Inhalt:

• Wer muss Daten schützen?
• MS-Office365 darf nicht an Schulen eingesetzt werden
• EuGH erklärt Like-Buttons bei Facebook für problematisch
• Deutscher Trojaner liest bei Messengern mit
• USA-Reisen: Vorsicht bei Visumanträgen!
• Der Mixer lauscht, der Staubsaugerroboter sendet Pornos

 

 

Wer muss Daten schützen?

Weil die DSGVO seit mehr als einem Jahr große Aufmerksamkeit erhält, lohnt es sich, ein paar Dinge zum Datenschutz im Allgemeinen zu sagen: Die DSGVO verpflichtet Geschäftsleute und Unternehmen zum Schutz personenbezogener Daten. Privatpersonen sind im privaten Bereich nicht daran gebunden.

Es gibt jedoch in jedem Land der EU - auch in Deutschland und Österreich - weitere gesetzliche Bestimmungen, die auch Privatleuten ein Mindestmaß an Schutz personenbezogener Daten vorschreiben. Ein Beispiel ist etwa die Video-Überwachung öffentlicher Räume, wo speziell in Österreich sehr strenge Regeln gelten.

Wer also privat ein Foto seiner Freunde anfertigt, muss nicht vorher eine Datenschutzerklärung abgeben. Werden bei einer Veranstaltung Fotos angefertigt, die nachträglich publiziert werden, hat es sich als praktisch erwiesen, mit der Einladung bereits einen Hinweis darauf zu versenden.

Insgesamt ist es jedenfalls hilfreich, wenn man sich bewußt macht, welche personenbezogenen Daten berufsbedingt verarbeitet werden und welche Daten dem private Bereich zuzuordnen sind.

 

 

MS-Office365 darf nicht an Schulen eingesetzt werden

Zum Schulbeginn passt eine rechtsverbindliche Einschätzung des hessischen Datenschutzbeauftragten, die nicht nur für Deutschland, sondern für die gesamt EU gilt: Die Verwendung von Office365 an Schulen ist unzulässig, weil damit Daten - auch personenbezogene - auf europäischen Servern gespeichert werden, auf die auch die US-Regierung Zugriff hat.

Das österreichische Bildungsministerium hingegen hält die "Dienstleistervereinbarung", die Microsoft mit der öffentlichen Hand gem. § 10 DSG abgeschlossen hat, für eine ausreichende Garantie, dass personenbezogene Daten von Office365 in rechtskonformer Weise behandelt werden.

Für Schulen wird das Leben dadurch nicht leichter. Sie sind oft auf technische Mittel angewiesen, die ihnen von den Schulverwaltungsbehörden zugewiesen werden. Diese Behörden zahlen ja in der Regel dafür und bestimmen daher, was gekauft wird. Im konkreten Fall geht es um die Lizenzgebühr, die bei der Nutzung von Office365 anfällt. Microsoft ist es offenbar gelungen, die aus der Sicht des Datenschutzes berechtigte Skepsis bei den ministeriellen Entscheidungsträgern in Österreich zu überwinden.

Quellen:

https://www.derstandard.at/story/2000106119463/deutscher-datenschuetzer-office-365-darf-an-schulen-nicht-verwendet-werden (10.7.2019)

https://datenschutz.hessen.de/pressemitteilungen/stellungnahme-des-hessischen-beauftragten-f%C3%BCr-datenschutz-und (9.7.2019)

 

 

EuGH erklärt Like-Buttons bei Facebook für problematisch

Die Like-Buttons von Facebook finden sich auf zahlreichen Webseiten. Wer eine solche Website aufruft, dessen personenbezogene Daten werden an Facebook übermittelt, ohne dass die Person die Möglichkeit hat, das zu verhindern. Im Klartext: Nicht erst der Klick auf den Like-Button, sondern schon der Aufruf der Seite löst die Datenübertragung zu Facebook aus.

