Schlagwort: FTC

Facebooks Maßnahmen zum Schutz persönlicher Daten laut Audit ausreichend

6. Mai 2013

Nach US-amerikanischen Medienberichten hat ein über den Zeitraum von sechs Monate durchgeführtes Audit ergeben, dass Facebook ausreichende Bestrebungen zum Schutz privater Daten vornimmt. Die Durchführung des Audits war Teil einer Vereinbarung, welche die FTC mit Facebook getroffen hat, nachdem Facebook vorgeworfen wurde, Details aus dem Leben seiner Nutzer ohne deren Zustimmung zu veröffentlichen.

Bisher veröffentlichte Facebook ausschließlich eine geschwärzte Version des Audits, welche weder Angaben zu gefundenen Schwachstellen, noch die auditierende Stelle enthält. Als Begründung führt Facebook Sprecherin Jodi Seth an, dass ansonsten die Gefahr von Sicherheitslücken oder Wettbewerbsnachteilen bestünde. Es ist jedoch damit zu rechnen, dass wenigstens die auditierende Stelle im Rahmen der Stellungnahme der FTC bekanntgegeben wird. Zumindest lässt sich dem Bericht jedoch bereits jetzt entnehmen, dass er sich sowohl auf Faceboooks geschriebene Richtlinien als auch auf die stichprobenhafte Untersuchung von Daten bezieht.

Das abgeschlossene Audit stellt den Auftakt einer längeren Serie dar, da Facebook sich in der vorerwähnten Vereinbarung mit der FTC zu einer Durchführung solcher Audits über 20 Jahre hinweg verpflichtet hat.

Kategorien: Online-Datenschutz · Social Media
Schlagwörter: , ,

FTC veröffentlicht Forderungen zum Datenschutz bei mobilen Systemen

4. Februar 2013

Unter dem Titel „Mobile Privacy Disclosures – Building Trust Through Transparency“ hat die US-Handelsaufsicht FTC eine Broschüre veröffentlicht, in welcher sie zentrale Forderungen zum Umgang mit Nutzerdaten im mobilen Umfeld formuliert.

An die Betriebssystem Hersteller (z.B. Blackberry mit Blackberry 10, Google mit Android, Apple mit iOS etc.) richten sich folgende Forderungen:

  • Nutzer sollten explizit benachrichtigt und um Zustimmung gefragt werden, bevor auf sensible  Daten wie Standortinformationen zugegriffen wird.
  • Fotos, Kontaktdaten, Kalenderdaten und die Aufzeichnungsfunktionen der Geräte hält die FTC für etwas weniger schützenswert: In diesem Kontext sollten Betriebssystemhersteller nur überlegen, die soeben genannten Benachrichtigungen und Abfragen einzuführen.
  • Es sollte eine einheitliche Übersicht geschaffen werden, die es den Nutzern ermöglicht, schnell zu überblicken, auf welche Inhalte Apps zugreifen können.
  • Die Schaffung eines einheitlichen Symbols, welches auf die Übertragung persönlicher Daten hinzuweist, sei anzudenken.
  • Die Betriebssystem-Hersteller sollten Best-Practise Ansätze fördern und gegenüber den Nutzern öffentlich machen, welche Prüfkriterien die Apps vor der Aufnahme in die jeweiligen Stores durchlaufen.
  • Der Do Not Track Ansatz sollte auf Betriebssystemebene verankert werden [Anmerkung: Bisher bieten ausschließlich vereinzelte Browser wie der Firefox für Android diese Funktion]

Mit einem zweiten Forderungskatalog wendet sich die FTC an Hersteller von Apps:

  • Diese sollten eine einfach abrufbare Datenschutzrichtlinie bereitstellen, welche im besten Fall über die Stores der Betriebssystem-Hersteller abrufbar sein sollte.
  • Solange keine explizite Benachrichtigungs- und Zustimmungsroutinen durch das Betriebssystem bereitstehen, solle dies durch die Hersteller für die jeweiligen Apps gewährleistet werden.
  • Es sei zu überlegen, Selbstregulierungsgremien, Industrieorganisationen etc. beizutreten, die Unterstützung bei der Entwicklung einheitlicher, kurzer Datenschutzerklärungen böten.
  • Die Kommunikation mit Werbenetzwerken sollte verbessert werden, damit die App-Hersteller die Third-Party-Tools, die sie in ihre Apps einbauen, besser verstehen und die Nutzer entsprechend informieren könnten.

