Schlagwort: Google

Datenschutzproblem mit “reCAPTCHA”- Dienst von Google

15. Januar 2021

Nicht selten werden Webseiten heutzutage Opfer von massiven Spamangriffen oder anderweitigen Manipulationsversuchen. Um sich davor zu schützen setzt eine Vielzahl dieser Seiten auf sogenannte “Captchas”.

Was ist ein Captcha und wofür wird es verwendet?

Grundsätzlich handelt es sich bei einem Captcha („completely automated public Turing test to tell computers and humans apart“) um ein Tool, das auf Webseiten eingesetzt wird, um Menschen und maschinelle Programme („Bots“) auseinanderzuhalten. Sinn und Zweck dieser Tools ist es die eigene Webseite vor Bot-Angriffen zu schützen, indem man ihnen von vornherein die Zugriffmöglichkeit auf bestimmte Teile der Webseite, oder aber der gesamten Webseite vorenthält. So sollen etwa Manipulationen von Umfragen, übermäßige Serveranfragen oder aber Fake-User aufgehalten werden.

Die gängigsten Erscheinungsformen eines Captchas sind in Form von verschwommenen Buchstaben, einer einfachen Matheaufgabe oder auch einer Bilderreihenfolge. Zumindest in der Theorie sollen diese Aufgaben nur von Menschen gelöst werden können.

Google, „reCAPTCHA“ und ein Datenschutzproblem

Ganz vorne bei Entwicklung und Einsatz dieser Tools ist der Internetriese Google, dessen eigener Captcha-Dienst „reCAPTCHA“ auf über 6 Millionen Webseiten benutzt wird und mittlerweile bereits in seiner dritten Version vorliegt. Doch was in der Theorie wie eine sorgfältige Schutzvorrichtung wirkt, kann für normale Nutzer ein Datenschutzrisiko darstellen. Denn verborgen im Hintergrund von reCAPTCHA läuft ein JavaScript-Element. Ein solches ist in der Lage Benutzerverhalten auszuwerten. So werden neben IP-Adresse auch Daten wie Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer an Google weitergeleitet, ohne dass der Benutzer davon etwas mitbekommt. In den seltensten Fällen wird der Nutzer auf eine solche Analyse hingewiesen. Auch die allgemeine Datenschutzerklärung von Google bietet keine spezifischen Informationen zu reCAPTCHA.

Ein Problem, dass auch das Landesamt für Datenschutzaufsicht Bayern (BayLDA) sieht und in seinen FAQ zutreffend einen Hinweis in Bezug auf reCAPTCHA gibt:

„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Betreiber von Webseiten sollten daher im besten Fall auf die Nutzung von reCAPTCHA und anderen Analysetools verzichten, um sich keinem rechtlichen Risiko auszusetzen.

Google will iPhone-Apps zukünftig auch mit Datenschutz-Label versehen

7. Januar 2021

Die Gerüchte, dass Google die Aktualisierung hauseigener iOS-Apps vermeidet, um Datenzugriffe nicht offenlegen zu müssen, hat Google nun dementiert. 

Wie bereits darüber berichtet wurde, hat Apple die Datenschutz-Anforderungen von iOS-Apps im App Store verschärft. Nachdem nun Apple die Entwickler zu mehr Datenschutz-Transparenz verpflichtet hat, wurde es ruhig um die iOS-Apps von Gmail, Google Drive & Co. Dies erweckte den Eindruck, das Unternehmen wolle App-Updates bewusst zurückhalten, um Apples neue Datenschutz-Kennzeichnung nicht erfüllen zu müssen. Nach Apples Deadline erschienen zwar noch zwei Google-App-Updates im App Store, darunter „Google Präsentationen“ – jedoch ohne die zu diesem Zeitpunkt eigentlich vorgeschriebene Kennzeichnung. Möglicherweise hatte Google die Updates schon vor der Deadline eingereicht.

