Archive for Mai, 2021

Facebook, LinkedIn & Clubhouse – Aktuelle Datenlecks

Posted by Erich von Maurnböck

Datenschutzmängel bei Facebook sind keine Neuigkeiten, nun hat sich die Social-Media-Plattform allerdings mit einem besonders schweren Datenleck in die Nachrichten manövriert. Auch LinkedIn und Clubhouse sind aktuell aus ähnlichen Gründen in aller Munde. Lesen Sie in diesem Beitrag genauere Informationen zu den Vorfällen.

Datenmissbrauch bei Facebook

Vor einigen Wochen wurde bei Facebook eine schwere Datenpanne mit rund 530 Millionen betroffenen Personen bekannt. Durch eine Sicherheitslücke wurde eine enorm hohe Menge an personenbezogenen Daten im Internet veröffentlicht, welche in einem Forum für Cyberkriminelle auftauchten und dort kostenfrei zur Verfügung standen. Das Leak war bereits vor Jahren bekannt geworden und laut der Social-Media-Plattform 2019 behoben worden.

Unter den Betroffenen befinden sich 6 Millionen Deutsche, die sich nun mit der Unterstützung des Münchner Unternehmens „Europäische Gesellschaft für Datenschutz“ (EuGD) zu einer Klage auf Schadenersatz für immateriellen Schaden entschlossen haben. Sollte diese erfolgreich sein, könnte jeder betroffenen Person 1000,- € Schadenersatz zukommen. Dies hätte wohl einen abschreckenden Effekt, sogar für Facebook!

Datenmissbrauch bei LinkedIn

Auch bei LinkedIn wurde kurz darauf ein Fall von Datenmissbrauch publik. Mehr als 500 Millionen Profildaten wurden in einem populären Hackerforum gegen eine geringe Gebühr zum Verkauf angeboten. Bei den Daten handelt es sich um Namen, Telefonnummern, Email Adressen und Arbeitgebende. Das soziale Netzwerk für Geschäftskontakte bezeichnet den Vorfall als unerlaubtes Scraping. Damit sind bestimmte Techniken gemeint, die durch gezieltes Extrahieren von Daten, zum Gewinn bestimmter Informationen herangezogen werden.

Datenmissbrauch bei Clubhouse

Clubhouse ist die jüngste Social-Media-Plattform und hat in den letzten Monaten große Bekanntheit erlangt. Zuletzt fiel die Trend-App jedoch ebenso wie Facebook und LinkedIn äußerst negativ in den Schlagzeilen auf. Auch von Clubhouse-Nutzern wurden personenbezogene Daten im Internet frei zugänglich gemacht. In diesem Fall wurde ebenso wie bei LinkedIn durch Datenscraping eine Datenbank der gesammelten Daten erstellt, die ein gefundenes Fressen für Hacker darstellt. Von diesem Vorfall sind insgesamt 1,3 Millionen Nutzer betroffen.

Unsere Praxistipps

Neue Nutzungsbedingungen bei WhatsApp: Jetzt wird es ernst!

Posted by Erich von Maurnböck

Benutzen Sie WhatsApp? Wenn ja, dann wissen Sie bereits, dass es aufgrund der geänderten Nutzungsbedingungen zu einer massiven Absenkung des Datenschutzniveaus kommt. Diese sollten ursprünglich bereits im Februar umgesetzt werden, die Deadline wurde jedoch auf Mai verlegt. Von nun an kann die Nachrichten-App nur noch genutzt werden, wenn man den geänderten Nutzungsbedingungen zustimmt. Worum es dabei genau geht und warum wir Ihnen raten, auf eine sichere Alternative umzusteigen, erfahren Sie in diesem Beitrag.

Update der Datenschutzrichtlinien

Seit Jänner gibt es viel Wind um eine bevorstehende Änderung der weltweiten Nutzungsbedingungen des Kommunikationsdienstes WhatsApp. Nutzer müssen darin zustimmen, dass ihre personenbezogenen Daten von nun an vom gesamten Facebook-Universum, zu dem der Nachrichtendienst seit einigen Jahren zählt, verwendet werden dürfen. Darunter fallen unter anderem das Adressbuch mit Telefonnummern, Profilnamen, Profilbilder und Statusmeldungen.

