Schlagwort: Tracking
7. Dezember 2016
Datenschutzaufsichtsbehörden aus Bayern, Brandenburg, Hessen, Niedersachsen, Nordrhein-Westfalen und Schleswig-Holstein sowie die Bundesdatenschutzbeauftragte haben sog. Wearables einer besonderen Prüfung unterzogen.
Das Ergebnis: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.
Insbesondere wurden Geräte wie Fitness-Armbänder oder Activity-Tracker, die Körperaktivitäten wie Schrittzahl, Herzfrequenz, Schlafrhythmus oder Körpertemperatur erfassen, unter die Lupe genommen. Wie aus einer gemeinsamen Pressemitteilung der Aufsichtsbehörden hervorgeht, wurde vor allem überprüft, welche Daten die Wearables erheben und ob die Daten an Dritte weitergegeben werden sowie die Gewährleistung von Auskunfts- und Löschungsansprüche durch den Anbieter. Im Einzelnen fanden sie dabei heraus, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen, wobei unklar bliebe, was dort mit den Daten im Einzelnen geschehe. Ferner erfüllen bereits die Datenschutzbestimmung meistens nicht die gesetzlichen Anforderungen, d. h. die Nutzer werden über Funktionalität der Geräte und Umfang der Datenverarbeitung gar nicht ausreichend informiert. Die Unsicherheit endet auch nicht bei Verkauf oder Verlust des Geräts, denn viele Geräte bieten keine Möglichkeit, Daten selbstständig vollständig zu löschen. Auch sei unklar, wie lange die Daten bei Hersteller oder Betreiber gespeichert werden.
Die Aufsichtsbehörden kündigten nun an, innerhalb ihrer Zuständigkeiten die Hersteller aufzufordern, die Mängel zu beseitigen.
8. Juni 2015
Bisher war es sehr schwierig, die Kontoeinstellungen verschiedener Google-Dienste synchron und zum Schutz seiner personenbezogenen Daten einzurichten, doch seit der vergangenen Woche hat Google die Verwaltung von Gmail-, Youtube- oder Blooger-Accounts wesentlich übersichtlicher und damit nutzerfreundlicher gestaltet. Unter https://myaccount.google.com/ sind unter dem Unterkapitel “Persönliche Daten und Privatssphäre” eine Reihe von Instrumente und Einstellungen abrufbar, die den Schutz der Privatsphäre des Einzelnen erleichtern. So kann man beispielsweise das Sammeln von Informationen zum Standortverlauf einfach ausschalten, ebenso wie auch die sogenannte „interessenbezogene Werbung“ (darunter sind Anzeigen zu verstehen, die sich nach den Nutzer-Aktivitäten auf Google oder den besuchten Internetseiten orientieren).
Dieser Entwicklung voraus gegangen war ein Verwaltungsverfahren, in dem der Hamburgische Beauftragte für Datenschutz und Informationssicherheit durch Widerspruchsbescheid Google verpflichtet hatte, die Verarbeitung personenbezogener Daten deutscher Nutzer in zulässiger Weise zu organisieren. Die Nutzer müssten “künftig selbst über die Verwendung der eigenen Daten zur Profilerstellung entscheiden können“, so Johannes Caspar.
Die neuen Möglichkeit für den Nutzer, zumindest die Kontrolle über seine Kontoeinstellungen selbst in die Hand zu nehmen, könnte ein erster Schritt in Richtung der Umsetzung der Forderungen des Datenschützers sein. Ob sie tatsächlich den gewünschten Effekt einer Stärkung der Rechte deutscher Nutzer von Google-Diensten zeigen, wird noch zu überprüfen sein.
29. Mai 2015
„When I came to college Facebook Messenger became an integral part of my digital life. I quickly found that it was the easiest way to keep in touch with old high school friends, contact people I had just met, organize impromptu poker games with people I hardly knew, and everything in between“. Diese Aussage eines Havard-Studenten spiegelt wohl die allgemeine Verwendungsweise der App Facebook Messenger – vor allem unter jüngeren Anwendern – wider. Was der Informatikstudent dann aber auch herausgefunden hat, schildert er in seinem Blog auf der Plattform Medium.com.