Dem Portal „Techcrunch“ bestätigte nun ein Google-Sprecher, dass noch in dieser oder nächster Woche Updates im App Store erscheinen werden. Google werde die Privacy Labels dem gesamten, eigenen iOS-App-Katalog hinzufügen. Grund für die Verzögerung könnten unter anderem die Weihnachtsfeiertage gewesen sein, im Vorfeld derer nur selten Updates veröffentlich werden. 

Die Apps von Google werden dann auch mit den entsprechenden Datenschutz-Hinweisen versehen. Zu den bekanntesten Anwendungen gehören Dienste wie YouTube, Chrome, Gmail, Maps und Google Drive. Auch andere große App-Anbieter wie Pinterest haben bisher noch keine Details für die Datenschutz-Kennzeichnung übermittelt. Von den meisten Entwicklern wird erwartet, dass sie passende Updates im Laufe des Januars veröffentlichen.

Google entfernt 3 Kinder-Apps aus dem Play Store wegen Datenschutzverstöße

29. Oktober 2020

Google hat drei Kinder-Apps, nämlich Princess Salon​, Number Coloring and ​Cats & Cosplay, wegen Datenschutzverstößen aus dem Play Store entfernt. Der Technik-Gigant war nicht derjenige, der das Problem entdeckt hat. Forscher des International Digital Accountability Council (IDAC) entdeckten drei unerwünschte Kinder-Apps mit mehreren Millionen Downloads.

“Die Praktiken, die wir in unserer Forschung beobachtet haben, haben ernsthafte Bedenken hinsichtlich der Datenpraktiken innerhalb dieser Apps hervorgerufen”, kommentierte IDAC-Präsident Quentin Palfrey. Laut IDAC sammelten die Programme fleißig Daten der jungen Nutzer, was eindeutig gegen die Datenschutzrichtlinien des Unternehmens verstößt.

Google sagte: „Wir bestätigen, dass die Apps, auf die im Bericht verwiesen wird, entfernt wurden. Immer wenn wir eine App finden, die gegen unsere Richtlinien verstößt, ergreifen wir Maßnahmen”. Alle drei Apps können nicht mehr auf Android-Geräten installiert werden.

Unabhängig davon hat Avast, der Anbieter für digitale Sicherheit, bis zu 21 schädliche Adware-Gaming-Apps im Play Store entdeckt und diese an Google gemeldet.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: ,

Das Recht auf Vergessen – Eine Frage des Einzelfalls

29. Juli 2020

Erstmals nach Inkrafttreten der Datenschutz-Grundverordnung befasste sich der BGH mit dem in Art. 17 DSGVO niedergelegten Recht auf Löschung, allgemein als Recht auf Vergessen bekannt.

Eine wichtige erste Erkenntnis des Urteils ist, dass die Frage nach einem Recht auf Vergessen nicht pauschal beantwortet werden kann. Man wird wohl mit der nicht immer beliebten Standardantwort von Juristen auf komplexe Frage antworten können: „Es kommt darauf an“. In einem der gemeinsam verhandelten Verfahren führte der BGH aus, das Recht auf Vergessen unterliege einer umfassenden Abwägung der Interessen aller Involvierten. Eine weitere Frage zum Recht auf Vergessen legte der BGH dem EuGH zur Entscheidung vor.

Die im Verfahren vor dem BGH aufgeworfenen Fragen sind spannend für die Zukunft von Suchmaschinen und der Internetkommunikation insgesamt: Gibt es im Internet einen unbedingten Anspruch auf ein „Vergessenwerden“, ggf. nach einem gewissen Zeitablauf? Müssen Suchmaschinen erst dann tätig werden, wenn sie von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangen? Erstreckt sich das Recht auf Vergessen bereits auf für die betroffene Person unbequeme oder reputationsschädigende Berichte?

