[datensicherheit.de, 22.01.2025] Der „Europäische Datenschutztag“ am 28. Januar soll Verbraucher sensibilisieren, um die eigenen Daten besser zu schützen. Besonders im Fokus steht 2025 demnach die Rolle des Datenschutzes als Schutz der demokratischen Gesellschaft vor übermäßigen Eingriffen in die Privatsphäre der Bürger durch öffentliche oder private Akteure. Pieter Arntz, „Malware Analyst“ bei Malwarebytes, geht in seiner aktuellen Stellungnahme auf den „Europäischen Datenschutztag 2025“ ein: „Letztendlich ist ein Bewusstsein für die Wichtigkeit von Datenschutz der erste Schritt, um Einzelpersonen zu befähigen, ihre Daten proaktiv zu schützen.“

Foto: Pieter Arntz

Pieter Arntz: Der „Europäische Datenschutztag“ sollte zudem ein Zeitpunkt sein, um Gespräche über neue Herausforderungen in Sachen Datenschutz zu führen…

In Deutschland strenge Richtlinien, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen

Arntz führt hierzu aus: „In Deutschland hat der Datenschutz aufgrund von gesetzlichen Vorschriften wie dem Bundesdatenschutzgesetz (BDSG) und der Europäischen Datenschutzgrundverordnung (DSGVO) bereits seit Langem Priorität. Beide Verordnungen legen strenge Richtlinien fest, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen.“

Trotz dieser strengen Schutzmaßnahmen komme es jeden Tag vor, „dass personenbezogene Informationen von Cyber-Kriminellen entwendet werden“. Der „Europäische Datenschutztag“ sei nun eine wichtige Gelegenheit, um in einer zunehmend digitalisierten Welt die eigenen Datenschutzpraktiken auf den Prüfstand zu stellen und auch auf individueller Ebene Schritte zum Schutz personenbezogener Daten zu treffen.

Bürger sollten ihr Recht auf Einsicht in ihre gespeicherten personenbezogenen Daten und die Löschung dieser kennen

Essenziell sei, „dass Einzelpersonen ihr Recht auf Einsicht in ihre gespeicherten personenbezogenen Daten und die Löschung dieser kennen“. Viele wüssten zwar, dass es diese Rechte gebe, aber die Hemmschwelle, entsprechende Maßnahmen zu ergreifen, scheine nach wie vor hoch zu sein. „In Folge unternehmen nur wenige die notwendigen Schritte, um die Löschung ihrer Daten einzuleiten“, berichtet Arntz. Gleichzeitig sei es jedoch auch Aufgabe von Unternehmen und Organisationen, es Einzelpersonen zu erleichtern, dieses Recht auf Löschung auszuüben.

Der „Europäische Datenschutztag“ sollte zudem ein Zeitpunkt sein, um Gespräche über neue Herausforderungen in Sachen Datenschutz zu führen, zum Beispiel hinsichtlich der Auswirkungen von Künstlicher Intelligenz (KI) und „Big Data“. Diese neuen Technologien ermöglichten es Werbetreibenden, Strafverfolgungsbehörden und leider auch Cyber-Kriminellen, „noch mehr über uns zu erfahren als wir je für möglich gehalten hätten“.

Weitere Informationen zum Thema:

Die Bundesregierung, 25.01.2024
FAQ zum Europäischen Datenschutztag / Bewusstsein für Datenschutz schärfen

[datensicherheit.de, 04.04.2024] „Check Point Research“ (CPR), die Threat-Intelligence-Abteilung der Check Point® Software Technologies Ltd., hat nach eigenen Angaben „eine alarmierende Schwachstelle in der Privatsphäre von Dating-Apps“ aufgedeckt. Der Fokus der Untersuchung hat demnach auf der weit verbreiteten „LGBTQ+“-App „Hornet“ gelegen, welche von über zehn Millionen Nutzern heruntergeladen worden sei. CPR habe nachweisen können, „wie der genaue Standort dieser Nutzer mit erschreckender Präzision ermittelt werden kann“. Dies berge erhebliche Risiken – von der Verletzung der Privatsphäre bis hin zu ernsthaften Sicherheitsbedenken für Nutzer dieser Plattform.

Einige Apps können Nutzern die eigene Entfernung zu anderen Nutzern anzeigen

„Dating-Apps bieten die Möglichkeit, mit Menschen in der Nähe in Kontakt zu treten und nutzen in der Regel Standortdaten, um die Chancen auf reale Treffen der Nutzer zu erhöhen. Einige Apps können den Nutzern dabei sogar die eigene Entfernung zu anderen Nutzern anzeigen. Diese Funktion ist sehr nützlich für die Koordinierung von Treffen, da sie anzeigt, ob ein pozentieller Partner nur eine kurze Strecke entfernt, oder etwas weiter weg ist.“

Wenn der eigene Standort offen mit anderen Nutzern geteilt wird, könne dies allerdings zu ernsthaften Sicherheitsproblemen führen. Die Risiken würden deutlich, „wenn man den möglichen Missbrauch durch eine neugierige Person bedenkt, die über Kenntnisse der Trilateration verfügt“.

Mittels Trilateration, ein Messverfahren zur Positionsbestimmung, könnten die Zielkoordinaten bestimmt werden, „indem die Koordinaten mehrerer Punkte und die Entfernung zwischen diesen Punkten und dem Ziel bekannt sind“. In manchen Fällen reiche es aus, die genaue Entfernung zu zwei Punkten und nur die ungefähre Entfernung zu einem dritten Punkt zu kennen.

