Mittwoch, 15. März 2017

2: Pressemitteilungen

Weltverbrauchertag für eine vertrauenswürdige digitale Welt – natürlich mit Datenschutz

Datenschutz und Verbraucherschutz im Schulterschluss: Der G20-Verbraucher-Gipfel zeigt, wie das gemeinsame Ziel einer vertrauenswürdigen digitalen Welt zusammen erreicht werden kann.

Jedes Jahr am 15. März wird am Weltverbrauchertag in zahlreichen Veranstaltungen international auf drängende Herausforderungen im Verbraucherschutz aufmerksam gemacht und auf mögliche Lösungen hingewiesen. In Deutschland wird dies kombiniert mit einem G20-Verbraucher-Gipfel in Berlin, zu dem sich Vertreterinnen und Vertreter aus 50 Ländern angemeldet haben. Ausrichter sind das Bundesministerium der Justiz und für Verbraucherschutz (BMJV), der internationale Dachverband von Verbraucherorganisationen Consumers International (CI) und der Verbraucherzentrale Bundesverband vzbv. Das gewählte Motto für 2017: „Aufbau einer digitalen Welt, der Verbraucher trauen können“.

"Weltverbrauchertag für eine vertrauenswürdige digitale Welt – natürlich mit Datenschutz" vollständig lesen
Dienstag, 6. Dezember 2016

Vernetztes Spielzeug: Wer hört mit im Kinderzimmer

Auch vermeintlich harmlose Spielzeuge wie elektronische Puppen, Klemmbausteine (z. B. Lego) und Fußbälle sind nicht immer unproblematisch. Durch Presseberichte bekannt sind Puppen mit Sprachaufzeichnung, mit denen Eltern erfahren, was ihre Kinder der Puppe anvertrauen. Schon hier sollte man sich fragen, ob es für die Entwicklung von Kindern förderlich ist, wenn die Eltern immer alles wissen. Doch es bleibt nicht bei den Eltern: Dass die Puppe auch im Kindergarten ungefragt ausplaudert, was ihr anvertraut wurde, lässt sich vielleicht noch verhindern – die Puppe bleibt eben zu Hause. Dass aber die Sprachdaten per WLAN zu einem Cloud-Dienstleister übertragen und dort analysiert werden, kann nicht mehr unterbunden werden.

Auch bei anderen Spielzeugen wie programmierbaren Robotern ist darauf zu achten, dass sie nur eigenen Befehlen gehorchen. Da ihre technische Kapazität sich durchaus mit der von Smartphones und älteren PCs vergleichen lässt, können sie ein lohnendes Angriffsziel sein. Es wurde bereits beobachtet, wie Lego-Steuerungen zu einem Botnetz umfunktioniert werden sollten. Vorsicht ist also geboten, wenn den Geräten per WLAN ein unbeschränkter Internetzugriff ermöglicht wird – einen PC lässt man schließlich auch nicht mehr ohne Virenschutz und regelmäßige Sicherheits-Updates ins Internet.

Zahlreiche elektronische Spielzeuge lassen sich heutzutage per App steuern. Den Nutzern muss klar sein, dass die Daten in den meisten Fällen nicht nur auf der App des Smartphones oder Tablets landen, sondern auch in der Cloud des Herstellers. Und auch wenn die Statistiken über Schussstärke bei einem Fußball gerne mit Freunden geteilt werden, geht die Trainingshäufigkeit und die sekundengenaue Uhrzeit des letzten Schusses den Hersteller nichts an, oder?

Hintergrundartikel:

01/2016: heise.de:
Analysiert: Lego Mindstorms für Cyber-Angriffe missbraucht

Dienstag, 6. Dezember 2016

Drohnen: Grenzen des Fliegens

Eine  Drohne geschenkt zu bekommen, bringt meist mehr Rechtsprobleme mit, als viele  Schenker und Beschenkten ahnen. Neben Versicherungspflichten, Haftungsfragen,  Urheberrechtsproblemen und Aufstiegsgenehmigungen sind es bei Modellen mit  Kamera auch Datenschutzanforderungen, die beachtet werden muss.