Verfahren VI ZR 405/18 – Der defizitäre Wohlfahrtsverband und sein Geschäftsführer

Der Kläger im ersten Verfahren war Geschäftsführer eines Regionalverbandes einer Wohlfahrtsorganisation. Er begehrte von Google, einen Presseartikel aus dem Jahr 2011 bei der gezielten Suche nach seinem Namen auszulisten. In dem Artikel wurde darüber berichtet, dass der Verband im Jahr 2011 ein finanzielles Defizit von knapp einer Million Euro aufwies und sich der Kläger kurz zuvor krank gemeldet hatte.

Der Kläger scheiterte mit seinem Begehren in allen Instanzen. Der BGH betont, dass das Recht auf Vergessen eine umfassende Grundrechtsabwägung auf Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits und der Grundrechte des Suchmaschinenbetreibers, des Anbieters des beanstandeten Ergebnislinks, der Nutzer und der Öffentlichkeit andererseits bedürfe. Das hatte bereits das Bundesverfassungsgericht Ende 2019 betont.

Interessant ist , dass der BGH damit von seiner früheren Rechtsprechung abkehrt. Der Suchmaschinenbetreiber muss nach dem nun veröffentlichten Urteil nicht erst dann tätig werden, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt. Anders als der EuGH im Verfahren Google-Spain geht der BGH nicht von einem pauschalen Vorrangverhältnis der Interesse des Betroffenen aus.

Im Verfahren um den Geschäftsführer des Wohlfahrtverbands entschied der BGH, dass die Rechte der Nutzer, der Öffentlichkeit und der verlinkten Presseorgane Vorrang haben und ein Anspruch auf Auslistung damit nicht besteht, auch unter Berücksichtigung des Zeitablaufs.

Verfahren VI ZR 476/18 – Das Geschäftsmodell eines Ehepaars aus der Finanzdienstleistungsbranche

In dem zweiten Verfahren begehrte ein in der Finanzdienstleistungsbranche tätiges Ehepaar, kritische Presseartikel und Fotos auszulisten, in denen das Geschäftsmodell der Kläger kritisiert wurde. Die Artikel enthielten u.a. Vorwürfe, die Kläger hätten Unternehmen mit negativer Berichterstattung erpresst. Der Wahrheitsgehalt der Berichte ist – anders als im ersten Verfahren – unklar und konnte auch von Google nicht beurteilt werden.

Dieses Verfahren setzte der BGH aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor:

Einerseits soll der EuGH klären, wie mit Konstellationen zu verfahren ist, bei denen der Link der Suchmaschine zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt. Kann der Betroffene, etwa durch vorläufigen Rechtsschutz, die Frage der Wahrheit der verlinkten Berichte zumindest vorläufig gerichtlich klären lassen?

Außerdem möchte der BGH vom EuGH wissen, wie mit Vorschaubildern in der Trefferleiste umzugehen ist, wenn der Kontext von der Suchmaschine nicht mit angezeigt wird. Besteht ein Recht auf Vergessen auch dann, wenn die Webseite des Dritten in der Suchmaschine zwar verlinkt, aber noch nicht konkret benannt ist?

Ausblick

Es bleibt abzuwarten wie der EuGH auf die Vorabfragen antworten wird. Die Antworten sind für Presseorgane, Suchmaschinenbetreiber und die Öffentlichkeit gleichsam interessant. Schon jetzt zeichnet sich aber immer deutlicher ab, dass das Recht auf Vergessen keinem Automatismus unterliegt, sondern immer eine Frage der Abwägung im Einzelfall ist. In die Abwägung müssen die Interessen aller Beteiligten einfließen und es kann kein pauschaler Vorrang der Interessen der einen oder anderen Seite angenommen werden. Fazit: “Es komm darauf an”, ob eine betroffen Person ein Recht auf Vergessen hat.