Auch an die Werbeindustrie richtet sich die FTC und fordert, spiegelbildlich zum letztgenannten Punkt, die Kommunikation mit den App-Herstellern zu verbessern. Weiterhin sollte auch die Werbebranche dazu beitragen, die effektive Durchsetzung von Do-Not-Track auf mobilen Geräten zu ermöglichen.

Letzten Endes adressiert die FTC auch Zusammenschlüsse von App-Herstellern, die Lehre, Datenschutzexperten und Usability-Experten mit folgenden Anregungen:

  • Es sollten kurze Datenschutzerklärungen entwickelt werden.
  • Es müssten standardisierte Wege vorangetrieben werden, die es Nutzern ermöglichten, über App Grenzen hinweg den Umgang mit Daten zu vergleichen.
  • App-Hersteller müssten für Datenschutzbelange sensibilisiert werden.

Ausgangspunkt sämtlicher vorgenannten Punkte sind drei Grundforderungen:

  1. Privacy by Design: Unternehmen sollten in jedem Entwicklungsstadium den Datenschutzbelange berücksichtigen.
  2. Eine einfache Wahl für Nutzer: Zum relevanten Zeitpunkt und im relevanten Kontext sollten die Nutzer um eine Einwilligung gebeten werden.
  3. Größere Transparenz:  Die Unternehmen sollten Details über die Erhebung und Verwendung von Nutzerdaten offenlegen.

Insgesamt lässt sich festhalten, dass die gesammelten Vorschläge allesamt gut und vernünftig klingen; einzig krankt es daran, dass es sich nur um nichtverbindliche Ausführungen handelt, zu deren Umsetzung keine der angesprochenen Gruppen verpflichtet ist. Nichtsdestotrotz ist zu hoffen, dass einige der Vorschläge in Zukunft umgesetzt werden. Teilweise wird dies bereits heute schon getan: Android informiert vor Installation einer App über die von der App angeforderten Berechtigungen, wohingegen iOS beim Zugriff auf bestimmte Daten (Kontakte, Ortsinformationen etc.) eine explizite Einwilligung verlangt. Beide Systeme bieten heute schon die Möglichkeit, zumindest das herstellereigene Werbetracking zu deaktivieren. [Android: Einstellungen > Konten > Google > Anzeigen – iOS: Einstellungen > Allgemein > Info > Werbung oder oo.apple.com per Browser aufrufen)

 

Google: Rekordstrafe für Cookie in Safari-Browser

15. August 2012

Wie die Federal Trade Commission (FTC) vermeldete, ist das Verfahren um die durch Google initiierten und dabei die Datenschutz-Einstellung umgehenden Cookies im Safari-Browser mit der zuständigen US-Heimatschutzbehörde nach Zahlung einer Rekordstrafe von 22,5 Millionen Dollar (18,2 Millionen Euro) beendet.

Das Vorgehen von Google war dabei ebenso kreativ wie rechtswidrig, hatten es die Entwickler des IT-Giganten doch geschafft, ohne die Zustimmung der Safari-Nutzer Cookies auf deren Geräten zu hinterlassen, welche Rückschlüsse auf deren Verhalten im Netz zuließen. Apples Standardbrowser Safari blockte im Gegensatz zu anderen Browsern standardmäßig die Cookies von Dritten. Einer Seite, auf der ein Anwender ein Formular in einem Werbebanner ausfüllt, war es jedoch durch Apple erlaubt, einen Cookie zu setzen. Google versteckte einen Cookie dabei in einem unsichtbaren Formular eines „+1-Button“, der dem Browser einen Nutzerzugriff vortäuschte und so den Cookie auf der Festplatte der Safari-User installierte. Dieser Google-Button dient eigentlich der Weiterempfehlung von Webinhalten durch Google-Plus-User. Publik wurde das Vorgehen Anfang 2012 als das Wall Street Journal die Praxis der Öffentlichkeit offenbarte. Google relativierte die Vorwürfe und erklärte, es seien keine persönlichen Informationen erfasst worden und ergänzte nun, der Konzern würde höchste Datenschutz- und Sicherheitsstandards wahren.