Ende Juli hat nun der EuGH entschieden, dass Betreiber von Webseiten, auf denen ein Like-Button eingebaut ist, eine Mitverantwortung für den Datenschutz haben. Diese beruht auf dem Umstand, dass dem Seitenbetreiber die Erhebung der Daten und deren Übertragung an Facebook bekannt ist und er dem Nutzer der Seite keine Wahlmöglichkeit einräumt. Die Entscheidung des Gerichtes betrifft zwar die Rechtslage vor dem Inkrafttreten der DSGVO, sie ist aber auch aktuell richtungsweisend.

Die technische Lösung des Problems ist relativ einfach, und es existieren auch Plugins zur Abhilfe: Zunächst wird nur ein "ausgegrautes" Symbol für den Like-Button in die Seite eingebaut. Klickt ein Nutzer darauf, wird ein Fenster mit den notwendigen Datenschutzhinweisen eingeblendet. Erst wenn der Nutzer diese Hinweise bestätigt, erscheint der Original-Button auf der Website und kann angeklickt werden.

Quellen:

https://orf.at/stories/3131892/ (29.7.2019)

http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1 (29.7.2019)

 

 

Deutscher Trojaner liest bei Messengern mit

Vor einigen Wochen wurde ein sehr effektiver Trojaner entdeckt, der nach Ansicht von Fachleuten alle Messenger, wie WhatsApp, Signal od. dgl. knacken könnte und in der Lage ist, Unterhaltungen mitzulesen. Die unerwünschte Anwendung wurde von Kaspersky unter der Bezeichnung „FinSpy“ näher beschrieben. Sowohl Android- als auch iOS-Geräte sind betroffen.

Entwickelt wurde „FinSpy“ laut ORF von einem deutschen Unternehmen, das über eine Tochtergesellschaft in Großbritannien das Produkt an Behörden in aller Welt verkaufte. Offenbar wurde das Programm mittlerweile "freigesetzt" und liefert seine Spionage-Ergebnisse auch an nichtstaatliche Stellen. In diesem Zusammenhang muss darauf hingewiesen werden, dass es keine Garantie gibt, dass alles gesetzlich erlaubt ist, was Behörden tun.

Hier beschreibt Kaspersky sinnvolle Gegenmaßnahmen.

Quellen:

https://help.orf.at/stories/2988304/ (12.7.2019)

https://www.kaspersky.de/blog/finspy-commercial-spyware/19721/ (17.7.2019)

 

 

USA-Reisen: Vorsicht bei Visumanträgen!

Eine Meldung in der Tageszeitung "Der Standard" v. 2.6.2019 warf die Frage auf, ob nicht aus Datenschutzgründen Reisen in die USA zumindest für Unternehmer aus der EU künftig schwierig bis unmöglich wären. Laut "Bloomberg" sind rund 14 Millionen Reisende und 710.000 Immigranten in den USA von einer neuen Bestimmung betroffen, die von ihnen verlangt, ihre Social Media-Profile fünf Jahre zurück offenzulegen.

"Der Standard" schreibt dazu, dass auf dem Online-Antrag für die Einreise ohne Visum die Angabe der Social-Media-Profile derzeit noch freiwillig ist.

Wer seine Social-Media-Profile offenlegt, öffnet damit auch den Zugang zu personenbezogenen Daten seiner Kommunikationspartner. Das mag für Privatleute rechtlich unbedenklich sein (für Österreich sind sogar hier Zweifel angebracht), für Geschäftsleute mit einem Firmenaccount birgt es ein hohes Risiko. Selbst wenn jemand in der Lage sein sollte, alle seine Kommunikationspartner der letzten 5 Jahre um ihr Einverständnis zu bitten, wäre auch das keine Lösung, der man bedenkenlos zustimmen könnte. Immerhin sind auch diese Kommunikationspartner wieder mit anderen Leuten in Kontakt gestanden, deren Daten durch den Visumsantrag den US-Behörden "ausgeliefert" werden.