Belgische Datenschutzbehörde verhängt 600.000 Euro Bußgeld gegen Google Belgium SA

24. Juli 2020

Die belgische Datenschutzbehörde hat eine Geldbuße in Höhe von 600.000 Euro gegen den Suchmaschinen-Anbieter Google wegen Verstoßes gegen das Recht auf Vergessenwerden verhängt. Google hatte den Antrag eines belgischen Bürgers auf Löschung von veralteten Artikeln, die als ernsthaft rufschädigend angesehen wurden, abgelehnt.

Die belgische Datenschutzbehörde stellte fest, dass einige Artikel, die sich auf die Beziehung der Person zu bestimmter politischer Partei beziehen, angesichts ihrer Position im öffentlichen Leben von öffentlichem Interesse seien und online bleiben könnten. Die Datenschutzbehörde stellte jedoch fest, dass die Beibehaltung des Artikels, welche sich auf unbegründete Belästigungsbeschwerden beziehen, ernsthafte Auswirkungen auf die Person haben könnten. Die Behörde sah in Googles Weigerung in letzterem Fall ein „schwerwiegendes Versäumnis“ von Google.

Darüber hinaus wiesen das Google Formular sowie die Antwort an die betroffene Person Transparenzmängel auf. Aus diesen Gründen beschloss die belgische Datenschutzbehörde, eine Geldstrafe von 600.000 Euro zu verhängen. Dies ist die höchste Geldbuße, die je von der belgischen Datenschutzbehörde verhängt wurde.

Apple und Google verbünden sich im Kampf gegen Covid-19

16. April 2020

Die beiden Internetriesen Apple und Google gaben am vergangenen Freitag in einer gemeinsamen Stellungnahme bekannt, dass sie an einer Software zur Bekämpfung von Covid-19 arbeiten. Die jeweiligen Betriebssysteme iOS und Android, betreiben die überwiegende Mehrheit der weltweit verwendeten Smartphones. Vorrangiger Zweck der Zusammenarbeit ist die Entwicklung einer App, um Menschen zu warnen, die kürzlich mit Infizierten in Kontakt gekommen sind.

Zur Erfassung von Abständen werde die App auf die Bluetooth-Funktion der Geräte zurückgreifen. Konkret geplant ist, dass die Betriebssysteme temporär Identifikationsnummern austauschen. Dabei werde mithilfe der Bluetooth-Signale eines Smartphones ermittelt, zu wem der Nutzer kürzlich längeren räumlichen Kontakt hatte, um so ein mögliches Ansteckungsrisiko feststellen zu können.

Aktuell planen Apple und Google bis Mitte Mai einen Software-Baustein zu veröffentlichen. Mithilfe dieser API (Application Programming Interface) könnten auch Apps anderer Hersteller auf derselben Basis ausgeführt werden. Für die Nutzer bedeutet dies, dass sie die App, die sie benutzen möchten, separat herunterladen müssen, diese sodann aber unabhängig vom Hersteller und unter Zuhilfenahme des Software-Bausteins von Apple und Google, miteinander kommunizieren können.

Eine infizierte Person könne dann ihren Status in der jeweiligen App angeben, wodurch wiederum Personen benachrichtigt würden, die in den vorangegangen zwei Wochen mit dieser Person in Kontakt gekommen sind. Dabei würde der tatsächliche Standort des infizierten Benutzers nicht preisgegeben. Die Daten wären dann für Behörden zugänglich, enthielten jedoch keine Informationen, durch die die betroffenen Personen identifiziert werden könnten. Für die Zukunft planen Apple und Google, die Software direkt standardmäßig in die Betriebssysteme einzufügen. Zudem möchten beide Unternehmen die Gesundheitsbehörden bei der Entwicklung der Apps unterstützen.

Allerdings bleiben noch viele Fragen bezüglich der genaueren Umstände der ungewöhnlichen Partnerschaft sowie der Sicherheit der personenbezogenen Daten offen. So stellt sich die Frage, ob Verbraucher den Unternehmen und Behörden weltweit vertrauen können, ein System, das auf sensiblen Gesundheits- und Bewegungsdaten beruht, nicht für anderen Zwecke zu missbrauchen.