Wie auch die FAZ-Online berichtet, gelang es ihm im Rahmen eines Experiments, umfangreiche Profile seiner Kommilitonen allein durch die Auswertung der Standortangeben der Chat-Teilnehmer zu erstellen. Diese regelmäßig voreingestellte Funktion teilt anderen Gesprächspartnern permanent den jeweiligen Aufenthaltsort mit. Anhand dieser Daten gelang es dem angehenden Informatiker u.a. herauszufinden, in welchem Zimmer auf dem Campus der Universität diese wohnten und welche Kurse sie besuchten. Dazu konnten weitreichende Bewegungsprofile kartenartig erstellt werden.
Ob man diese Funktion aktiviert lassen sollte, kann man da schon mal überdenken. Eine Anleitung zur Deaktivierung findet sich hier.
Der Student hat übrigens gerade eine Praktikumszusage bekommen. Von Facebook.
22. Juli 2013
Mit einem im Juni eingereichten Änderungsvorschlag versuchte die DAA (Digital Advertising Alliance) einmal mehr die Entwicklung des Do Not Track Standards durch dasW3C (Standardisierungsgremium für das Worl Wide Web) im Sinne der Online-Werbewirtschaft zu beeinflussen. Dabei wurde unter anderem eine enge Definition des Tracking Begriffs sowie ein Ampelsystem zu internen Behandlung von Daten, die durch Tracking gesammelt wurden, vorgeschlagen.
Die Tracking Protection Working Group des W3C hat dem Angebot der Werbewirtschaft jedoch eine Absage erteilt und führt aus, dass der DAA Vorschlag
- das DNT Signal nicht nutze, um einen Do Not Target oder Do Not Collect Ansatz zu verwirklichen.
- keine deutliche Verbesserung des Status Quo darstelle.
- das Retargeting und die Profilbildung wie bisher fortführe und sich einzig Auswirkungen auf die Handhabung der Daten durch die Werbewirtschaft habe.
Damit bleibt abzuwarten, ob und wie der Standardisierungsprozess fortschreitet.
15. Juli 2013
Amazons 1Button App, welche es als Erweiterung für Firefox und Chrome gibt, bietet direkten Zugriff auf die Amazon-Suche und zeigt Angebote und Topseller übersichtlich an.
Doch das ist nicht alles, was das Programm kann! Wie wahrscheinlich kaum ein Nutzer weiß, übermittelt die Erweiterung sämtliche aufgerufenen Websites nicht nur an Amazon selber, sondern teilweise auch an den Webstatistik Dienst Alexa, welcher zum Amazon Konzern gehört. Wie der der polnische Sicherheitsfachmann Krzysztof Kotowicz herausgefunden hat, werden dabei sogar die URLs von verschlüsselten HTTPS-Verbindungen an die Amazon-Server übertragen.
In den Datenschutzbestimmungen zur App findet sich zu diesem Verhalten folgender Passus: “The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you.” Dem Wortlaut nach ist also nur von Sammeln, nicht aber von Übermitteln die Rede. Auch die Angabe, dass die übermittelten Daten nicht mit dem Amazon-Account verbunden werden oder zur Identifizierung genutzt werden, scheint fragwürdig, weil Amazon bei der Übermittlung das gleiche Cookie verwendet, wie auch zur Identifikation der Nutzer im Onlineshop.
Doch damit nicht genug: Amazon überträgt von bestimmten Seiten sogar die Inhalte an die eigenen Server. So werden beispielsweise die über eine verschlüsselte HTTPS-Verbindung aufgerufenen Ergebnisse einer Google-Suche an Alexa übertragen. In Bezug auf diese Übermittlung an Alexa finden sich folgende Angaben in den Datenschutzbedingungen: “In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user.” Damit gibt Amazon recht unverhohlen zu, dass durch die Übermittlung einzelne Nutzer identifizierbar sind. Die übermittelten Daten enthalten dabei nicht nur identifizierende Merkmale, sondern auch sämtliche URL-Parameter wie Session-IDs, die zumindest theoretisch dazu genutzt werden können, die Identität des Nutzers gegenüber den besuchten Webdiensten zu übernehmen.