Wer  fremde Menschen aus der Luft fotografiert oder filmt, muss deren  Persönlichkeitsrechte beachten. Dabei kann schon das Erstellen der Bilder  problematisch sein, wenn über Zäune hinweg Menschen auf ihrem Grund und Boden  in ihrer Privatsphäre aufgenommen werden. In der Regel muss man als Betroffener  solche Aufnahmen nicht dulden und kann sich beschweren. Manch einer mag sogar zur  „Selbsthilfe“ greifen, um diesen „Angriff“ des Drohnenpiloten abzuwehren.
  Noch  gravierender ist der Eingriff, wenn die Bilder später sogar etwa in sozialen  Netzwerken oder auf anderen Webseiten veröffentlicht werden. Das Recht am  eigenen Bild der Betroffenen gebietet es, dass diese in der Regel zuvor um ihre  Erlaubnis gefragt werden. Dies kann allenfalls entfallen, wenn die Menschen so  klein abgebildet werden, dass sie nur unwesentliches Beiwerk zu einer  Landschaft sind. Bei der Auflösung heutiger Kameras ist das jedoch nur noch  selten der Fall.

Wer auf  Nummer Sicher gehen will, der sollte seine Drohne nur von ausgewiesenen  Modellflugplätzen oder zumindest außerhalb bewohnter Gebiete fliegen lassen.  Will man doch etwa das eigene Grundstück von oben aufnehmen und kann nicht  ausschließen, dass auch Nachbargrundstücke eingefangen werden, sollte man  vorher bei den Nachbarn um Verständnis und Erlaubnis bitten. Vielleicht sind diese  sogar an Ihren Aufnahmen interessiert!

Dienstag, 6. Dezember 2016

Smart-TV: Neugierige Kisten

Der Fernseher ist aus vielen Haushalten nicht wegzudenken. Gleichzeitig hat dieses zentrale Element der Informationsgesellschaft einen erstaunlichen Wandel durchgemacht. War die „Röhre“ früher ein reines Empfangsgerät, sind heutige Smart-TVs nebenbei in der Lage, Daten aus dem Internet zu verarbeiten und dorthin zu senden. So verschwimmt die Grenze zwischen Fernsehprogramm und Online-Angebot. Darüber hinaus bieten Smart TVs durch ihre Online-Anbindung auch einen Rückkanal: Anders als klassische Fernseher können sie den Anbietern Informationen zurückgeben. „Anbieter“ können in diesem Fall sowohl der Hersteller des Geräts, als auch die Anbieter der Online-Angebote sein, die der Zuschauer nutzt. So werden Ein- und Ausschaltzeit und Programmwechsel registriert. Lässt sich das Gerät per Sprachbefehl bedienen, empfehlen einige Hersteller scheinheilig, im Wohnzimmer fortan lieber nichts Privates mehr zu besprechen: Die stets eingeschalteten Mikrofone des Smart TVs lauschen auf Schlüsselworte und übertragen die aufgenommenen Töne teilweise an externe Datenverarbeiter.

Mitlauschen und Mitschneiden von persönlichen Daten lässt sich in den Einstellungsmenüs der Geräte zumeist deaktivieren. Ob die Spionagefunktionen das Gerät dann wirklich inaktiv sind, kann der Anwender allerdings nur hoffen. Der Hersteller LG fiel im Jahr 2013 unangenehm auf, weil deren Fernseher die Sehgewohnheiten trotz Deaktivierung durch den Nutzer munter weiter an Server des Herstellers übermittelten.

Neben dem Deaktivieren der Angriffe auf die Privatsphäre empfiehlt sich bei Smart TVs, die Webseiten des Herstellers langfristig im Blick zu behalten. Eventuelle Hinweise auf Probleme und Softwareupdates zu deren Behebung findet man – hoffentlich –  dort. Manche Geräte bieten auch die Möglichkeit, Updates direkt mit dem Gerät aus dem Internet herunterzuladen und zu installieren – ohne Umwege über Webseite, PCs und USB-Sticks. Dies sollte man nutzen.

Eine kompakte Hanbdreichung mit praktischen Tipps hat das 
Bayerisches Landesamt für Datenschutzaufsicht zusammengestellt:
Info-Kompakt Smart-TV

Hintergrundartikel:

Dienstag, 6. Dezember 2016

Smarte Haushaltsgeräte: Hat mein Kühlschrank WLAN?

Mit dem Schlagwort „smart“ kennzeichnen Hersteller gern Gerätschaften, die eine Online-Komponente besitzen oder sich mit einem Smartphone verbinden können. Zahnbürsten fertigen mittels Smartphone Putzstatistiken, die Waschmaschine kann von unterwegs eingeschaltet werden, und der Milchvorrat lässt sich per Kühlschrankkamera noch im Büro überprüfen.