Die Höhe der Strafe erscheint dabei in einem wechselhaften Licht. Einerseits sei des laut FTC die höchste Strafe, die je einem Unternehmen auferlegt worden sei. Betrachtet man jedoch den Quartalsgewinn in Höhe von 2,8 Milliarden Dollar wird ersichtlich, dass die Strafe nicht einmal einen Tagesgewinn von Google ausmacht. Wesentlich schwerer wird der wiederholte Imageschaden wiegen. Nach den erst kürzlich diskutierten Vorgängen um rechtswidrig erhobene WLAN-Daten und deren weiterhin nicht vollständigen Löschung begeht Google mit dem neuerlichen Vorgang innerhalb kurzer Zeit den zweiten schweren Datenschutzverstoß.

Kategorien: Online-Datenschutz
Schlagwörter: , , , ,

Google: Zahlung von 18,3 Millionen Euro wegen vorgeworfener Datenschutzverstöße

11. Juli 2012

Medienangaben zufolge hat der Suchmaschinenbetreiber Google im Streit um mutmaßliche Datenschutzverstöße im Safari-Browser des Konkurrenzunter- nehmens Apple in einen Vergleich zur Zahlung von umgerechnet 18,3 Millionen Euro eingewilligt. Google werde vorgeworfen, eine Lücke im Apple-Browser „Safari“ ausgenutzt zu haben, um Nutzern bestimmte Werbeformate zu präsentieren. Auf diese Weise habe der Konzern über den Dienst Google+ einen Cookie auf den Nutzer-Endgeräten gespeichert, was auch funktioniert habe, wenn diese Cookies bewusst ausgeschaltet hatten. Die nun getroffene Einigung benötige noch die Zustimmung der US-Aufsichtsbehörde Federal Trade Commission (FTC). Sollte diese den Vergleich anerkennen, sei es die höchste jemals von dieser Behörde verhängte Strafe.

 

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

Verbraucherschutzministerin Aigner legt Beschwerde gegen Facebooks Gesichtserkennung ein

14. Dezember 2011

Nachdem der Hamburgische Beauftragte für Datenschutz bereits rechtliche Schritte gegen Facebook angekündigt hat, ist nun auch Bundesverbraucherschutzministerin Aigner aktiv geworden. Sie hat sich nach Meldung der dpa mit einem Brief an die US-Handelskommission FTC gewandt, in welchem sie moniert, dass Facebook das Safe-Harbor-Abkommen verletze.

Nach DPA-Angaben wirft Aigner Facebook insbesondere vor, in Bezug auf die Gesichtserkennung vermutlich die weltweit größte Datenbank mit biometrischen Merkmalen einzelner Personen zu erstellen, ohne über deren biometrische Erfassung klar und verständlich zu informieren

Wenig später erklärte sich Facebook gegenüber der FTC zu strengeren Datenschutzauflaugen in den USA bereit, nachdem zuvor mehrfach gegen datenschutzrechtliche Selbstverpflichtungen verstoßen worden war. Insbesondere verpflichtete sich Facebook nun dazu, neue Funktionen und Einstellungen nicht mehr automatisch freizuschalten, ohne die Einwilligung des Nutzers einzuholen. Diese Praxis hatte in der Vergangenheit vielfach für Kritik gesorgt, so auch bei der Einführung der Gesichtserkennung.

Eben diese von Aigner expliziert kritisierte Gesichtserkennung findet jedoch keinen expliziten Niederschlag in der neuen Vereinbarung mit der FTC (se).