Nutzern wird empfohlen vorsichtig zu sein, welche Berechtigungen sie Apps gewähren

Trotz der Versuche, den Standort des Nutzers zu schützen, hätten die CPR-Untersuchungen gezeigt, dass der Standort in reproduzierbaren Experimenten bis auf zehn Meter genau habe bestimmt werden können. „Nach der verantwortungsvollen Offenlegung durch CPR haben die ,Hornet’-Entwickler Schritte unternommen, um die Sicherheit der Nutzer zu verbessern und die Genauigkeit der Standortbestimmung auf 50 Meter zu verschlechtern.“

Dennoch werde Nutzern empfohlen vorsichtig zu sein, „welche Berechtigungen sie den Apps, die sie nutzen, gewähren, insbesondere in Bezug auf Standortdienste“. Auch sollten Nutzer sich regelmäßig über die neuesten Sicherheitspraktiken und Updates der von ihnen verwendeten Apps informieren, um die eigene Privatsphäre zu schützen.

„Vor allem bedenklich werden mögliche Sicherheitsverletzungen, wenn diese von Dritten missbraucht werden, um Personen aktiv zu schaden oder die Daten zu verkaufen. Diese Besorgnis ist bei Dating-Apps für Menschen mit diverser Orientierung noch ausgeprägter, da die Verwundbarkeit durch die Tatsache verstärkt wird, dass ,LGBTQ+‘-Leute in einigen Teilen der Welt keine oder wenig Rechte bezüglich ihrer sexuellen Orientierung in Anspruch nehmen können.“ In diesen Regionen sei es keine Wahl, sondern eine entscheidende Notwendigkeit, persönliche Informationen wie die Geolokalisierung privat zu halten.

App-Entwickler haben Maßnahmen ergreifen, um die Sicherheit der Nutzer zu gewährleisten

Frühere Veröffentlichungen von Forschern zu diesem Thema hätten Entwickler dazu veranlasst, Maßnahmen zu ergreifen, um die Sicherheit der Nutzer zu gewährleisten und die Preisgabe der Geolokalisierung zu verhindern.

Gängige Praktiken dazu sind laut CPR:

• Die Rundung geografischer Koordinaten.
• Die Rundung und zufällige Änderung der Entfernung zu Nutzern in Suchergebnissen.
• Die Möglichkeit, die Entfernung zu verbergen.

„Dass diese Versuche Wirkung zeigten, konnte bei erneuten Untersuchungen festgestellt werden, bei welchen die Standorte der Nutzer sehr viel ungenauer festgestellt werden konnten.“

Notwendigkeit eines geschärften Bewusstseins und verbesserter Sicherheitsmaßnahmen bei Dating-Apps

„Diese Untersuchung unterstreicht die Notwendigkeit eines erhöhten Bewusstseins und verbesserter Sicherheitsmaßnahmen bei Dating-Apps“, betont Alexander Chailytko, „Cyber Security, Research & Innovation Manager“ bei Check Point.

Er führt aus: „Da digitale Räume immer mehr zu einem integralen Bestandteil persönlicher Beziehungen werden, müssen Sicherheit und Privatsphäre der Nutzer an erster Stelle stehen.“ CPR fordere App-Entwickler auf, diesen Aspekten Priorität einzuräumen und ermutige die Nutzer, wachsam zu bleiben bezüglich der von ihnen erteilten Berechtigungen und einhergehender Schwachstellen.

Mehr Details und eine genaue Erklärung der sogenannten Trilateration ist im Check-Point-Blog im Beitrag „Not So Private After All: How Dating Apps Can Reveal Your Exact Location“ (s.u.) zu finden.

Weitere Informationen zum Thema:

CHECK POINT, 04.04.2024
RESEARCH / Not So Private After All: How Dating Apps Can Reveal Your Exact Location

[datensicherheit.de, 20.09.2022] Die Entscheidung des Europäischen Gerichtshofes (EuGH) zur Vorratsdatenspeicherung in Deutschland vom 20. September 2022 kann als „historisch“ bezeichnet werden, denn damit wird nun eine lange und intensive Debatte darüber, wie lange, von wem und weshalb personenbezogene Daten gespeichert werden dürfen, vorläufig entschieden. Mit dieser Entscheidung des EuGH, dass die anlasslose Speicherung von Verkehrs- und Standortdaten nicht vereinbar mit dem europäischem Recht sei, da diese Rückschlüsse auf Gewohnheiten, Aufenthaltsorte und Beziehungen zulasse, „wurde den Menschen ein Stück Sicherheit und Privatsphäre zurückgegeben“, kommentiert Daniel Markuson, Experte für Cyber-Sicherheit bei NordVPN, in einer aktuellen Stellungnahme. Daneben bestünden auch erhebliche Cyber-Sicherheitsrisiken.

Entscheidung des Europäischen Gerichtshofes zu begrüßen

„Die Entscheidung des Europäischen Gerichtshofes ist richtig, weil die anlassbezogene Speicherung von persönlichen Daten alle Menschen unter Verdacht stellt, in kriminelle oder staatsgefährdende Handlungen involviert zu sein“, betont Markuson.

Es sei unklar, weshalb eine staatliche Institution ohne einen gerichtlichen Beschluss in Erfahrung bringen können sollte, wo ein gewöhnlicher Bürger sich befindet, wenn, wann und wie oft er eine E-Mail an bestimmte IP-Adressen versendet – „auch, wenn es sich um ein lustiges Katzen-Video handelt“.

Ein Generalverdacht sei kein richtiges Instrument, um kriminelle Elemente in unserer Gesellschaft effektiv zu bekämpfen.

