Datenschutz am Smartphone
Dein Handy weiß alles - Datenschutz am Smartphone
Das Handy hat sich zum umfangreichen Datenspeicher entwickelt. Mit dem Smartphone tragen wir nicht nur unsere eigenen Daten bei uns, auch die Informationen von fremden Personen sind darauf gespeichert. Über Apps wie WhatsApp geben wir diese Daten weiter. In der Regel, ohne dass die betroffenen Personen zugestimmt haben. In bestimmten Fällen kann diese Datenweitergabe strafrechtliche Folgen haben.
„Der Respekt vor deiner Privatsphäre ist in unseren Genen programmiert“. So steht es in den aktuellen Nutzerbedingungen des Messangerdienstes Whatsapp. Für Datenschützer muss dieser Satz wie blanker Hohn klingen. Denn etwas weiter unten im Text muss man zustimmen, dass Whatsapp, anders als früher versprochen, persönliche Informationen an den Mutterkonzern Facebook weitergibt.
Sendungshinweis: „Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Österreich 1
Nutzer, die mit den neuen Bedingungen nicht einverstanden waren, hatten bis zum 25. September Zeit zu widersprechen. Wenn sie das getan haben, werden ihre Daten nun zwar an Facebook gesendet, aber, so das Versprechen des Unternehmens, nur teilweise ausgewertet. Etwa zur Produktverbesserung, wie es heißt. Ab nun gilt jedoch das Motto: „Friss oder Stirb.“ Wer den neuen Nutzungsbedingungen nicht zustimmt, muss sein Konto löschen.
Die persönlichen Daten der Anderen
Das heißt also, dass Anwender nun quasi gezwungen sind, ihre gespeicherten Adressen und Telefonnummern an Facebook auszuliefern. Das ist in der Praxis solange unbedenklich, solange es sich um die Daten von Freunden und Verwandten handelt. Für persönliche oder familiäre Zwecke dürfen Daten verwendet und weitergegeben werden, sofern man sie von der betroffenen Person erhalten hat, und solange keine sensiblen Informationen, etwa Gesundheitsinformationen, darin enthalten sind.
Sobald hingegen sensible Daten wie Informationen über Geschäftspartner auf dem Smartphone landen, werde die Sache schon kritischer, erklärt Holger Bleich, Redakteur bei c’t, dem Magazin für Computer und Technik. In diesem Moment würden umfassende Datenschutzbestimmungen in vollem Umfang gelten.
dpa - Bildfunk
Kundendaten müssen geschützt werden
Wer das Smartphone für berufliche Zwecke nützt, etwa als selbstständiger Unternehmer, für den gelten letztlich genau dieselben Datenschutzbestimmungen wie für große Unternehmen auch. Theoretisch muss man sich von jedem Kontakt bestätigen lassen, dass die betreffende Person der Verarbeitung und Weitergabe persönlicher Daten zustimmt. Auch wenn die Daten quasi unfreiwillig oder aus Bequemlichkeit an Webdienste wie Whatsapp, Facebook, Dropbox oder andere öffentliche Server weitergegeben werden, sagt Thorsten Behrens vom Österreichischen Institut für angewandte Telekommunikation (OIAT).
Whatsapp kann man jedenfalls nur dann nutzen, wenn man der App Zugriff auf sämtliche Kontaktdaten gestattet. Die Möglichkeit, geschäftliche oder sensible Daten vom Upload in die Whatsapp-Cloud auszuschließen, gäbe es nicht, so c’t-Experte Holger Bleich. Daher sollte man sehr genau überlegen, welche persönlichen Informationen man etwa in einer US-amerikanischen Cloud parken kann.
Unbedachte Datenweitergabe kann strafbar sein
Generell habe man natürlich das Problem, dass Smartphones häufig selbstständig Kontakt mit ihren Herstellern und den damit einhergehenden Cloud-Diensten aufnehmen, so Bleich. Da diese Cloud-Server meist in den USA stünden und ihre Betreiber sich somit nicht zwangsläufig an den europäischen Datenschutzstandards orientieren, sollte man nach Wegen suchen, das Smartphone und seine Daten durch separate Software-Lösungen zu schützen.