Aufgrund der großen Bedeutung des Sachverhaltes haben wir eine Anfrage an die österreichische Datenschutzbehörde (DSB) gerichtet, um ihre Einschätzung der Lage kennenzulernen. Die DSB hat sich jedoch auf den formalistischen Standpunkt zurückgezogen, dass sie Auskunft nur zu Verfahren erteilt, die von ihr geführt wurden. Das ist zwar verständlich, aber im Hinblick auf die regelmäßig publizierten Stellungnahmen deutscher Datenschutzbeauftragter schade, denn deren Einschätzungen sind unabhängig von konkreten Verfahren, haben echten Service-Charakter und können als Leitlinie für rechtskonformes Verhalten herangezogen werden.

Österreichische Reisende sind daher bei Reisen in die USA allein gelassen und sollten vor dem Ausfüllen des US-Einreiseantrages anwaltlichen Rat einholen.

Quellen:

https://derstandard.at/2000104204460/USA-verlangen-bei-Visums-Antrag-nun-Social-Media-Profile (2.6.2019)

 

 

Der Mixer lauscht, der Staubsaugerroboter sendet Pornos

"Monsieur Cuisine Connect" von Lidl verbindet sich mit dem WLAN seines Besitzers und hat im Innern eine "Wanze". Kaum jemand hätte vermutet, dass ein Mixer ein Mikrophon enthält - tut er aber, wie französische Sicherheitsexperten aufdeckten. Sie konnten unter Ausnützung von Sicherheitslücken mit dem Mixer sogar Video-Spiele spielen.

Auf Anfrage hat sich Lidl auf den Standpunkt zurückgezogen, dass das Mikrophon nicht aktiviert sei. Ob, wann und durch wen es aktiviert werden kann und ob der Benutzer das merkt, ist freilich nicht kommuniziert worden. Jedenfalls könnte das zumindest bei Softwareupdates passieren, die vorgenommen werden. Und natürlich könnte sich auch jedes "Script-Kid" aus der Nachbarwohnung mit dem Mixer verbinden und mithören.

Wer einen Staubsauger-Roboter besitzt, ist noch schlimmer dran. Die Geräte hängen im WLAN ihres Besitzers und können vom Smartphone aus gestartet und programmiert werden. Alle Daten sind jedoch auf einem unbekannten Server gespeichert. Dessen Besitzer verfügt dann zumindest über die Pläne der Wohnungen, weiß, wo die Sessel und der Eiskasten stehen, ob es in der Wohnung sauber oder schmutzig zugeht und kann sich somit ein gutes Bild über die Eigentumsverhältnisse verschaffen. Zu allem Überfluss verfügen die meisten Staubsaugerroboter - aus gutem Grund - auch über eine Kamera zur Positionsfindung. Davon, dass die aufgenommenen Bilder auch nach außen übertragen werden, muss man ausgehen.

Genau so, wie das Mikrophon des Mixers aus der Nebenwohnung angezapft werden kann, ist es möglich, die Bilder des Staubsaugers abzugreifen. Und dann ist es fast unerheblich, ob "nur" Schlafzimmerszenen übertragen oder damit vielleicht sogar weitere Straftaten vorbereitet werden.

Es gibt im oberen Preissegment Staubsauger-Roboter, die ein hohes Maß an Komfort, aber auch entsprechende Sicherheit vor Mißbrauch bieten. Vor dem Kauf smarter Haushaltsgeräte, gleich welcher Art, sollte man sich jedenfalls von Fachleuten beraten lassen, ob man damit nicht auch unerwünschte Spione in seine vier Wände holt.

Geräte, bei denen die Gefahr unbemerkter Übertragung von Ton oder Bild an unbefugte Dritte nicht ausgeschlossen werden kann, sollten keinesfalls in Ordinationen, Praxen oder Büros verwendet werden, deren Betreiber einer gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere gilt das für Webcams und Produkte wie "Siri", "Alexa" & Co, deren Aufgabe es ist, in den Räumen zu lauschen und abgehörte Gespräche in alle Welt zu übertragen.

Quellen:

https://derstandard.at/2000104995073/Thermomix-Klon-bei-Lidl-Sicherheitsdesaster-mit-WLAN-Anbindung (17.6.2019)

https://kurier.at/genuss/thermomix-von-lidl-verstecktes-mikrofon-im-kuechengeraet/400528588 (20.6.2019)