Europäische Absage an anlasslose Vorratsdatenspeicherung

Bei der Vorratsdatenspeicherung habe bis heute nicht mit absoluter Sicherheit technisch ausgeschlossen werden können, „ob die Inhalte einer SMS nicht auch grundlos gespeichert werden, da diese Daten auch dort gespeichert sind, wo sich die Adressdaten befinden, wie der Standort und die Uhrzeit“.

Mit der europäischen Absage an die anlasslose Vorratsdatenspeicherung sei den Menschen wieder ein Stück Privatsphäre und Freiheit gegeben worden, sich mit ihren Freunden und ihrer Familie auszutauschen, ohne dabei Angst haben zu müssen, dass es einer Behörde im Orwell’schen Sinne möglich ist, nachzuverfolgen, „wen man anruft, wenn man seinen morgendlichen Kaffeebecher in der anderen Hand hält“.

Die anlasslose Vorratsdatenspeicherung würde unnötige Sicherheitsrisiken schaffen, da viele Beteiligte private Daten speichern und sichern müssten, während die Bürger keine andere Wahl hätten, als sich darauf zu verlassen, „dass Internetanbieter und Datenzentren dies ordnungsgemäß tun“. Markuson unterstreicht abschließend: „Die zahlreichen Datenlecks und Hacks der vergangenen Zeit haben gezeigt, dass dieses Vertrauen nicht immer eingelöst werden kann und es immer noch einen großen Bedarf nach Cybersecurity-Lösungen gibt, die die Nutzung digitaler Geräte sicherer gestalten.”

Weitere Informationen zum Thema:

GERICHTSHOF DER EUROPÄISCHEN UNION, 20.09.2022
Urteil des Gerichtshofs in den verbundenen Rechtssachen C-793/19 | SpaceNet und C-794/19 | Telekom Deutschland

datensicherheit.de, 20.09.2022
Vorratsdatenspeicherung: BfDI begrüßt EuGH-Urteil / EuGH sieht Gefahr der Erstellung persönlicher Netzwerke und Profile einzelner Personen

[datensicherheit.de, 10.06.2021] Auch die FREIE WÄHLER Bundesvereinigung hat Kritik an der verstärkten Nutzung des sogenannten Staatstrojaners geäußert: Am 10. Juni 2021 sei mit den Stimmen von CDU/CSU und SPD „der Einsatz von ,Staatstrojanern‘ im Bundespolizeigesetz massiv ausgeweitet“ worden. Die FREIEN WÄHLER kritisieren nach eigenen Angaben demnach insbesondere „die Ausweitung der Einsatzmöglichkeiten gegen Personen, die noch gar keine Straftat begangen haben, sowie die Freigabe für alle Geheimdienste“. Hiermit drohe die rechtsstaatliche Kontrolle im Bereich der Bürgerrechte verlorenzugehen.

Foto: FREIE WÄHLER

Gregor Voht: Unkontrollierte Ausweitung der Befugnisse zum Einsatz von Überwachungssoftware ein Verstoß gegen die Bürgerrechte!

Staatstrojaner missbrauchen Sicherheitslücken

„Die unverhältnismäßige Überwachung unserer Kommunikation ist ein Angriff auf unsere Bürgerrechte“, warnt Gregor Voht, stellvertretender Bundesvorsitzender FREIE WÄHLER. Laut Voht lebe die CDU gerade ihren „Überwachungsstaat-Fetisch“ voll aus:
„Diese ‚Lizenz zum Hacken‘ für unsere Bundesbehörden trägt nicht zur Sicherheit der Bürgerinnen und Bürger bei.“ Vielmehr gefährdeten die „Staatstrojaner“, durch die für den Einsatz benötigen Sicherheitslücken, die gesamte öffentliche Infrastruktur.

Staatstrojaner verletzen präventiv die Privatsphäre von Bürgern

Dass jetzt auch schon präventiv die Privatsphäre von Bürgern verletzt werden dürfe, moniert Voht und befürchtet: „Die zusätzliche Ausweitung der Nutzung von Quellen-Telekommunikationsüberwachung für alle Geheimdienste macht eine Kontrolle der Einsätze zusätzlich schwierig.“
Neben der bewussten Ausnutzung von Sicherheitslücken seien bereits 2017 Provider auf Anweisung von Behörden gezwungen worden, die Verbindungen ihrer Kunden zu manipulieren, um die Einschleusung der Trojaner-Software „FinFisher“ zu ermöglichen, so Voht.

Staatstrojaner bedrohen Privatsphäre jedes Einzelnen

„Ursprünglich sollten die ,Trojaner‘ nur zur Prävention von Internationalem Terrorismus eingesetzt werden. In den letzten Jahren wurde das Einsatzgebiet auch auf Alltagskriminalität ausgeweitet“, berichtet Voht. Gleichzeitig dürften immer weitere Behörden auf diese Technik zugreifen. Kombiniert mit dem Druck auf Provider und Hersteller von Endgeräten zeige sich hierbei ein breiter Angriff auf die Privatsphäre jedes Einzelnen.
Voht fordert deshalb eine „klare rechtsstaatliche Kontrolle“ beim Einsatz. „Zusätzlich brauchen wir ein Verbot zum Ankauf und Ausnutzung von Zero-Day-Lücken und der Vorinstallation von Überwachungssoftware auf Endgeräten durch Druck auf Hersteller und Provider. Dieser geplanten Massenüberwachung in Sinne der CDU müssen wir klare Grenzen aufzeigen. Die SPD hat dabei im entscheidenden Moment vollständig versagt“, kritisiert Voht abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2021
Staatstrojaner: Reporter ohne Grenzen und Prof. Niko Härting streben Verfassungsbeschwerde an / Reporter ohne Grenzen warnt vor gravierendem Schaden für Pressefreiheit und digitalen Quellenschutz

