Tag Archives: Privatsphäre

Analyse: Entwurf der ePrivacy-Verordnung stärkt Rechte von Endnutzerinnen und Endnutzern

Die EU-Kommission hat einen Entwurf für eine ePrivacy-Verordnung erarbeitet. Trotz vereinzelter Schwächen stärkt der Entwurf die Rechte und Interessen der Nutzerinnen und Nutzer elektronischer Kommunikationsdienste. Nun bleibt zu hoffen, dass die positiven Ansätze nicht im Rahmen des Gesetzgebungsverfahrens durch die Mitgliedstaaten zerrieben werden.


Über den Entwurf für eine ePrivacy-Verordnung sprachen wir am Mittwoch auch in unserer Reihe „In digitaler Gesellschaft“ beim Berliner Radiosender FluxFM.

Seit 2002 schützt die sogenannte ePrivacy-Richtlinie die Grundrechte und die Privatsphäre von EU-Einwohnern bei der elektronischen Kommunikation. Zuletzt wurde sie 2009 durch die Cookies-Richtlinie geändert. Seitdem haben sich die Kommunikationsmittel und -kanäle erheblich und nachhaltig gewandelt. Messenger-Dienste, Video-Telefonie, Kurznachrichtendienste oder Photosharing-Apps treten zunehmend an die Stelle des klassischen Telefonanrufs, der E-Mail oder der SMS. Im Internet der Dinge kommunizieren außerdem auch immer mehr Maschinen untereinander.

Höchste Zeit also die ePrivacy-Richtlinie an die veränderten Bedingungen anzupassen und fit für die digitale Gegenwart zu machen. Zu diesem Zweck hatte die EU-Kommission von April bis Juni 2016 eine Konsultation durchgeführt, an der sich neben Datenschutzbehörden und NGOs auch Unternehmen und Handelsverbände beteiligten. Am vergangenen Montag Abend schließlich hat das Online-Magazin Politico.eu einen ersten Entwurf der Kommission für das lang erwartete Update geleakt.

Obwohl insbesondere die Online-Wirtschaft sich in der Konsultation vehement gegen eine Regulierung aussprach, ist der Entwurf trotz vereinzelter Schwächen insgesamt vergleichweise grundrechts- und verbraucherfreundlich ausgefallen.

Verordnung mit Ausnahmen: Abstriche bei der Harmonisierungswirkung

Erfreulich ist bereits die Entscheidung der Kommission, die Rechte der EU-Bevölkerung bei der elektronischen Kommunikation künftig nicht mehr durch eine Richtlinie, sondern im Wege einer Verordnung zu schützen. Im Gegensatz zu einer Richtlinie bedarf eine Verordnung nicht der Umsetzung in nationales Recht, sondern gilt in den Mitgliedstaaten stets unmittelbar. Auf diese Weise wird der Weg hin zu einem europaweit einheitlichen Datenschutzniveau, welcher mit der Datenschutzgrundverordnung eingeschlagen wurde, weiter verfolgt.

Leider weicht die Kommission diesen eigentlich begrüßenswerten Ansatz zu einem guten Teil auch gleich wieder auf, indem sie die Verordnung mit weitreichenden Ausnahmen und Öffnungsklauseln versieht. Strafverfolgungs- und Gefahrenabwehrbehörden etwa sind vom Anwendungsbereich der Verordnung pauschal ausgenommen. Außerdem erhalten die EU-Mitgliedstaaten ausdrücklich die Möglichkeit, bei allen wesentlichen Betroffenenrechten abweichende Regelungen zu treffen, um „die nationale Sicherheit, die Verteidigung, die öffentliche Sicherheit und die Verhinderung, Aufklärung, Entdeckung oder Verfolgung von Straftaten oder der Vollstreckung von Strafsanktionen oder der unauthorisierten Nutzung elektronischer Kommunikationssysteme zu gewährleisten“. Damit spielt die Kommission Überwachungshardlinern wie Bundesinnenminister Thomas de Maizière in die Hände. Der machte bereits im vergangenen August seine Pläne öffentlich, künftig sämtliche elektronischen Kommunikationsdienste der Vorratsdatenspeicherung zu unterwerfen.