Wer fremde Daten auf öffentlichen Servern lagert, seien diese nun von Whatsapp, Facebook, Google, Apple oder einem anderen Konzern, geht zwangsläufig ein gewisses Risiko ein und gerät zumindest in einen rechtlichen Graubereich. Die Weitergabe von geschäftlichen Daten kann unter bestimmten Voraussetzungen sogar gänzlich illegal sein. Beispielsweise wenn ein Geheimhaltungsinteresse besteht wie bei Ärzten, Anwälten oder Versicherungsvertretern. Theoretisch, so Experten, könne die illegale Weitergabe von Geschäftsdaten mit einer Geldstrafe bis zu 25.000 Euro geahndet werden.
Private und geschäftliche Daten trennen
Holger Bleich rät Freiberuflern dazu, heikle und beruflich genutzte Datensätze von privaten Kontakten zu trennen. Dafür gäbe es unterschiedliche Applikationen, allerdings seien diese zur Zeit noch nicht wirklich praktikabel: „Einen kompletten Schutz, der im Betriebssystem eingebaut wäre, gibt es leider momentan noch nicht.“
Daten wirksam zu trennen, sei auf Apple-Geräten wie dem iPhone eher kompliziert, so Bleich. Bei Mobilgeräten, die unter dem Betriebssystem Android laufen, sei eine getrennte Nutzerverwaltung einfacher zu organisieren: „Samsung-Nutzer haben den großen Vorteil, dass in Samsung-Geräten die App My Knox eingebaut ist, die so eine Datentrennung ohne weiteres ermöglicht“.
Paul Urban Blaha, help.ORF.at
Datenschutz bei Schrittzähler und Co.: Forschungsteam sucht Smartphone- und Smartwatch-Daten
Datenschutz bei Schrittzähler und Co.: Forschungsteam sucht Smartphone- und Smartwatch-Daten
Schrittzahl, Puls, Blutdruck und mehr: Smartphone, Smartwatch und Fitnesstracker sammeln Daten auf Schritt und Tritt. Aber was verraten die Messwerte über die bloßen Zahlen hinaus? Wie können die Daten vor Dritten geschützt werden? Diesen Fragen geht das Team von Rechtsinformatiker Christoph Sorge an der Saar-Universität in einem großen Studienprogramm zu Datenschutz und Anonymität auf den Grund. Das Forschungsteam ruft Interessierte auf, die Studien mit anonymisierten Daten zu unterstützen.
Sind die 10.000 Schritte schon erreicht? Der wievielte Platz wird es bei der Schritte-Challenge werden? Schrittzähler liegen im Trend. Sie spornen an zu mehr Bewegung, wecken sportlichen Ehrgeiz und motivieren Menschen landauf, landab, die Treppe statt den Aufzug zu nehmen. Aber wie steht es um die gesammelten Daten? Verrät die harmlose Zahl der Schritte mehr, als landläufig bekannt ist?
„Schrittdaten wirken auf den ersten Blick nicht sensibel, sind es aber durchaus. Es ist etwa möglich, einzelne Personen allein anhand ihrer Schritte zu identifizieren“, sagt Professor Christoph Sorge, Rechtsinformatiker an der Universität des Saarlandes. Diese Zahlen können verraten, wann ihr Verursacher morgens in Gang kommt, wann er mehr und wann weniger unterwegs ist: für sich betrachtet alles recht harmlos, in Summe aber doch vielsagend. „Kommen mehrdimensionale Daten hinzu, etwa Herzfrequenz, Schlafverhalten oder GPS-Ortung, ist es theoretisch möglich, sehr individuelle Profile zu erstellen“, erläutert Christoph Sorge. Und solche Profile samt Aufenthaltsort und Lebensgewohnheiten sind für viele interessant, nicht nur zum Zwecke passgenauer Werbung. „Es besteht das potenzielle Risiko des Ausspähens durch Dritte, für die die Daten nicht gedacht sind, und die so Einblicke in Privates erhalten“, sagt Sorge.
Das Team um den Rechtsinformatiker geht in mehreren Forschungsprojekten der Frage auf den Grund, wie Schritt- und Gesundheitsdaten sicher geschützt werden können. Für eine neue, anonymisierte Datenbank suchen die Forscherinnen und Forscher Daten von Gesundheits- und „Wearable“-Trackern, also von am Körper getragenen Datensammlern wie Smartwatches oder Smartphones. Sie rufen hierbei speziell Nutzerinnen und Nutzer von Apple-Geräten auf, sich mit ihren Daten an dieser Forschung zu beteiligen. Dies hat allein technische Gründe: Das sogenannte Apple Health Framework bringt die Gesundheitsdaten der verschiedenen Anbieter von Gesundheits-Apps in eine strukturierte und vergleichbare Form und dies ist Voraussetzung für die Forscherinnen und Forscher, um die Daten entsprechend anonymisiert auslesen zu können.