datensicherheit.de, 10.06.2021
eco fordert Transparenz, Aufklärung und Kontrolle im Umgang mit Staatstrojanern / eco bezweifelt, dass Gerichte oder andere Kontrollorgane genügend Expertise und Fachwissen über Staatstrojaner haben

datensicherheit.de, 01.08.2020
Staatstrojaner: Neue Anlauf zur Überwachung / Überwachung von Internet- und Mobilfunkanbietern sowie kommerziellen WLAN-Betreibern soll ausgeweitet werden

datensicherheit.de, 07.08.2018
Staatstrojaner: Digitalcourage hat Verfassungsbeschwerde eingereicht / Beschwerdeführer sehen unverhältnismäßige Tiefe des Eingriffs in das IT-Grundrecht und das Fernmeldegeheimnis

datensicherheit.de, 23.06.2017
Staatstrojaner: Smartphones oder Computer von Tatverdächtigen heimlich überwachen / Den Einsatz staatlicher Überwachungssoftware sehen auch viele Sicherheitsexperten mit gemischten Gefühlen

[datensicherheit.de, 14.05.2021] Malwarebytes geht in einer aktuellen Stellungnahme auf die am 15. Mai 2021 in Kraft tretenden neuen Datenschutzrichtlinien von „WhatsApp“ ein: „In letzter Zeit ist es um diese neuen Regeln sehr ruhig geworden. Allerdings gibt es keinen Grund dafür, sich entspannt zurückzulehnen.“

Einschränkung wichtiger WhatsApp-Funktionen verblüffende Zäsur

Privacy-Experte David Ruiz urteilt demnach in seinem neuesten Beitrag auf dem Malwarebytes-Blog, „dass die Einschränkung wichtiger Funktionen eine verblüffende Zäsur für ein Unternehmen darstellt, das vor einiger Zeit noch den Datenschutz zur Priorität erklärte“. Das Angebot von „WhatsApp“ werde durch diesen Schritt zu einem unlösbaren Widerspruch: „Private Messaging nur für diejenigen, die ein Stück ihrer Privatsphäre aufgeben.“

David Ruiz benennt drei Kritikpunkte an neuen WhatsApp-Datenschutzrichtlinien

1. Im Falle von Benutzern, welche den Änderungen der Datenschutzrichtlinien bis zum 15. Mai 2021 nicht zustimmen, werde der Betreiber WhatsApp laut eigenem Bekunden „nach einem Zeitraum von mehreren Wochen Sanktionen unternehmen“.
2. Für „WhatsApp“-Nutzer, welche die Weitergabe ihrer Daten an Facebook ablehnen, werde WhatsApp nach und nach wichtige Funktionen entfernen. In einem ersten Schritt würden die betreffenden Nutzer auf die Möglichkeit verzichten müssen, Chat-Listen einzusehen. Letztendlich würden die Maßnahmen dazu führen, dass es unmöglich werde, überhaupt Anrufe oder Nachrichten via „WhatsApp“ zu empfangen.
3. Dies sei eine Entscheidung gegen den Schutz der Privatsphäre. „Es ist auch eine nutzerfeindliche Entscheidung, da die Nutzer für ihre Weigerung, Daten zu teilen, bestraft werden.“ Ferner sei es eine traurige, aber erwartete Wendung für WhatsApp, „einem ehemaligen Datenschutz-Liebling, der von zwei Mitbegründern – Jan Koum und Brian Acton – ins Leben gerufen wurde“. Beide bereuten es heute offenbar, ihr Unternehmen für Milliarden von Dollar an Facebook verkauft zu haben.

Weitere Informationen zum Thema:

Malwarebytes LABS, David Ruiz, 14.05.2021
Privacy / WhatsApp calls and messages will break unless you share data with Facebook

datensicherheit.de, 11.05.2021
Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten für Facebook / Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit verbietet Facebook Verarbeitung personenbezogene Daten von WhatsApp zu eigenen Zwecken

[datensicherheit.de, 02.05.2021] Die Entwurfs-Fassung der neuen ePrivacy-Verordnung vom Februar 2021 stößt laut einer aktuellen Stellungnahme der PSW GROUP Consulting bei ihren IT-Sicherheitsexperten auf deutliche Kritik: „Zwar existieren auch im aktuellen Entwurf klare Verbesserungen für den Schutz der Privatsphäre von Nutzenden. Doch soll für sämtliche Bestimmungen eine Ausnahme gelten, wenn die nationale Sicherheit oder Verteidigung in Gefahr gerate“, kritisiert Geschäftsführerin Patrycja Schrenk. Im Klartext heiße dies: „Die ePrivacy-Verordnung wird keinen Schutz vor der Überwachung durch Geheimdienste bieten.“

Foto: PSW GROUP

Patrycja Schrenk: Von den einst ambitionierten Zielen ist im Entwurf vom Februar 2021 nicht mehr viel zu sehen!

ePrivacy-Verordnung sollte bisherige ePrivacy-Richtlinie ablösen und die DSGVO konkretisieren

Um die Privatsphäre in der elektronischen Kommunikation zu schützen, habe die EU-Kommission mit der ePrivacy-Verordnung (ePVO) bereits im Januar 2017 einen Vorschlag vorgelegt. Diese habe die bisherige ePrivacy-Richtlinie ablösen sollen, die EU-Datenschutz-Grundverordnung (DSGVO) konkretisieren und gemeinsam mit dieser in Kraft treten.
Aufgrund heftigen Widerstands aus der Wirtschaft, habe die Europäische Union die ePrivacy-Verordnung jedoch ausgesetzt. Immerhin ebne dies nun den Weg zu den Verhandlungen, welche über den finalen Text geführt werden müssten. Die Mehrheit der EU-Staaten unter der Führung der portugiesischen Ratspräsidentschaft habe den von Portugal eingebrachten Vorschlag unterstützt.