Zwar wird erklärt, dass keine Informationen, die WhatsApp weitergibt, für Facebook-Unternehmen Verwendung finden. Aber: gleichzeitig erfolgt der Hinweis darauf, dass WhatsApp mit anderen Facebook-Unternehmen Daten teilt, um Dienste „zu betreiben, anzubieten, zu verbessern, zu verstehen, zu individualisieren, zu unterstützen und zu vermarkten“. Daten dürfen so innerhalb des Konzerns unbeschränkt weitergegeben werden. Zusätzlich wird erläutert, dass Facebook für die Bereitstellung von Analysediensten beispielweise Telefonnummern, Geräteinformationen und weitere Informationen von WhatsApp erhält. Auch Personen, die gar nicht auf Facebook sind, sondern nur WhatsApp nutzen, sind dabei betroffen.

Folgen des Updates für Verbraucher

Um im Unternehmen DGSVO-konform unterwegs zu sein, wird schon seit Jahren darauf hingewiesen, dass WhatsApp kein datenschutzsicherer Kommunikationsdienst ist und daher nicht verwendet werden darf. Mitgrund dafür ist die Datenübertragung sämtlicher gespeicherter Kontakte in die USA. Näheres können Sie auch hier nachlesen. Wir empfehlen Ihnen den neuen Bedingungen nicht zuzustimmen und die App künftig nicht mehr zu benutzen. Für einige WhatsApper können die Änderungen nun eine hervorragende Gelegenheit sein, auch die private Kommunikation datenschutzsicherer zu gestalten.

Wir zeigen Ihnen hier überlegenswerte Alternativen sicherer Nachrichtendienste auf:

Sichere Nachrichten-Apps

Sicherheit wird bei Signal großgeschrieben: Private Nachrichten und Gruppenchats sind Ende-zu-Ende-verschlüsselt. Die Telefonnummern werden nur anonymisiert an den Server übermittelt. Zudem wird der Messenger-Dienst von einer gemeinnützigen Stiftung geführt. Signal ist Open-Source und somit kann der Code von jedem geprüft werden.

Threema ist ein freier und ebenso Ende-zu-Ende-verschlüsselter Messaging-Dienst aus der Schweiz, der wie auch Signal datenschutzsicherer als WhatsApp ist. Im Gegensatz zu Signal und Ginglo ist Threema jedoch nicht kostenlos. Es werden einmalige Zahlungen oder monatliche Zahlungen (Business Variante) verlangt.

Ginglo ist die Nachfolger Messenger-App von SIMSme der Deutschen Post. Hierbei werden keine Daten an Server außerhalb der Europäischen Union übertragen, eine Vollverschlüsselung ist inbegriffen. Zur Nutzung muss die Handynummer angegeben werden und der Zugriff auf gespeicherte Kontakte ist möglich, aber nicht zwingend erforderlich. Außerdem kann in jedem Chat für einzelne Nachrichten die Selbstzerstörung gewählt werden.

Unsere Praxistipps

DSGVO-Strafe in Italien: Aggressives Telemarketing

Posted by Erich von Maurnböck

Wissen Sie genau darüber Bescheid, wann Sie Kontaktdaten verarbeiten und zu Marketingzwecken verwenden dürfen? In Italien kam es erneut zu einer sehr hohen DSGVO-Strafe von 4,5 Millionen Euro aufgrund von unrechtmäßigem Telemarketing, von dem ganze 7,5 Millionen Personen betroffen waren.

Telemarketing ohne Rechtsgrundlage

Gegen den italienischen Festnetzbetreiber „Fastweb“ gingen bei der Datenschutzbehörde hunderte Beschwerden ein. Betroffene beklagten sich über aggressives Telemarketing. Die italienische Datenschutzbehörde leitete Ermittlungen gegen den Kommunikationsbetreiber ein und stellte dabei fest, dass die verwendeten Telefonnummern nicht im Register des Unternehmens eingetragen waren. Die Kontaktdaten wurden von externen Partnern ohne Einwilligung der Betroffenen bezogen. Insgesamt waren von der Verarbeitung 7,5 Millionen Personen betroffen.

