Apple als Programmierfehler bezeichnete Verhalten wurde durch ein Softwareupdate vom 03. Mai abgestellt. Nunmehr verbleiben keinerlei Geodaten im lokalen Zwischenspeicher (Cache) der Apple-Geräte, wenn die Funktion “standortbezogene Dienste” ausgeschaltet wird. Selbst bei eingeschalteter Funktion “standortbezogene Dienste” speichert das Gerät die Standortdaten nur noch bis zu sieben Tagen, während diese zuvor bis zu einem Jahr vorgehalten wurden. Mit einer zukünftigen Version seines iOS Betriebssytems möchte Apple die Daten noch zusätzlich auf dem Gerät verschlüsseln, was ein Auslesen der Daten unmöglich machen würde.
Die ergriffenen Maßnahmen sieht das Landesamt als ausreichend an. Da es für einen konkreten Missbrauch der Daten keine Anhaltspunkte gibt und datensicherheitsrechtliche Verstöße als solche nicht bußgeldbewehrt sind, gibt es aus Sicht des Landesamtes für die Einleitung eines Bußgeldverfahrens keinen Anlass. (se)
6. Mai 2011
Bei der Verleihung der deutschen BigBrotherAwards 2011 am 1. April 2011 in Bielefeld wurden von dem Organisator FoeBuD e.V. die Apple GmbH sowie die Facebook Deutschland GmbH mit dem “Oscar für Datenkraken” in der Kategorie “Kommunikation” ausgezeichnet.
Apple “verdiente” sich den Preis zwar nicht vordergründig aufgrund der in den letzten Tagen in Öffentlichkeit und Medien breit diskutierten Erhebung und Nutzung von Standortdaten seiner iPhone- und iPad-Kunden. Grund für die Preisverleihung ist nach der Begründung der Organisatoren vielmehr “die Geiselnahme ihrer Kunden mittels teurer Hardware und die darauf folgende Erpressung, den firmeneigenen zweifelhaften Datenschutzbedingungen zuzustimmen”. Hiernach sei es dem Nutzer im Falle einer Nichtzustimmung mit den 117-iPhone-Display-Seiten langen Regelwerken maximal möglich, dass teure und technisch potente Gerät gerade einmal zum Telefonieren zu nutzen.
Facebook wurde mit der Auszeichnung einmal mehr für seinen immensen Datenhunger und für die “gezielte Ausforschung von Menschen und ihrer persönlichen Beziehungen hinter der netten Fassade eines vorgeblichen Gratisangebots” kritisiert. Das Unternehmen schaffe mit seinen vielfältigen zahlreichen Features und Applikationen wie „Freundefinder“, “Handy-App” oder dem “Gefällt-mir”-Button eine “„Gated Community“ im Netz, in der Menschen auf Schritt und Tritt beobachtet werden” und verdiene auf diese Weise mit systematischen Datenschutzverstößen Milliarden, heißt es hier weiter in der Begründung.