„Wir erforschen, wie wir solche Wearable-Daten anonymisieren und verschlüsseln können“, erklärt Christoph Sorge. Auch als Grundlage für Bachelor- und Masterarbeiten sowie Promotionen soll der Datenfundus dienen. „Das Studienprogramm will dazu beitragen, Anonymisierung besser zu verstehen und sie stärker in die Praxis zu bringen“, sagt der Rechtsinformatiker. Vor allem an Schritt-, Sport- und Gesundheitsdaten sind die Forscherinnen und Forscher interessiert.
Sorges Arbeitsgruppe erforscht in zahlreichen Projekten, solche Daten zu schützen. So entwickeln sie im Rahmen des vom Bundesforschungsministerium geförderten Projekts „TrUSD" (Transparente und selbstbestimmte Ausgestaltung der Datennutzung im Unternehmen) Datenschutzmodelle speziell für Arbeitnehmerdaten. „Unternehmen können heute mithilfe der Daten, die sie erheben und auswerten, Prozesse optimieren. Wir forschen daran, wie dabei der Beschäftigtendatenschutz und die Datensicherheit gewahrt bleiben", erklärt Christoph Sorge. Hierzu setzt sein Team Methoden und Verschlüsselungstechniken ein, die zum Beispiel die weitergegebenen Informationen so reduzieren, dass gezielt nur weitergegeben wird, was nötig ist.
Die Forscherinnen und Forscher gehen hierbei insbesondere auch der Frage auf den Grund, was aus Schrittdaten herauszulesen ist. „Wir erheben die Daten dabei so, dass wir keine Rückschlüsse auf die Personen ziehen können, die ihre Daten für die Forschung zur Verfügung stellen. Daten zur Identifikation wie Gerätename, Gerätenummer, Benutzername werden nicht weitergegeben“, sagt Christoph Sorge. Unter www.legalinf.de/healthtool stellen die Rechtsinformatiker ein Tool bereit, mit dem Besitzerinnen und Besitzer von Apple iPhone oder Apple Watch in wenigen Minuten gezielt die Daten auswählen können, die sie für die Forschung beisteuern möchten.
Weitere Informationen:www.legalinf.de/healthtool
Fragen beantwortet:
Professor Christoph Sorge: 0681 302 5122 (Sekretariat: -5120),
E-Mail: christoph.sorge@uni-saarland.de
Bei Fragen zur Bereitstellung der Daten:
Bianca Steffes: E-Mail: bianca.steffes@uni-saarland.de
Pressefotos:
Die folgenden Pressefotos können Sie mit Namensnennung des Fotografen als Fotonachweis honorarfrei in Zusammenhang mit dieser Pressemitteilung und der Berichterstattung über die Universität des Saarlandes verwenden.
Kommen Datenschutz-Warnhinweise für Smartphone-Apps?
Viele Smartphone-Apps sammeln und übertragen oft ohne Wissen des Nutzers deutlich mehr Daten als sie eigentlich benötigen. Wo diese Daten gespeichert und welchen Dritten sie zugänglich gemacht werden, bleibt häufig unklar. Wozu muss etwa eine Taschenlampen-App auf den aktuellen Standort, eine Jogging-App auf gespeicherte Fotos oder ein Spiel auf private Kontakte zugreifen? Die Landesregierung von Nordrhein-Westfalen will gegen diese meist unbemerkte Datensammlung vorgehen und fordert gut sichtbare Datenschutz-Warnhinweise für Apps, ähnlich den Gesundheitswarnungen auf Zigarettenpackungen. „Über Smartphone-Apps stellen Millionen Verbraucher den Anbietern ihre Fotos, Chatnachrichten, Adressbücher, Bewegungsprofile und Gesundheitsdaten zur Verfügung. Viele wissen das gar nicht, und noch weniger wissen, was anschließend mit diesen Daten geschieht“, sagte NRW-Justizminister Peter Biesenbach (CDU) gegenüber der Rheinischen Post. Viele Apps sind nur auf den ersten Blick kostenlos, weil Nutzer statt mit Geld mit ihren Daten zahlen. Bewegungsprofile, Kontaktdaten oder Informationen über Lebensgewohnheiten sind für ganze Wirtschaftszweige inzwischen wertvoller als Bargeld. Deshalb müsse der „Datenpreis“ für Apps ebenso deutlich ausgewiesen werden wie Geldbeträge auf Preisschildern, so Biesenbach. Die oft in den Allgemeinen Geschäftsbedingungen versteckten Datenschutzhinweise der App-Anbieter sind seiner Ansicht nach nicht deutlich und verständlich genug.
