[datensicherheit.de, 04.04.2019] Tim Mackey, „Technical Evangelist“ bei Synopsys Software Integrity Group kommentiert den am 3. April 2019 der Öffentlichkeit bekanntgewordenen Vorfall einer Datenschutzverletzung bei facebook – demnach sind manche Nutzer beim Anlegen eines facebook-Kontos dazu aufgefordert worden, das Passwort ihres E-Mail-Kontos anzugeben. Über das Passwort habe dann die E-Mai-Adresse bestätigt werden sollen. Der twitter-Nutzer „E-Sushi“ hatte den Fall an die Öffentlichkeit gebracht. facebook habe in einer Stellungnahme mitgeteilt, diese Praxis der E-Mail-Passwortabfrage zukünftig nicht mehr nutzen zu wollen.

Offensichtlich Verstoß gegen DSGVO

Mackey betont: „Im Datenschutzrecht gilt für die Verarbeitung personenbezogener Daten das sogenannte Prinzip des Verbots mit Erlaubnisvorbehalt. Demnach ist die Erhebung, Speicherung und Verarbeitung solcher Daten nur dann rechtmäßig, wenn eine ausdrückliche Einwilligung der betroffenen Person besteht.“
Dies sei hier erkennbar nicht der Fall: Insbesondere fehle die nach Artikel 7 DSGVO notwendige Zweckbindung und Erforderlichkeit. „facebook konnte bislang nicht erklären, inwiefern die Verarbeitung privater E-Mail-Passwörter zur Erbringung seiner Dienstleistung erforderlich ist.“ facebook sei weder gesetzlich verpflichtet solche Passwörter zu sammeln, noch liege dies im Interesse der betroffenen Nutzer, unterstreicht Mackey. „Dies bedeutet, dass die erforderliche Einwilligung der betroffenen Person nicht vorliegt.“

Übermittelte E-Mail-Passwörter besser ändern!

„Da facebook bislang nicht in vollem Umfang offengelegt hat, auf welche Daten der betroffenen E-Mail-Konten während des Registrierungsprozesses zugegriffen wurde, empfehle ich jedem betroffenen Nutzer, der sein E-Mail-Passwort an facebook übermittelt hat, dieses sofort zu ändern“, so Mackey.
Zusätzlich sollten Betroffene an facebook ein Auskunftsverlangen nach Artikel 15 DSGVO richten, um eine detaillierte Aufstellung darüber zu erhalten, auf welche Daten zugegriffen wurde und wozu diese verwendet wurden.

Weitere Informationen zum Thema:

golem.de, 03.04.2019
DATENSCHUTZ: Facebook verlangte Passwort von privatem E-Mail-Konto

e-sushi auf twitter, 31.03.2019
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification … is a HORRIBLE idea from an #infosec point of view.

DAILY BEAST, 04.04.2019
EXCUSE ME? ‘Beyond Sketchy’: Facebook Demanding Some New Users’ Email Passwords

datensicherheit.de, 04.04.2019
Schon wieder ein potenzielles Datenleck bei facebook

datensicherheit.de, 21.03.2019
facebook: Erneut erhebliche Datenschutzdefizite

datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke

[datensicherheit.de, 20.12.2018] Laut einer Meldung von „heise online“ vom 20. Dezember 2018 haben Recherchen des „c’t magazin“ ergeben, dass über Amazon.de höchst private Sprachaufzeichnungen von „Echo“-Geräten an fremde Personen gelangt sind. Demnach sind 1.700 „Alexa“-Sprachaufzeichnungen aus Schlafzimmer, Badezimmer und Wohnzimmer eines „Echo“-Besitzers in die Hände eines Unbefugten geraten.

Sprachaufzeichnung als Datenbasis für KI-Training

„Mich verwundert dieser Vorfall nicht. Amazon speichert und nutzt solche Daten, um seine Sprach-KI ,Alexa‘ zu trainieren und besser zu machen. Nutzer erkennen das ganz leicht an der ,Alexa‘-App: Diese zeigt ein Transcript aller an die KI gestellten Fragen an und bietet sogar eine Feedback-Möglichkeit“, erläutert Boris Cipot, „Senior Sales Engineer“ bei Synopsys Software Integrity Group, und beantwortet damit die Frage, weshalb Amazon überhaupt solche Daten speichert.
„Wann immer solche Daten gespeichert werden, besteht auch die Möglichkeit unsachgemäßen Umgangs mit negativen Folgen. Dessen sollten sich Nutzer von ,Siri‘, ,Alexa‘ und Co. bewusst sein“, so der KI-Experte. „Amazon sollte bei ,Alexa‘ eine Funktion integrieren, die Nutzern eine Kontrolle über die eigenen Daten ermöglicht. Beispielsweise sollten Nutzer einen Zeitrahmen festlegen können, wie lange Daten höchstens gespeichert werden dürfen“, empfiehlt Cipot. So ein Mechanismus hätte den „menschlichen Fehler“ (laut Stellungnahme Amazon) im vorliegenden Fall vermieden.

Kunden sollten Wert auf transparenten, verlässlich Daten-Umgang legen!

Cipot unterstreicht: „Vertrauen ist das Wichtigste, was ein Kunde einem Unternehmen schenken kann. Gerade dann, wenn es um sensible Daten aus der eigenen Intimsphäre geht. Je mehr solcher Fälle publik werden, desto mehr werden auch große Unternehmen wie Amazon zu Transparenz im Umgang mit Daten gezwungen.“
Ob es sich im vorliegenden Fall tatsächlich um einen „menschlichen Fehler“ und „bedauerlichen Einzelfall“ laut der Stellungnahme von Amazon gehandelt hat, oder ob der Fehler in der Automatisierung und somit in der internen IT-Architektur des Unternehmens zu suchen ist, lasse sich nicht mit Sicherheit sagen.
Cipot hofft, „dass Kunden zukünftig nur Geräte und Technologien solcher Unternehmen verwenden, die bewiesen haben, dass sie transparent und verlässlich mit den ihnen anvertrauten Daten umgehen“.

Weitere Informationen zum Thema:

heise online / c’t Magazin, 20.12.2018
Amazon gibt intime Alexa-Sprachdateien preis / Durch einen Fehler von Amazon.de fielen rund 1700 Alexa-Sprachaufzeichnungen in die Hände eines Unbefugten

datensicherheit.de, 05.10.2018
Kommentar zum chinesischen Spionage-Angriff auf Apple und Amazon