Statusmeldungen und Einstellungen lassen sich häufig über Online-Portale einsehen und ändern. Praktischerweise kann der Hersteller seine Kunden so auch gleich über anstehende Service-Termine wie etwa Filterwechsel benachrichtigen: Eine Information – und eine Verdienstmöglichkeit –, die der Hersteller ohne smarte Haushaltshilfen nicht hätte. Bei vielen Geräten dieser Art scheint zunächst kein ernsthaftes Datenschutzproblem zu existieren: Dass ein Kühlschrank geöffnet wird, klingt kaum wie eine schützenswerte Information. Wenn der Kühlschrank jedoch mehrmals des Nachts geöffnet wird, lassen sich bereits erste Schlüsse über den Nutzer ziehen. Deshalb gilt auch für smarte Haushaltsgeräte: Überprüfen Sie die Einstellungen jedes Online-Geräts und vertrauen Sie keinesfalls blind den Herstellern.

Insbesondere Smartphone-Apps sollten daraufhin überprüft werden, ob sie Daten an den Hersteller weitergeben. Davon ist immer dann auszugehen, wenn die Einrichtung eines Nutzerkontos erforderlich ist, mit dem sich die App bei einem Server anmelden kann. In diesem Fall ist zu klären, was die App übertragen möchte. Außerdem sollten Sie einen Blick in die jeweilige Datenschutzerklärung werfen:

  • Erklärt der Hersteller, welche Daten er verarbeitet?
  • Werden Löschfristen genannt, oder bleiben übertragene Daten „für ewig“ in der Cloud?

Funktionen, die Sie nicht benötigen, sollten soweit wie möglich abgeschaltet werden.
Da mit dem Internet verbundene Geräte immer dem Risiko eines unbefugten Zugriffs ausgesetzt sind, sollten Updates nach Möglichkeit automatisiert abgerufen werden. Ist dies nicht möglich, besuchen Sie regelmäßig die Hersteller-Webseite, um sich über mögliche Aktualisierungen zu informieren.

Dienstag, 6. Dezember 2016

Smart Home-Anwendungen: Per Internet ins Kinderzimmer blicken

Auch Geräte zur Absicherung der eigenen vier Wände bieten inzwischen Online-Funktionen. Alarmanlagen melden die überraschende Öffnung eines Fensters per Smartphone, und Kameras erkennen, ob die Familie oder ein Einbrecher im Wohnzimmer steht – per Livestream auf dem Handy. Insbesondere Kameras haben sich dabei in der Vergangenheit als anfällig für herstellerseitige Schlamperei erwiesen. Noch immer hängen unzählige Überwachungskameras am Netz, die ihre Bilder nicht nur dem Besitzer, sondern jedem interessierten Internet-Nutzer zur Verfügung stellen.

Heizungsthermostate, Fensterverdunkelung oder Raumbeleuchtung sind nur drei Beispiele für Funktionen, die sich in einem vernetzten Zuhause online steuern lassen. Dabei greifen die Geräte in ihrem Funktionsumfang auch ineinander: Erkennt die Kamera die Anwesenheit einer bestimmten Person, kann die Beleuchtungssteuerung das Raumlicht auf deren Lieblingsfarbe justieren. Häufig greifen Sicherheits- und Steuerungsfunktionen ineinander.

In diesem Kontext sind auch Sensoren zu nennen, die für die Steuerung benötigte Basisdaten liefern. Das Thermostat misst mit einem Thermometer die Temperatur, eine Raumluftanalyse ermittelt den CO2-Gehalt und ein Bewegungssensor registriert die Anwesenheit von Personen. Dabei kann es zu unerwarteten Nebeneffekten kommen. So ist die CO2-Analyse in der Regel dazu gedacht, die Raumlüftung zu optimieren. Aber aus der Zunahme von CO2 in der Raumluft lässt sich ebenfalls die Anwesenheit von Personen ableiten. Auch die Protokollierungsfunktion der Heim-Automatisierung lässt mitunter Rückschlüsse auf Personen zu, beispielsweise wenn die Raumbeleuchtung manuell eingeschaltet oder die Heizung reguliert wird. Zudem ergeben sich aus einer herstellerseitigen Nachlässigkeit Probleme. So wurde unlängst ein Angriff bekannt, bei dem es Forschern gelang, smarte Glühbirnen mit einer Virus-Software auszustatten, die selbsttätig benachbarte Glühbirnen infizierte.
Der Funktionsumfang dieser smarten Haushaltshilfen birgt generell zwei Risiken:

  • Da vernetzte Geräte in der Regel mit dem Internet verbunden sind und von außen erreichbar sein sollen, besteht immer die Möglichkeit, dass sich auch Unbefugte Zugang zu den so erreichbaren Steuerungsfunktionen verschaffen. Solch ein Zugang kann entstehen, wenn der Nutzer eine falsche Systemeinstellung vornimmt. Aber wie reale Fälle zeigen, patzen manchmal auch die Hersteller patzen und liefern Geräte mit unzureichenden Sicherheitsvorkehrungen aus.
  • Wer Geräte zur Erfassung von Personen einsetzt, greift damit immer in deren Persönlichkeitsrechte ein. Videoüberwachung beispielsweise muss den Betroffenen explizit zur Kenntnis gebracht werden. So ist ein heimliches Filmen von Reinigungskräften nicht zulässig. Ob eine ständige Überwachung des eigenen Nachwuchses dem Kindeswohl zuträglich ist, mag jeder für sich entscheiden. Und die Ehefrau ist unter Umständen irritiert, wenn der Gatte per Smartphone und Raumluftanalyse nachvollziehen kann, wann sie heimgekommen ist und welche Räume wann betreten wurden.

Wer sich mit dem Gedanken an die Anschaffung eines smarten Haushaltshelfers trägt, sollte Einrichtung und Wartung nicht unterschätzen, denn mit dem Anschluss des  Stromkabels ist es nicht getan. Neben dem Koppeln von Geräten („Pairing“), dem Anlegen von Nutzerkonten und dem Vergeben sicherer Passworte ist auch ein Blick in die Netzwerkeinrichtung sinnvoll. Gibt es eventuell standardmäßig vorhandene Nutzerkonten? Diese sollten dann umgehend deaktiviert werden. Offene Ports oder ähnliche Sicherheitsprobleme lassen sich allerdings kaum mit Bordmitteln erkennen. Um Hinweise auf Updates und etwaige Sicherheitslücken nicht zu verpassen, ist es notwendig, die Hersteller-Webseite fortan regelmäßig zu besuchen, und Updates einzuspielen. Manche Geräte fragen auch selbstständig beim Hersteller nach bereitgestellten Software- und Firmware-Updates und informieren den Nutzer – teilweise recht versteckt – über neue Software-Versionen. Angebotene Benachrichtigungsfunktionen sollte man nutzen.

Beim Aufstellen und bei der Benutzung insbesondere sensorgesteuerter Geräte ist das Persönlichkeitsrecht erfasster Personen zu beachten. Öffentlicher Raum ist für die Erfassung bspw. durch eine Kamera tabu. Aber auch auf dem eigenen Grundstück und in den eigenen vier Wänden gelten Einschränkungen.

Hintergrundartikel:

Dienstag, 6. Dezember 2016

Konsolen: Datenschutz auf XBox und Playstation

Schon längst ist das Spielen mit der Spiele-Konsole kein Einzelspieler-Erlebnis mehr. Sämtliche aktuelle Konsolen wie Playstation oder auch Xbox sind mit dem Internet verbunden und wollen ein Gemeinschaftserlebnis vermitteln. Das bedeutet aber auch, dass Daten ausgetauscht werden – nicht nur zwischen den Spielern, sondern insbesondere auch mit dem jeweiligen Anbieter der Konsole und dessen Dienstleistern. Diese haben ihren Sitz in der Regel außerhalb der EU.

Wer nun eine Konsole geschenkt bekommt und sich bei einem der Onlinespieldienste anmeldet, sollte darauf achten, dass er keinen Nutzernamen verwendet, der auf die eigene Person rückschließen lässt. Ansonsten ist es nicht nur für Freunde und Kollegen möglich das eigene Spielverhalten zu beobachten, sondern ggf. auch für den Arbeitgeber bzw. oder für die eigene Lehrkräfte. Die Systeme bieten in der Regel zahlreiche Konfigurationsmöglichkeiten zum Datenschutz. Dabei sollte man (sofern man nicht ausdrücklich etwas anderes möchte) dort die Weiterverwendung der eigenen Daten so weit wie möglich einschränken und auch die Sichtbarkeit des Spielerprofils restriktiv wählen. Sind Kameras und Audioaufnahmegeräte anzuschließen, dann sollten diese zur Sicherheit nur dann mit der Konsole verbunden werden, wenn sie wirklich benötigt werden. So kann man sicher sein, dass die Konsole außerhalb des Spielerlebnisses nicht auch noch das eigene Wohnzimmer überwacht.

Dienstag, 6. Dezember 2016

Wearables: Wächter über den Körper

Fitness-Armbänder und Smart Watches sind im Kommen und erfassen inzwischen nicht nur die Schritte des Trägers, sondern auch sein Schlafverhalten und seinen Pulsschlag. Sogar Trinkbecher werden smart und erfassen neben der Flüssigkeitsaufnahme des Nutzers auch gleich Art und Kaloriengahalt der eingeneommen Getränke - penible Protokollierung auf dem Smartphone inklusive.