25. Februar 2013
Wie Jonathan Mayer, einer der Entwickler des populären Firefox Browsers, in einem Blogeintrag mitteilte, wird Firefox ab Version 22 in der Standardeinstellung nur noch sogenannte First-Party Cookies akzeptieren. Dabei handelt es sich um Cookies, welche von der explizit aufgerufenen Website gesetzt werden. Im Gegensatz dazu spricht man von Third-Party Cookies, wenn ein externer Dienstleister beim Aufruf einer anderen Website Cookies beim Nutzer hinterlegt. Solche Third-Party Cookies sollen in Zukunft nicht mehr durch den Firefox akzeptiert werden.
Für die Werbebranche stellt ein solches Vorgehen eine durchaus relevante Einschränkung dar, da einige der gängigen Trackingverfahren unter diesen Umständen nicht mehr funktionieren. Mike Zanei, seines Zeichens Leiter der Rechtsabteilung bei dem Internet Advertising Bureau (einer Lobbyvereinigung der Werbewirtschaft), bezeichnete das Vorhaben der Firefox Entwickler daher auch recht drastisch als “ersten Nuklearschlag gegen die Werbewirtschaft”.
Mayer weist hingegen in dem angesprochen Blogbeitrag darauf hin, dass die neue Firefox Haltung nichts weiter sei, als eine “entspannte Version” dessen, was Apples Safari bereits seit mehr als einer Dekade so umsetze. Für die Zukunft kann Mayer sich jedoch vorstellen, den strikten Umgang mit Cookies auf andere Speichertechniken, wie HTML5 Web Storage, auszuweiten.
Zwischen den Zeilen lässt sich herauslesen, dass die Verwässerung und Missachtung des von Mozilla initiierten Do Not Track Ansatzes Anlass für den strengeren Umgang mit Cookies sein könnte. So zieht Mayer Ausnahmen von der generellen Ablehnung von Third-Party Cookies für solche Seiten in Betracht, die den Do Not Track Ansatz honorieren.
4. Februar 2013
Unter dem Titel “Mobile Privacy Disclosures – Building Trust Through Transparency” hat die US-Handelsaufsicht FTC eine Broschüre veröffentlicht, in welcher sie zentrale Forderungen zum Umgang mit Nutzerdaten im mobilen Umfeld formuliert.
An die Betriebssystem Hersteller (z.B. Blackberry mit Blackberry 10, Google mit Android, Apple mit iOS etc.) richten sich folgende Forderungen:
- Nutzer sollten explizit benachrichtigt und um Zustimmung gefragt werden, bevor auf sensible Daten wie Standortinformationen zugegriffen wird.
- Fotos, Kontaktdaten, Kalenderdaten und die Aufzeichnungsfunktionen der Geräte hält die FTC für etwas weniger schützenswert: In diesem Kontext sollten Betriebssystemhersteller nur überlegen, die soeben genannten Benachrichtigungen und Abfragen einzuführen.
- Es sollte eine einheitliche Übersicht geschaffen werden, die es den Nutzern ermöglicht, schnell zu überblicken, auf welche Inhalte Apps zugreifen können.
- Die Schaffung eines einheitlichen Symbols, welches auf die Übertragung persönlicher Daten hinzuweist, sei anzudenken.
- Die Betriebssystem-Hersteller sollten Best-Practise Ansätze fördern und gegenüber den Nutzern öffentlich machen, welche Prüfkriterien die Apps vor der Aufnahme in die jeweiligen Stores durchlaufen.
- Der Do Not Track Ansatz sollte auf Betriebssystemebene verankert werden [Anmerkung: Bisher bieten ausschließlich vereinzelte Browser wie der Firefox für Android diese Funktion]
Mit einem zweiten Forderungskatalog wendet sich die FTC an Hersteller von Apps:
- Diese sollten eine einfach abrufbare Datenschutzrichtlinie bereitstellen, welche im besten Fall über die Stores der Betriebssystem-Hersteller abrufbar sein sollte.
- Solange keine explizite Benachrichtigungs- und Zustimmungsroutinen durch das Betriebssystem bereitstehen, solle dies durch die Hersteller für die jeweiligen Apps gewährleistet werden.
- Es sei zu überlegen, Selbstregulierungsgremien, Industrieorganisationen etc. beizutreten, die Unterstützung bei der Entwicklung einheitlicher, kurzer Datenschutzerklärungen böten.