“Datenschutz, Transparenz und Einwilligung sind bei diesen Bemühungen von größter Bedeutung. Wir freuen uns darauf, die neuen Funktionen in Absprache mit den Interessengruppen aufzubauen”, verkündeten Apple und Google in der gemeinsamen Erklärung. “Wir werden offen Informationen über unsere Arbeit veröffentlichen, damit andere sie analysieren können.”

Nach ersten Informationen sollen die Kontaktdaten dezentral auf den Geräten der Anwender gespeichert werden und somit nicht auf einem zentralen Server. Die Daten würden erst auf einen Server übertragen, wenn der Betroffene positiv getestet werden würde. Darüber hinaus müsste in diese Übertragung einwilligt werden. Die Apps anderer Nutzer hätten dann wiederum Zugriff auf die Listen der anonymisierten IDs der Erkrankten. Darüber hinaus wolle man die Software-Quellcodes veröffentlichen. So könne jeder nachvollziehen, wie die Daten behandelt werden. Zusätzlich soll so gewährleistet werden, dass keinerlei Daten für Werbezwecke eingesetzt werden.

Der Datenschutzbeauftragte der Europäischen Union äußerte sich positiv auf Twitter: “Wir begrüßen die gemeinsame Initiative zur Beschleunigung des weltweiten Kampfes gegen die Covid19-Pandemie. (…) Die Initiative muss weiter geprüft werden. Auf den ersten Blick scheint sie jedoch die richtigen Kästchen in Bezug auf Benutzerauswahl, Datenschutz durch Design und europaweite Interoperabilität angekreuzt zu haben.” “Die Achtung fundamentaler Rechte sei der Schlüssel und man werde die Entwicklungen in enger Zusammenarbeit auch weiterhin überwachen”, so der Datenschutzbeauftragte Wojciech Wiewiórowski.

Google mahnt Clearview ab

6. Februar 2020

Wie bereits berichtet, hatte die Gesichtserkennungsfirma Clearview circa drei Milliarden Bilder in ihrer Datenbank gesammelt. Unter anderem griff Clearview dafür auch auf das Videomaterial von Youtube zurück.

Dieses Verhalten führte nun zu einer Abmahnung von Google gegenüber der Firma Clearview. Im Abmahnschreiben fordert Google die Löschung des Bild- und Videomaterials. Dem Startup wird vorgeworfen, dass es mit der Speicherung der Videos, zum Zwecke der Identifizierung von Personen, gegen die Youtube Richtlinien verstoßen hat.

Das Unternehmen hatte gestanden die Daten der Videoplattform zum Zwecke der Gesichtserkennung gespeichert zu haben. Laut der Pressesprecherin von Youtube war dieses Geständnis der Auslöser für die Abmahnung.

Neben Google haben bereits weitere Unternehmen wie z.B. Twitter und Facebook von Clearview die Löschung der Bilder gefordert. Es bleibt abzuwarten wie ein mögliches Gerichtsverfahren in diesem Fall ausgehen würde.

Weiterleitung von Gesundheitsdaten an Digitalkonzerne

14. November 2019

Nach Information der in London erscheinenden “Financial Times” leiten mehrere spezialisierte Gesundheitswebsites Gesundheitsdaten über Internet-Klicks zu medizinischen Symptomen und Krankheitsbildern an die riesigen Digitalkonzerne wie Google, Amazon und Facebook weiter.

Der größte Nutzer dieser Übermittlung ist das von Google übernommene Unternehmen DoubleClick. Aber auch drugs.com und die British Heart Foundation sind Empfänger dieser Daten. Die Zeitung stellte fest, dass eine Weiterleitung von Daten etwa zu Stichwörtern wie Abtreibung oder Drogen bei 79 von 100 überprüften Websites stattfand. Diese Weiterleitung erfolgte ohne Einverständnis der Nutzer.