Will man seinen Lieben damit etwas Motivierendes für gesünderes Verhalten schenken, sollte man bei der Auswahl des richtigen Produkts auch bedenken, dass dabei teilweise hochsensible Daten erfasst werden. Derartige Gesundheitsdaten sind bewusst vom Gesetzgeber als besonders schützenswert angesehen worden. Bevorzugt werden sollten Produkte, die die ausschließliche Speicherung der Daten im Gerät selber bzw. ggf. noch in der App auf dem verbundenen Smartphone erlauben. Viele Systeme jedoch bieten optional oder sogar ausschließlich die Verarbeitung der Daten auf Rechnern des Anbieters oder sogar anderen Dienstleistern an. Schnell kann da die Übersicht verloren gehen, wer alles Zugriff auf das eigene Verhalten und die Gesundheitsdaten hat.

Eine Untersuchung der Datenschutzaufsichtsbehörden hat gezeigt, dass nicht nur teilweise gravierende technische Sicherheitsmängel bei Wearables bestehen, sondern auch unklare bzw. unzulässige Bestimmungen schnell den Spaß am gesunden Verhalten nehmen können.

Wer ein Wearbable geschenkt bekommt, sollte beim Einrichten darauf achten, dass das Gerät und die zugehörige App nur solche Zugriffsrechte erhalten, die für den Betrieb wirklich erforderlich sind. Zugriffe auf das Adressbuch oder die Kamera sollten dann ggf. abgelehnt werden. Und sofern man keine weiteren Online-Funktionen nutzen möchte, sollte man die Übermittlung der Daten in den Datenschutzeinstellungen abschalten.

"Wearables: Wächter über den Körper" vollständig lesen
Dienstag, 6. Dezember 2016

Gesundheitsprodukte: Wenn der Blutdruckmesser mit der Zahnbürste spricht

Gesundheit kann man nicht verschenken, aber doch zumindest Gesundheitsprodukte. Seien es Blutdruckmessgeräte, Waagen oder auch Hilfen für Diabetiker – die App-Unterstützung und Online-Datenverarbeitung ist bei vielen Geräten Bestandteil der Infrastruktur. Das bedeutet aber auch, dass sensible Gesundheitsdaten in die Hände Dritter gelangen können. Wie bei den Wearables ist es dabei für den Nutzer kaum möglich, den Überblick über Dienstleister, Zugriffsmöglichkeiten und Server-Standorte und zu behalten.

Der Beschenkte sollte daher stets überlegen, ob er die Online-Funktionen der Geräte wirklich benötigt. In der Regel können diese abgeschaltet werden. Ist hingegen gerade der Zugriff auf die Gesundheitsdaten über das Internet gewollt, sollte zumindest ein Pseudonym bei der Anmeldung zu dem Dienst genutzt werden. Dies erschwert die Zuordnung zur eigenen Person für den Betreiber bzw. Dritte. Unmöglich wird die Identifikation dadurch jedoch nicht, da jeder Online-Zugriff auf die Daten weitere Kennungen und andere Identifikatoren mitsendet, die in vielen Fällen mit wenig Aufwand eindeutige Zuordnungen der Daten ermöglichen.

Wird die Übermittlung von Daten an den behandelnden Arzt angeboten, so sollte dieses nur verschlüsselt erfolgen. Eine einfache E-Mail zur Übermittlung der Daten ohne Verschlüsselung könnte von Dritten mitgelesen und ausgewertet werden.

Auch die Erotik-Branche hat inzwischen die Verbindung von physischen Geräten mit dem Internet für sich entdeckt. App-gesteuertes Sexspielzeug ermöglicht das gemeinsame Erlebnis, selbst wenn ein Partner viele Kilometer entfernt ist. Allerdings nutzen diese Geräte Dienstleister, um die Verbindung herzustellen und die Daten zur Steuerung zu übermitteln. Beispiele aus der Vergangenheit zeigen, dass diese Anbieter – so zumindest in einem Fall geschehen – ausführliche Protokolle erstellen können, die detaillierte Aussagen über das Sexualleben der beteiligten Personen (Häufigkeit, Abwesenheit des Partners, Zeiten, ggf. sogar mittels der verwendeten IP-Adresse den Ort) ermöglichen.

Mittwoch, 14. Januar 2015

Revisionsbegründung des ULD im Gerichtsverfahren zu Fanpages

"Revisionsbegründung des ULD im Gerichtsverfahren zu Fanpages" vollständig lesen