- Die Kommunikation mit Werbenetzwerken sollte verbessert werden, damit die App-Hersteller die Third-Party-Tools, die sie in ihre Apps einbauen, besser verstehen und die Nutzer entsprechend informieren könnten.
Auch an die Werbeindustrie richtet sich die FTC und fordert, spiegelbildlich zum letztgenannten Punkt, die Kommunikation mit den App-Herstellern zu verbessern. Weiterhin sollte auch die Werbebranche dazu beitragen, die effektive Durchsetzung von Do-Not-Track auf mobilen Geräten zu ermöglichen.
Letzten Endes adressiert die FTC auch Zusammenschlüsse von App-Herstellern, die Lehre, Datenschutzexperten und Usability-Experten mit folgenden Anregungen:
- Es sollten kurze Datenschutzerklärungen entwickelt werden.
- Es müssten standardisierte Wege vorangetrieben werden, die es Nutzern ermöglichten, über App Grenzen hinweg den Umgang mit Daten zu vergleichen.
- App-Hersteller müssten für Datenschutzbelange sensibilisiert werden.
Ausgangspunkt sämtlicher vorgenannten Punkte sind drei Grundforderungen:
- Privacy by Design: Unternehmen sollten in jedem Entwicklungsstadium den Datenschutzbelange berücksichtigen.
- Eine einfache Wahl für Nutzer: Zum relevanten Zeitpunkt und im relevanten Kontext sollten die Nutzer um eine Einwilligung gebeten werden.
- Größere Transparenz: Die Unternehmen sollten Details über die Erhebung und Verwendung von Nutzerdaten offenlegen.
Insgesamt lässt sich festhalten, dass die gesammelten Vorschläge allesamt gut und vernünftig klingen; einzig krankt es daran, dass es sich nur um nichtverbindliche Ausführungen handelt, zu deren Umsetzung keine der angesprochenen Gruppen verpflichtet ist. Nichtsdestotrotz ist zu hoffen, dass einige der Vorschläge in Zukunft umgesetzt werden. Teilweise wird dies bereits heute schon getan: Android informiert vor Installation einer App über die von der App angeforderten Berechtigungen, wohingegen iOS beim Zugriff auf bestimmte Daten (Kontakte, Ortsinformationen etc.) eine explizite Einwilligung verlangt. Beide Systeme bieten heute schon die Möglichkeit, zumindest das herstellereigene Werbetracking zu deaktivieren. [Android: Einstellungen > Konten > Google > Anzeigen – iOS: Einstellungen > Allgemein > Info > Werbung oder oo.apple.com per Browser aufrufen)
Eines der datenschutzrechtlich relevantesten Verfahren hinsichtlich der Effektuierung von kundenspezifischer Werbung ist das sogenannte Tracking. Dabei werden Tracking-Cookies verwendet, kleine Datenmengen, die sich beim Surfen auf einer Seite auf dem Rechner ablegen, ohne dass der Nutzer hiervon zumeist Kenntnis nimmt. Diese ermöglichen dem Werbetreibenden, den Nutzer auf danach besuchten Seiten wieder zu erkennen und dementsprechende werberelevante Rückschlüsse auf dessen Interessen zu schließen. Mittlerweile, wohl auch aufgrund der fortschreitenden datenschutzrechtlichen Sensibilisierung der Nutzer, bestehen einfach zu bedienende Maßnahmen zur Löschung oder Sperrung dieser Cookies.
Das marktführende soziale Netzwerk Facebook hat nun nach einem Bericht von heise.de eine neue Methode mit dem Namen “Optimized CPM” installiert, die diese Maßnahmen potentiell umgehen kann. Das neue Tracking soll über die Facebook-ID stattfinden und so die vorhandenen Sicherungsmaßnahmen gegen Cookies faktisch ins Leere laufen lassen. Denn im Gegensatz zu den Lösch- und Sperrmöglichkeiten hinsichtlich der Cookies, bestehen diese für die Facebook-ID nicht. So können Nutzer auch browser- oder endgeräteübergreifend identifiziert werden. Facebook erhofft sich durch diese Neuerung, den Werbekunden noch detailliertere Informationen über das Surfverhalten der Nutzer zur Verfügung stellen zu können. Die neue Methode lässt zudem erkennen, welche Handlungen Facebook-User nach dem Klick auf eine Anzeige bei Facebook vornehmen. Der Werbekunde kann so erkennen, ob die von ihm geschaltete Werbung zu den erwünschten Reaktionen der Kunden führt.