ePrivacy-Verordnung sollte es Internet-Nutzern eigentlich ermöglichen, Tracking besser kontrollieren zu können

Ziel der ePrivacy-Verordnung sei es, Internet-Nutzern zu ermöglichen, Tracking besser kontrollieren zu können. Das Ausspähen von Betroffenen über Cookies oder andere Technologien ohne Einwilligung solle verboten werden und Browser sollten Privatsphäre-freundliche Einstellungen zum Standard machen. Die Kommunikation über „Messenger“ wie „Threema“ oder „WhatsApp“ solle rechtlich vor kommerzieller Auswertung geschützt sein, ebenso wie Anrufe oder SMS. „Man möchte eine Art digitales Briefgeheimnis erreichen.“
Schrenk moniert: „Von den einst ambitionierten Zielen ist im Entwurf vom Februar 2021 nicht mehr viel zu sehen. Die Schlüsselpassagen wurden deutlich abgespeckt, es gibt wieder Raum für umfangreiches Tracking. Tech-Konzerne wie Facebook oder Google könnten weiter immense Mengen an Nutzerdaten abschöpfen und für Werbezwecke verwenden.“ Laut aktuellem Entwurf wäre es erlaubt, die Metadaten der Nutzenden ohne Einwilligung weiterzuverarbeiten – dafür genügten „kompatible Gründe“. Somit hätten Messenger- oder Telefonanbieter die Möglichkeit, die Gewohnheiten der Betroffenen für Werbezwecke abzugreifen.

eprivacy-Verordnung: Sammlung persönlicher Daten über Cookies weiterhin für Werbezwecke möglich

Die neuen Formulierungen würden es zudem ermöglichen, dass persönliche Daten über Cookies auch weiterhin für Werbezwecke gesammelt werden könnten. Auch die Möglichkeit für Nutzende, die Einwilligung zum Verarbeiten ihrer persönlichen Daten jederzeit widerrufen zu können, sei komplett gestrichen worden. Weiter fehle der Passus fürs Einwilligungs-Management über den Browser. „Gestrichen wurde auch die Passage, die den Schutz der Privatsphäre in Browsern zur Standardeinstellung machen sollte.“
Schrenk erläutert den Hintergrund: „Die DSGVO regelt Allgemeines, die ePrivacy-Verordnung soll in die Tiefe gehen. Während die DSGVO auf den Schutz personenbezogener Daten ausgelegt ist – die Daten sind also schon vorhanden – soll die ePVO das ,Wie‘ regeln: Wie kommen die Daten zum Unternehmen? Wie werden sie dort behandelt? Oder anders ausgedrückt: Die DSGVO betrifft nicht nur den digitalen Bereich – sie trifft ganz allgemein das Thema Datenschutz. Die ePrivacy-Verordnung hingegen ist speziell auf das Internet ausgerichtet.“ Die Verordnung sehe parallele Regelungen vor, jedoch auch welche, die von der DSGVO abwichen und nur auf bestimmte digitale Dienste Anwendung finden sollten. Insbesondere die Digitalwirtschaft kritisiere genau dies, da Asymmetrien dadurch geschaffen würden, „dass für vergleichbare Datenverarbeitungsvorgänge unterschiedliche Datenschutzregeln gelten“.

Bald vier Jahren wirde nun bereits an der ePrivacy-Verordnung gearbeitet

Seit bald vier Jahren werde nun bereits an der ePrivacy-Verordnung gearbeitet, die eigentlich mit dem Start der DSGVO im Mai 2018 in Kraft hätte treten sollen. „Bis heute ist das Gesetz lediglich im Entwurfsstadium. Kompromisse sollen es richten, so dass die Zustimmung aller EU-Mitgliedsstaaten sicher ist – jedoch stoßen diese Kompromisse auf starke Kritiken, da sie den Datenschutz eher aufweichen würden.“
Schrenk führt weiter aus: „Das Problem ist auch, dass bei vielen Unternehmen bereits bezüglich der DSGVO schon große Rechtsunsicherheit herrscht. Diese dürfte mit dem Start der ePrivacy-Verordnung nicht schwinden. Dabei wäre es so wichtig für Klarheit zu sorgen, anstatt den Aufwand und die Unsicherheit weiter zu erhöhen.“

ePrivacy-Verordnung sollte eigentlich Verbraucherrechte im Internet stärken

Dem Ganzen setze ein weiterer Punkt die Krone auf: Bis zum 21. Dezember 2020 hätten auch das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) an die DSGVO angepasst sein müssen. Dies sei bis heute nicht geschehen. Stattdessen plane der Gesetzgeber, datenschutzrechtliche Regelungen aus TMG und TKG zu lösen, um diese Regelungen ins Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) überführen zu können. Zu allem Überfluss solle der Kodex elektronischer Kommunikation durch ein Telekommunikationsmodernisierungsgesetz (TKModG) in nationales Recht umgesetzt werden.
„Ob Telekommunikationsmodernisierungsgesetz und Telekommunikations-Telemedien-Datenschutzgesetz noch vor der diesjährigen Bundestagswahl verabschiedet werden, wage ich zu bezweifeln. Wichtig wäre jedoch, dass beide Gesetze zeitgleich wirksam werden“, betont Schrenk. Andernfalls sorgten Gesetzeslücken dafür, dass die Privatheit in der elektronischen Kommunikation massiv gefährdet sein könnte. Genauso wichtig wäre es, eine ePrivacy-Verordnung zu schaffen, welche die Verbraucherrechte im Internet stärkt, Entwickler und Betreiber in die Pflicht nimmt und vor allem Rechtssicherheit bei Unternehmen schafft.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 01.03.2021
ePrivacy-Verordnung 2021: Was ändert sich beim EU-Datenschutz?