Datenschutz-Warnhinweise vor Download sollen verpflichtend werden
„Wir wollen die Anbieter von Apps zu einem Daten-Button verpflichten, der an zentraler Stelle und schon vor dem Vertragsabschluss in übersichtlicher und verständlicher Form über sämtliche Daten informiert, die das jeweilige Programm bei dem Nutzer einsammelt“, erklärte der Justizminister. Dazu strebt er über eine Gesetzesinitiative im Bundesrat eine Änderung im Bürgerlichen Gesetzbuch (BGB) an. Bayern signalisierte bereits Unterstützung. Auch App-Anbieter aus dem Ausland sollen sich einer solchen Regelung nicht entziehen können, weil nicht der Sitz des Anbieters, sondern dessen Angebot in Deutschland entscheidend sei. „Rechtlich können die App-Anbieter über das deutsche Vertragsrecht im BGB problemlos zu solchen Datenschutzhinweisen gezwungen werden“, betonte Biesenbach. „Das müsste jeder Anbieter von Apps in Deutschland beachten.“ Die geplanten Datenschutz-Warnhinweise sollen Nutzer noch vor Download und Installation der App zu sehen bekommen. Zwar gibt es schon jetzt vorab zu bestätigende Hinweise, dass eine Anwendung auf bestimmte Systemressourcen und Informationen zugreift. Allerdings geht daraus meist nicht eindeutig hervor, was genau mit den erfassten Daten geschieht.
Nutzern entgleitet zunehmend die Kontrolle über ihre Daten
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff (CDU), begrüßt den Vorstoß des NRW-Justizministers. „Nur wenn Nutzer ausreichend über die Datensammlung informiert werden, ist ihre Einwilligung in die Datenverarbeitung überhaupt rechtsgültig“, sagte Voßhoff. Anbieter von Smartphone-Apps müssten aber bereits bei der Entwicklung ihrer Angebote stärker auf den Datenschutz achten. Viele Probleme ließen sich vermeiden, wenn Daten lediglich lokal auf einem Smartphone gespeichert und verarbeitet würden, anstatt in die Cloud übertragen zu werden. Oft werden die erhobenen Daten nicht nur durch den jeweiligen Anbieter, sondern durch externe Dritte verarbeitet. Durch die unklaren Regelungen zur Datenverarbeitung verlieren Nutzer zunehmend die Kontrolle über ihre Daten. Ein Widerspruch gegen die Weitergabe der eigenen Daten ist meist nicht möglich. Problematisch ist auch, dass Apps und die damit verbundenen Nutzerkonten oft keine Möglichkeit bieten, bereits gesammelte Daten vollständig von den Servern des jeweiligen Anbieters zu löschen. Die App zu deinstallieren, genügt häufig nicht, um bereits gesammelte Daten zu vernichten. Für sich betrachtet scheinen Einzelinformationen über Kontakte, zurückgelegte Wegstrecken oder verbrauchte Kalorien zunächst wenig aussagekräftig. Werden diese Daten jedoch verknüpft und einer Person zugeordnet, ergibt sich ein präzises Bild über Tagesablauf, Gewohnheiten oder den Gesundheitszustand des jeweiligen Nutzers. Daraus lassen sich wiederum Rückschlüsse auf sein Konsumverhalten ziehen. Adtech-Unternehmen erstellen auf diese Weise detaillierte Profile, um personalisierte Werbung auszuspielen. Der Branchenverband Bitkom, in dem auch App-Anbieter organisiert sind, sieht jedoch keinen echten Mehrwert in der von Biesenbach angestoßenen Neuregelung. Er hält die Vorgaben der europäischen Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 in Kraft tritt, für ausreichend.
Cliqz sammelt keinerlei personenidentifizierbare Daten