Facebook ist dabei jedoch auf die “Mitwirkung” seiner Nutzer angewiesen. Denn loggt sich ein User, entgegen der nach Angaben von Facebook üblichen Praxis, nach Beendigung seiner Nutzung aus dem Social-Network aus, ist eine weitere Verfolgung ausgeschlossen.
22. Januar 2013
Das Start-Up Drawbridge möchte Retargeting auf einem ganz neuen Niveau ermöglichen, indem es Nutzer geräteübergreifend verfolgt. So soll das Dillema der Werbebranche gelöst werden, dass sich die Internetnutzung zunehmend von PC und Notebook hin zu Smartphones und Tablets verlagert. Die Geschäftsidee, welche Drawbridge selbst alst Neuerfindung der mobilen Werbung bezeichnet, stößt auf reges Interesse, so dass bereits 6,5 Millionen US-Dollar Risikokapital und ein Team an erfahrenen Mitarbeitern gewonnen werden konnte.
Kern des Drawbridge Systems ist ein Algorithmus, der die Brücke von stationären zu mobilen Geräten schlägt. Was wie ein wahrgewordener Traum für die Werbeindustrie scheint, muss für Datenschützer wie ein Alptraum anmuten. Sivaramakrishnan, die Gründerin und CEO von Drawbridge, betont jedoch, dass für Drawbridge nur Cookies mit anonymisierten Informationen (Art des Browsers, abgerufene Website und Zeit des Besuchs) verwendet werden. Ein Fingerprinting, welches es ermöglicht, einzelne Geräte genau zu identifizieren, soll gerade nicht zum Einsatz kommen. Stattdessen sollen statistische Verfahren zum Einsatz kommen, die durch eine Triangulation des Nutzerverhaltens zu einer Eingrenzung des Nutzers führen sollen. Liegt eine bestimmte Wahrscheinlichkeit vor, dass es sich um ein und denselben Nutzer handeln könnte, werden die Zugriffe von verschiedenen Geräten einem Nutzer zugeordnet. Aktuell will Drawbridge die Grenzen von fast 400 Millionen Geräten mit Hilfe seines Algorithmus überbrückt haben.
Während Eric Picard, seines Zeichens selbst Chef eines Werbe-Start-ups (Rare Crowds), die Drawbridge-Technik für einen vielversprechenden Ansatz hält und einen Bedarf am Markt dafür sieht, bezweifelt er jedoch, dass die Nutzerprofile dabei anonym bleiben könnten.
17. Dezember 2012
Microsoft und der New Yorker Polizeidienst (NYPD) haben, um die polizeiliche Gefahrenabwehr effektiver auszugestalten, ein neues elektronisches System namens Domain Awareness System eingeführt, das die 3.000 Überwachungskameras in Lower Manhattan mit Straßenkarten, Verbrechensregistern und den Notrufnummern verbindet. Zweck sei eine Verbesserung sowohl der repressiven als auch der präventiven polizeilichen Arbeit.
Durch die Einführung des Systems entstehe die Möglichkeit, dass das Bewegungsprofil von den in der Vergangenheit auffällig gewordenen Kraftfahrzeugen verfolgt, beobachtet und aufgezeichnet werde. Die Speicherung, so die amerikanische Presse, sei für eine Dauer von Wochen und mehreren Monate möglich.
Das elektronische System enthalte auch Sensoren, um radioaktive Stoffe orten und somit dem internationalen Terrorismus entgegensteuern zu können.
Geplant sei, dass das System auch von anderen amerikanischen Städten erworben werden könne. New York erhalte dreißig Prozent der erzielten Verkaufseinnahmen.
Letztendlich kann man in Deutschland aus datenschutzrechtlicher Sicht nur hoffen, dass die Einführung solcher Systeme nicht über den Atlantik schwappen und die bereits in großer Anzahl vorhandenen städtischen Überwachungskameras in Deutschland nicht noch mit Straf- und Ermittlungsakten der Strafverfolgungsbehörden verknüpft werden.