Folgen des aggressiven Telemarketings

Die durchgeführten Werbeanrufe ohne Rechtsgrundlage stellen einen klaren Verstoß gegen die DSGVO dar. Bei der Prüfung des Festnetzbetreibers durch die italienische Datenschutzbehörde stellte diese zudem weitere Verstöße fest: Zum einen wurde keine ordnungsgemäße Ausübung der Betroffenenrechte, insbesondere des Widerspruchs, ermöglicht, zum anderen waren auch die technischen und organisatorischen Maßnahmen zum Datenschutz mangelhaft.

Daraufhin wurde eine Strafe von 4,5 Millionen Euro gegen „Fastweb“ verhängt. Zudem wurde der Betreiber angewiesen, seine Sicherheitsmaßnahmen zu verstärken und seine Werbepraxis rechtmäßig zu gestalten.

Unsere Praxistipps

Bezahlung mit Daten: Neues Gewährleistungsrecht

Posted by Birgit von Maurnböck

Daten sind in den letzten Jahren zu einem beliebten Währungsmittel geworden. Bestimmt haben Sie schon häufig mit Daten für vermeintlich „kostenlose“ Dienste bezahlt. Nun wurde ein neues Gewährleistungsrecht auf den Weg gebracht, das künftig Verbesserungen für Verbraucher verspricht. Die wichtigsten Informationen dazu haben wir für Sie in diesem Beitrag zusammengefasst.

Die Bezahlung durch Daten

Zahlreiche Plattformen und Dienste stellen kostenlose Leistungen zur Verfügung. Gezwungenermaßen müssen wir einwilligen, dass beispielsweise auf unsere Kontakte, Fotos, Mikrofon, Standort oder auf andere Informationen zugegriffen wird. Wir nehmen das jedoch in Kauf, um uns ein Video anzusehen oder einen Messenger-Dienst zu nutzen. Schließlich werden wir vor die Entscheidung gestellt: Möchten wir den Dienst in Anspruch nehmen und dafür mit unseren Daten bezahlen? Oder wollen wir den Zugriff lieber nicht erlauben und können dafür aber die jeweilige Leistung nicht in Anspruch nehmen? Diese Zwickmühle veranlasst uns häufig dazu, den Zugriff auf unsere privaten Daten trotzdem zu erlauben, obwohl wir mit diesem grundsätzlich keineswegs einverstanden sind. Eine Gesetzesänderung gibt uns nun mehr Rechte.

Neue Ansprüche bei der Bezahlung mit Daten

Ein neues Gewährleistungsrecht nach EU-Richtlinie soll uns Verbrauchern zukünftig das Leben erleichtern. Dieses ist bis zum 1. Juli 2021 durch nationale Gesetze umzusetzen und soll mit 1. Jänner 2022 zur Anwendung kommen. Im Vordergrund steht grundsätzlich eine Verbesserung der Durchsetzung von Gewährleistungsansprüchen bei Mängeln, beispielsweise bei der Beweislast. Zusätzlich werden auch digitale Neuerungen verlangt: Zum einen kostenlose Software-Updates für „Smart Goods“, beispielsweise Smartphones oder „intelligente“ Fitnessuhren, und zum anderen neue Regelungen in Bezug auf die Bezahlung mit Daten.

Letzteres ist in Hinblick auf den Datenschutz besonders interessant: Während das Gewährleistungsrecht bislang nur für entgeltliche Verträge gültig war, sollen die neuen Bestimmungen nun auch dann gelten, wenn Betroffene für digitale Leistungen nicht mit Geld, sondern mit personenbezogenen Daten bezahlen.

Lädt eine Person beispielsweise Fotos in einen kostenlosen Cloud-Dienst, so kann dieser, sollte das Abrufen der Fotos Probleme mit sich bringen, oder das Material verzerrt oder falsch dargestellt werden, von seinem Gewährleistungsrecht Gebrauch machen. Der Cloud-Dienst ist nach dem neuen Gesetz gewährleistungspflichtig in Bezug auf sämtliche mögliche Mängel, welche anfallen könnten. Der betroffene Kunde hat dann zum Beispiel das Recht, zu verlangen, dass seine personenbezogenen Daten vom Anbieter nicht mehr genutzt werden dürfen.

Unsere Praxistipps