Technisch findet die Weitergabe der Daten hauptsächlich mittels Cookies oder durch IP-Identifizierung statt.

Entschuldigung und Erklärungsversuch von Google zur Sprachauswertung bei Google Assistant

25. September 2019

Google reagiert auf die Vorwürfe zur unrechtmäßigen Auswertung von Sprachaufnahmen durch Mitarbeiter. In einem Blogbeitrag verspricht Google mehr Datenschutz, erklärt die Datenverarbeitung bei der Nutzung des Sprachassistenten und entschuldigt sich bei seinen Usern.  

Google stellt zunächst klar, dass sein Sprachassistent ohne Speicherung von Sprachaufnahmen verwendet werden kann. Indem die Nutzer in den Einstellungen die „Sprach- und Audioaktivitäten“ aktivieren, stimmen sie einer Speicherung ihrer Sprachaufnahmen zu. Da die Sprachauswertung nach den Vorwürfen ausgesetzt worden ist, müssen auch Nutzer, die den Assistenten bereits verwenden, einer Speicherung zunächst zustimmen. Mit dem Ziel der Datenminimierung sollen in Zukunft gespeicherte Sprachaufnahmen, die mit dem Nutzerkonto verknüpft sind, nach ein paar Monaten gelöscht werden.

Erst nach einer Zustimmung speichert Google Sprachaufnahmen der User bei der Nutzung seines Assistenten. Ein Teil dieser Audiodateien wird dann von Mitarbeitern zur Verbesserung des Assistenten ausgewertet. Google betont aber, dass diese Sprachaufnahmen keinem Nutzerkonto zugeordnet werden.

Als Schwachstelle sieht Google selbst die unbeabsichtigte Aktivierung des Sprachassistenten und verspricht alle so entstandenen Audiodateien zu löschen. In Zukunft sollen Nutzer die Empfindlichkeit des Assistenten – also wie schnell dieser auf „OK Goolge“ regiert, selbst regulieren können.

Mit dem Blogbeitrag schafft Google zumindest mehr Transparenz bezüglich der Verarbeitung von Sprachaufnahmen seiner User. Wie die Änderungen tatsächlich umgesetzt werden bleibt abzuwarten.

Android-Apps sammeln Daten ohne Einwilligung der Nutzer

11. Juli 2019

Die Sicherheitsforscher des „International Computer Science Institute“ (ICSI) mit Sitz in Kalifornien untersuchten 88.000 Apps aus dem Google Play Store und verfolgten, wie Daten von den Applikationen übertragen wurden, wenn ihnen Berechtigungen verweigert wurden. Dabei fanden sie 1325 Android-Apps, die persönliche Informationen des Nutzers abgreifen, obwohl darauf kein Zugriff erlaubt war.

Die Untersuchung hat ergeben, dass die Apps das Berechtigungssystem des Android-Betriebssystems umgehen und Daten, wie beispielweise Standortinformationen, von Geräten sammeln und an die eigenen Server senden, auch wenn Nutzer den Zugriff auf Standortdaten verweigerten. Die 1325 Apps, die die Berechtigungsbestimmungen verletzten, haben in ihrem Code versteckte „Workarounds“ verwendet. Sie entnehmen personenbezogene Daten aus Quellen wie Wi-Fi-Verbindungen und in Fotos gespeicherten Metadaten. Nach Angaben der Forscher sind einige von diesen Apps auf über 500 Millionen Geräten installiert.

Die Forscher des ICSI haben Google und die zuständige Aufsichtsbehörde, die Federal Trade Commission (FTC), über das Resultat der Untersuchung informiert. Google hat angekündigt, die Probleme in der neuen Version Q von Android zu beheben. Die Forscher wollen im August eine detaillierte Liste der 1.325 Apps auf der Usenix Security Konferenz veröffentlichen.

Kategorien: Allgemein
Schlagwörter: ,
1 2 3 10