datensicherheit.de, 10.02.2021
ePrivacy-Verordnung: Ulrich Kelber kritisiert Position des EU-Rats / Der BfDI sieht in der am 10. Februar 2021 verabschiedeten Fassung der ePrivacy-Verordnung deutliche Fehler

datensicherheit.de, 18.11.2019
Starker Verbraucherschutz für die ePrivacy-Verordnung gefordert / vzbv-Vorstand Klaus Müller sieht Überschreitung Roter Linien beim gegenwärtigen Entwurf

[datensicherheit.de, 04.02.2021] Social-Media-Dienste geraten immer wieder in die Kritik, weil sie die Daten ihrer Nutzer nicht ausreichend schützen – so die Gegner der Plattformen. Zuletzt wurde ein für WhatsApp geplantes Update heiß diskutiert. Die Folge: Die Einführung der neuen Datenschutzregeln für den Messenger wurde vorerst auf Mai verschoben und konkurrierende Dienste verzeichneten starke Zuwächse bei den Nutzerzahlen.

Datenschutz mit zunehmender Bedeutung in der Online-Welt

Dieser und viele andere Fälle zeigen, dass Datenschutz in der Online-Welt zunehmend wichtiger wird. Auch viele stark frequentierte Websites, Browser und andere Soziale Medien haben in den letzten Jahren die Aspekte Sicherheit und Datenschutz so angepasst, dass Nutzer entsprechende Einstellungen selbst vornehmen können. Deshalb empfehlen die Sicherheitsforscher von Malwarebytes diese drei einfachen Schritte:

1. Datenschutzoptionen des Browsers anpassen
   Ein Browser ist das Eingangstor zum Internet. Und jedes Mal, wenn Sie im Internet surfen, um Nachrichten zu lesen, online einzukaufen, Videos anzuschauen oder Bilder zu posten, sammelt eine Reihe von Datenbrokern Informationen, um Profile zum Beispiel über Ihren Suchverlauf, Ihr Alter, Ihren Aufenthaltsort oder Ihre Interessen zu erstellen. Dem entgegenwirken können Nutzer durch diese Tools und Tricks:
   • • Regelmäßig den Browserverlauf löschen und Add Ons überprüfen, vielleicht finden sich darunter einige, die entfernt werden können. Anfällige oder bösartige Erweiterungen können leicht zu einem Datenschutz- und Sicherheitsrisiko werden.
     • Browser-Plug-ins können das Tracking von Online-Werbung über Websites hinweg verhindern und vor bösartigen Websites warnen, die vertrauliche Daten sammeln.
     • VPNs können verhindern, dass Internet-Service-Provider detaillierte Informationen über die Internetnutzung erhalten.

   Wenn Sie feststellen, dass die Standardeinstellungen Ihres Browsers nicht die Privatsphäre- und Sicherheitsvorkehrungen bieten, die Sie erwarten, ist es an der Zeit, den Browser zu wechseln. Die meisten Suchmaschinen, die sich den Schutz der Daten ihrer Nutzer zur Aufgabe gemacht haben, wie DuckDuckGo oder Startpage, gibt es mittlerweile übrigens auch als mobile Version.

2. Datenschutzeinstellungen in den Sozialen Medien regelmäßig überprüfen
   Wenn Nutzer sich bei einer Social-Media-Plattform oder einer mobilen App anmelden, verlangen die dahinterstehenden Unternehmen oft eine Zustimmung zur Verwendung der eingegebenen Daten. Deshalb sollten Nutzer die Einstellungen proaktiv bei allen verwendeten Sozialen Medien anpassen:
   • Felder im Profil verbergen oder entfernen, die einen Identitätsdiebstahl erleichtern könnten, zum Beispiel den Nachnamen, das Geburtsdatum oder den genauen Wohnort.
   • Einschränken, wie andere Benutzer der Plattform Sie erreichen können, z.B. ob ein völlig Fremder eine Freundschaftsanfrage oder Nachricht schicken kann.
   • Funktionen deaktivieren, mit denen andere das eigene Konto über die verknüpfte E-Mail-Adresse oder Telefonnummer suchen und finden können.
   • Markierungen z.B. auf Fotos, die Freunde oder Familienmitglieder überprüfen, bei Bedarf selbstständig entfernen.
3. Sharing is caring? Nicht immer!
   Besonders in den Sozialen Medien sollten Nutzer mit Bedacht Inhalte teilen. Jedem ist mittlerweile das Szenario bekannt, in dem jemand seine Urlaubspläne öffentlich postet und sich nach der Rückkehr als Opfer eines Einbruchs in das eigene Zuhause wiederfindet.

Aber nicht nur deshalb sollten Nutzer gut darüber nachdenken, bevor sie Informationen online weitergeben. Es sollte auch zur Gewohnheit werden, um Erlaubnis zu fragen, wenn Fotos, auf denen andere Personen zu sehen sind, oder Geschichten, die jemand anderen betreffen, online geteilt werden. Gleiches gilt für die Weitergabe von Telefonnummern, wie es beispielsweise für die Nutzung der App Clubhouse nötig ist.