Abgesehen davon bergen derart weit gefasst Öffnungsklauseln stets die Gefahr, dass das Datenschutzniveau im Ergebnis weiter abgesenkt statt erhöht wird. Eindrucksvoll ließ sich dies etwa an dem Ende November veröffentlichten Referentenentwurf des Bundesinnenministeriums (BMI) zur Anpassung des deutschen Datenschutzrechts an die Datenschutzgrundverordnung ablesen. Dort wurden die europarechtlichen Öffnungsklauseln dazu genutzt, die Datenschutzregeln sogar hinter den Stand des geltenden Rechts zurückzudrehen. Dem Ziel eines europaweit einheitlichen Grundrechtschutzes wird mit solchen Abweichungsoptionen also tendenziell ein Bärendienst erwiesen.

00002-langer-atem-marathon-quelle

Geltungsbereich: Alle in der EU verfügbaren Dienste, alle Daten

Abgesehen davon sind Geltungsbereich und Reichweite der Verordnung nicht zu beanstanden: Sie soll für die Verarbeitung sowohl von Inhalts- als auch von Metadaten durch jegliche elektronischen Kommunikationsdienste gelten, die in der EU verfügbar sind. Dabei ist es gleichgültig, ob die Datenverarbeitung innerhalb oder außerhalb der Union stattfindet.

Das Territorialprinzip, das der EuGH in seiner Entscheidung zum „Recht auf Vergessenwerden“ begründete und das nun auch in der Datenschutzgrundverordnung festgeschrieben ist, wird hier also noch einmal und sogar in besonders scharfer Form konstituiert: Wer in der EU Kommunikationsdienste anbietet, die anfallenden Daten aber außerhalb der EU verarbeitet, muss sich an die Regeln der geplanten ePrivacy-Verordnung halten. Außerdem muss ein solches Unternehmen in mindestens einem EU-Mitgliedstaat, in dem der Dienst verfügbar ist, schriftlich einen konkreten Verantwortlichen benennen. Diese Person muss den Aufsichtsbehörden, Gerichten sowie Endnutzerinnen und Endnutzern zu allen Fragen im Zusammenhang mit der Datenverarbeitung Rede und Antwort stehen können.

Verarbeitung von Metadaten: Viel Licht und etwas Schatten

Einige erfreuliche Neuerungen sieht der Entwurf auch bei den eigentlichen Regeln für die Verarbeitung von Kommunikationsdaten vor. So soll es grundsätzlich verboten werden, in Kommunikationsvorgänge einzugreifen oder Daten aus solchen Vorgängen zu verarbeiten. Abweichungen von diesem Grundsatz sind nur erlaubt, soweit sie in der Verordnung ausdrücklich vorgesehen sind. Während das Verbot für die Inhalte elektronischer Kommunikation unbeschränkt gilt, sind für Metadaten, also Informationen über den Kommunikationsvorgang selbst wie zum Beispiel Ort, Zeit, Dauer, Teilnehmer, Telefonnummer und IP-Adresse, verschiedene Ausnahmen vorgesehen.

Metadaten dürfen danach nur verarbeitet werden, um die Qualitätsanforderungen einzelner Dienste oder die Sicherheit von Netzwerken und Kommunikationsdiensten zu gewährleisten. Zulässig ist die Verarbeitung des Weiteren auch für Notfalldienste oder schlicht dann, wenn Endnutzerinnen und Endnutzer eingewilligt haben. Soweit keine dieser Ausnahmen greift, müssen die Metadaten außerdem unmittelbar nach dem Ende eines Kommunikationsvorgangs gelöscht oder zumindest anonymisiert werden. Speziell für Rechnungszwecke dürfen die Daten darüber hinaus auch so lange aufbewahrt werden, wie noch eine Rechnung gestellt oder durchgesetzt werden kann – also bis zum Ablauf der Verjährung der Zahlungsansprüche beziehungsweise der Vollstreckungstitel.

Zwar werden auch durch diese Ausnahmen die grundsätzlich strikten Regeln zum Umgang mit Metadaten in gewisser Weise aufgeweicht; angesichts der bisherigen Praxis vieler Kommunikationsdienste, solche Daten auch weit über die Abrechnungszeiträume hinaus zu bevorraten, stellt insbesondere die diesbezügliche Regelung jedoch durchaus einen Fortschritt dar.

Endlich: Privacy by design wird Gesetz

Privacy by design soll zwingende Vorgabe für sämtliche am Markt verfügbaren Endgeräte und Browser werden. Laut Entwurf müssen alle Hardwarekomponenten ab Werk so konfiguriert sein, dass Dritte davon abgehalten werden, Informationen über die Hardware zu speichern, darauf gespeicherte Informationen zu verarbeiten oder die Verarbeitungskapazitäten der Geräte zu nutzen. Softwarekomponenten wie etwa Browser wiederum müssen so voreingestellt sein, dass sie es Dritten nicht erlauben, Informationen auf den Endgeräten zu speichern oder dort gespeicherte Informationen zu verarbeiten. Mit dieser Vorgabe leistet der Entwurf einen wesentlichen Beitrag zur Verbesserung des Datenschutzes und der Privatsphäre, zumal Ausnahmen oder Abweichungen von dieser Anforderung nicht vorgesehen sind.