Weitere Informationen zum Thema:

datensicherheit.de, 02.09.2020
Mac-Geräte: Malwarebytes warnt vor Sicherheitslücken

Malwarebytes Labs
The Security Blog From Malwarebytes

[datensicherheit.de, 02.02.2021] Die App Clubhouse sei derzeit in aller Munde und habe einen erheblichen Nutzeransturm zu verzeichnen. Das sei durchaus verständlich, so der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI): Viele Menschen hätten gerade gegenwärtig „ein überwältigendes Interesse an einer neuen diskursiven Plattform, die spannende Kommunikation und den ungezwungenen Austausch mit anderen verspricht“. Diese App werfe jedoch viele Fragen zur Wahrung der Privatsphäre der Nutzer und dritter Personen auf.

HmbBfDI

HmbBfDI Prof. Dr. Johannes Caspar: App darf weder eigene noch fremde Rechte verletzen!

Zweifel am Datenschutz der App

So würden die Adressbücher in den Mobilfunkgeräten von jenen Nutzern, welche andere Personen einladen, automatisch ausgelesen und durch die Betreiber in den USA gespeichert. Dadurch gerieten Kontaktdaten von zahlreichen Menschen, ohne dass diese überhaupt mit der App in Kontakt kämen, in fremde Hände, wo sie dann zu Zwecken der Werbung oder Kontaktanfragen verwendet werden könnten.
Die Betreiber speicherten nach eigenen Angaben zudem die Mitschnitte aller in den verschiedenen Räumen geführten Gespräche, um Missbräuche zu verfolgen, ohne dass die näheren Umstände transparent würden. Anbieter indes, welche sich an europäische Nutzer richten, müssten deren Rechte auf Information, Auskunft, Widerspruch und Löschung achten.

Auch diese App muss Regeln auf dem Spielfeld Europa beachten

Gleichzeitig bestehe die Pflicht, die technisch-organisatorischen Maßnahmen zum Schutz der Daten zu gewährleisten. An all dem bestünden derzeit bei der „Clubhouse“-App einige Zweifel. Der HmbBfDI hat sich daher nach eigenen Angaben mit den anderen deutschen Aufsichtsbehörden abgestimmt und hierzu einen Katalog von Fragen an die Betreiber in Kalifornien übersandt, um die Einhaltung des europäischen Datenschutzrechts zu überprüfen.
„Es kommt leider immer wieder vor, dass Anbieter aus den USA auf den europäischen Markt drängen oder einfach nur mit ihren Produkten und Dienstleistungen bei uns erfolgreich sind, ohne die grundlegendsten datenschutzrechtlichen Vorgaben des europäischen Digitalmarktes einzuhalten“, so Prof. Dr. Johannes Caspar, der HmbBfDI. Hierbei gelte es, zügig darauf hinzuweisen, „welche Regeln auf dem Spielfeld Europa gelten und diese auch durchzusetzen“. Es sei im Interesse aller europäischen Nutzer, Dienste in Anspruch nehmen zu können, „die weder eigene noch fremde Rechte verletzen und die nicht erst nach Jahren erfolgreicher Nutzerbindung in Europa sich den Prinzipien des Schutzes der Privatheit öffnen“, betont Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2021
TikTok: Erneut Schwachstelle entdeckt

datensicherheit.de, 28.11.2020
Supergrundrecht Datenschutz: Ein kritischer HmbBfDI-Faktencheck

[datensicherheit.de, 08.05.2020] HMA, ein weltweiter Anbieter für VPN-Lösungen, hat eine No Logging Policy (NLP) eingeführt, um die Privatsphäre seiner Nutzer besser zu schützen. Dieser Schritt sei ein Teil einer umfassenderen Initiative des Unternehmens, die sich unter anderem mit Herausforderungen wie dem User-Tracking durch Werbenetzwerke befasst.

Erfassung der IP-Adressen bereits eingestellt

Bereits im November 2019 hatte HMA sein Engagement für den Online-Datenschutz vertieft, indem das Unternehmen die Erfassung der genauen IP-Adressen seiner Nutzer eingestellte. Das neue NLP bekräftigt das Versprechen, ein Angebot eines VPN für datenschutzorientierte Nutzer zu bieten, wlches neben Geschwindigkeit und Zugang auch Privatsphäre bietet soll. Die unabhängige Cybersicherheits-Beratungsfirma VerSprite wird nach Angaben won HMA das NLP prüfen und verifizieren, dass Daten bezüglich Online-Nutzung sowie Übertragungsdaten von persönlich identifizierbaren Informationen (PII), die für rechtliche und Abrechnungszwecke gespeichert werden, getrennt sind. Dies soll sicherstellen, dass alle Online-Nutzeraktivitäten privat bleiben, also auch von HMA nicht eingesehen werden können.

Andrei Mochola, Commercial Director bei HMA, erklärt: „VPN-Anbieter haben mit einem Vertrauensproblem zu kämpfen. Verbraucher geben teilweise unwissentlich ihre Daten an Unternehmen mit unklaren Eigentumsverhältnissen aus. Mit der ‚No Logging Policy‘ will HMA dem entgegenwirken, denn diese Policy unterscheidet sich dadurch, dass Transparenz die Grundlage ist, auf der sie aufgebaut wurde. Dabei ist unsere ‚No Logging Policy‘ nur der Anfang. Wir werden neue Datenschutzfunktionen hinzufügen, wie zum Beispiel die Anti-Tracking-Funktion gegen Werbetreibende, die ein sehr reales Problem für Anwender löst, aber derzeit den Rahmen eines traditionellen VPN sprengt. Wir werden weiterhin innovativ arbeiten, um ein Vorreiter für Datenschutz auf dem VPN-Markt zu werden.“

Weitere Informationen zum Thema:

HMA
No Logging Policy für Windows, Mac, Android, AndroidTV, iOS und Linux

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware

datensicherheit.de, 15.04.2020
Schwächen konventioneller VPN-Verbindungen für die Anbindung von Home-Offices

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen

[datensicherheit.de, 22.01.2020] Der Digitalverband Bitkom kritisiert im Kontext der Diskussion um die Bekämpfung von Rechtsextremismus und sogenannter Hasskriminalität im Internet nach eigenen Angaben den jüngsten Gesetzesentwurf der Bundesregierung als „unverhältnismäßigen Eingriff in die Privatsphäre von Nutzern“. Laut dem im Dezember 2019 vorgelegten Entwurf sollen demnach Soziale Netzwerke dazu verpflichtet werden, IP-Adresse und Portnummer von Nutzern schon dann proaktiv an das Bundeskriminalamt weiterzuleiten, „wenn auch nur der Verdacht eines Vergehens besteht“.

Privatwirtschaftliche Unternehmen dürfen nicht Rolle von Strafverfolgungsbehörden und Richtern übernehmen!

„Es ist unbestritten, dass Rechtsextremismus und Hasskriminalität im Internet entschieden bekämpft und konsequent strafrechtlich verfolgt werden müssen“, betont der Bitkom-Hauptgeschäftsführer, Dr. Bernhard Rohleder.
Aber mit dem jetzt vorgelegten Gesetz mache es sich die Bundesregierung zu einfach. Privatwirtschaftliche Unternehmen dürften nicht in die Rolle von Strafverfolgungsbehörden und Richtern gedrängt werden.

Völlig unbescholtene Nutzer könnten ins Visier geraten

So würden Meldungen, die auf der rechtlichen Einschätzung von Mitarbeitern der Netzwerkbetreiber basierten, „unzweifelhaft dazu führen, dass auch IP-Adressen und Portnummern von völlig unbescholtenen Nutzern an das BKA weitergeleitet werden“.
Mit diesem Gesetz mache Deutschland einen „Schritt in Richtung Überwachungsstaat“. In Anbetracht drohender Bußgelder sei zu erwarten, dass Unternehmen im Zweifel Nutzerdaten ausleiteten. So entstünde eine riesige Verdachtsdatei bei Behörden, die die Grundrechte Einzelner verletze, warnt Dr. Rohleder.

Systembruch mit geltendem Recht und bestehender Praxis

Die Pflicht zur proaktiven Ausleitung von Nutzerdaten stelle zudem einen „Systembruch mit geltendem Recht und bestehender Praxis“ dar. Statt erweiterter Befugnisse bräuchte es eine deutlich bessere Ressourcenausstattung der zuständigen amtlichen Stellen. Die ohnehin schon überlasteten Staatsanwaltschaften würden mit einer schwer überschaubaren Menge an Inhalten und Nutzerdaten schlicht überfordert werden, womit die Gefahr der ausbleibenden Strafverfolgung weiterbestünde.
„Der Rechtsdurchsetzung im Internet wäre eher gedient, wenn Gerichten und Staatsanwaltschaften mehr Personal zur Verfügung stünde. Darüber hinaus gehört die Zusammenarbeit aller staatlich relevanten Stellen von Bund, Ländern und Kommunen verbessert.“

Risiko einer Online-Hausdurchsuchung ohne jede zusätzliche Sicherung

Durch die Schaffung neuer Auskunftsgrundlagen und -ermächtigungen berge der Gesetzesentwurf aus Bitkom-Sicht auch das Risiko einer Online-Hausdurchsuchung ohne jede zusätzliche Sicherung. So solle eine Vielzahl von Behörden schon bei Ordnungswidrigkeiten auf sensible persönliche Daten wie Passwörter zugreifen können.
Es sei unklar, inwieweit ein richterlicher Beschluss für die Herausgabe von Nutzerdaten erforderlich wäre. Die vorgesehene Verpflichtung für Telemediendiensteanbieter mit mehr als 100.000 Kunden, für die Entgegennahme der Auskunftsverlangen sowie für die Übertragung der Daten eine elektronische „Behörden-Schnittstelle“ bereitzuhalten, würde eine enorm hohe Anzahl von Diensten umfassen und sei deshalb „weder notwendig oder verhältnismäßig noch praktikabel, insbesondere für viele kleinere Anbieter“.

Bitkom-Plädoyer für eine europäische Lösung

Dr. Rohleder: „Die Bundesregierung möchte Handlungsstärke zeigen. Doch statt bisherige Maßnahmen auf Wirksamkeit zu prüfen, regiert der politische Aktionismus, wenn es um Hassrede im Internet geht.“ Das zeige auch der vergangene Woche zusätzlich in Umlauf gebrachte Entwurf für Änderungen des NetzDG.
Um Rechtsextremismus und „Hasskriminalität“ im Internet wirksam zu bekämpfen, plädiert der Bitkom nach eigenen Angaben für eine europäische Lösung: „Hetze und Hass im Internet halten sich nicht an nationale Grenzen. Eine EU-weit einheitliche Regelung würde es Diensteanbietern und Strafverfolgungsbehörden einfacher machen, ihre begrenzten Mittel so wirksam wie möglich einzusetzen. Nationale Einzelgänge wie in Deutschland sind dafür kontraproduktiv“, sagt Dr. Rohleder. Es gelte, konstruktive, und praktikable Lösungswege im Kreise aller beteiligten Akteure zu finden.

Weitere Informationen zum Thema:

bitkom
Positionspapier / Bitkom Stellungnahme zum Referentenentwurf für ein Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität

datensicherheit.de, 04.01.2020
Dr. Patrick Breyer kritisiert Internet-Surfspionage

datensicherheit.de, 31.03.2017
Bitkom: Warnung vor Schnellschuss bei Gesetz gegen Hasskriminalität