Der Verordnungsentwurf verbietet es unbefugten Dritten außerdem, Informationen über fremde Endgeräte oder Software zu sammeln oder deren Rechen- und Speicherkapazitäten auszunutzen. Damit werden etwa der Betrieb von Botnetzen oder die Anwendung invasiver Tracking-Praktiken wie Browser-Fingerprinting pauschal untersagt. Bislang waren diese Techniken zumindest in Deutschland nicht zwingend illegal. Das war nur dann der Fall, wenn die betroffenen Endnutzerinnen und Endnutzer spezifische Vorkehrungen gegen derartige Fremdzugriffe getroffen hatten. Neben einigen aus Praktikabilitätsgründen durchaus sinnvollen Ausnahmen von dem Verbot regelt der Entwurf allerdings auch, dass Daten über die Endgeräte jedenfalls dann gesammelt werden dürfen, wenn Endnutzerinnen und Endnutzer zunächst klar und deutlich auf die Datenerhebung hingewiesen worden sind. Ihrer ausdrücklichen Einwilligung bedarf es dann nicht mehr. Die Daten dürfen außerdem im Direktmarketing und zu Profilingzwecken verwendet werden. Den Betroffenen steht in diesem Fall nur ein Widerspruchsrecht nach der Datenschutzgrundverordnung zu.

Diese Aussicht wiederum ist gerade in Deutschland wenig tröstlich. Das BMI möchte nämlich genau dieses Widerspruchsrecht, noch dazu ausgerechnet im Hinblick auf Profiling, beseitigen. Dies geht aus einem kürzlich veröffentlichten Referentenentwurf des BMI zur Anpassung des deutschen Datenschutzrechts an die Datenschutzgrundverordnung hervor. Dringt das BMI mit seinen Plänen durch, so würde das bedeuten, dass die ePrivacy-Verordnung auf ein Widerspruchsrecht in der Datenschutzgrundverordnung verweist, welches wiederum für Betroffene in Deutschland nicht verfügbar ist. An dieser Stelle wird einmal mehr deutlich, wie das Ziel, das Datenschutzniveau in Europa flächendeckend zu verbessern, durch Öffnungsklauseln für nationale Sonderwege schnell ausgehebelt und ins Gegenteil verkehrt werden kann. Es wäre daher wünschenswert, dass die ePrivacy-Verordnung an dieser Stelle eine eigene Regelung zum Widerspruchsrecht ohne Hintertüren für abweichende Regelungen der Mitgliedstaaten vorsehen würde, statt auf die Datenschutzgrundverordnung zu verweisen.

00006-protest-gesichter-fawks-quelle2

Telefonische Kommunikation: Mehr Souveränität für Endnutzerinnen und Endnutzer

Speziell für die „nummernbasierte interpersonale Kommunikation“, also Telefongespräche, verankert der Entwurf einige wichtige Kontrollrechte für Endnutzerinnen und Endnutzer. Anrufende und Angerufene können danach verlangen, dass ihre Rufnummern kostenlos verborgen werden. Ausnahmen bestehen bei Notfalldiensten und abweichenden Regelungen durch die Mitgliedstaaten. Außerdem müssen sie die Möglichkeit haben, Anrufe von bestimmten Nummern zu blocken und automatische Anrufweiterleitungen durch Dritte effektiv zu beenden. Bevor ihre Kontaktdaten in öffentliche, durchsuchbare Telefonbücher aufgenommen werden, müssen Endnutzerinnen und Endnutzer informiert und ihre ausdrückliche Einwilligung eingeholt werden.

Auch telefonisches Direktmarketing darf nur mit vorheriger Einwilligung der Betroffenen stattfinden. Dabei muss die Identität des Anschlusses, von dem aus der Kontakt aufgenommen wurde, erkennbar sein. Außerdem muss kenntlich gemacht werden, dass es sich um einen Direktmarketing-Anruf handelt. Leider erlaubt der Entwurf den Mitgliedstaaten an dieser Stelle Abweichungen zuungunsten der Betroffenen. So können nationale Regelungen vorsehen, dass Sprachanrufe nur bei Personen zulässig sind, die nicht ausdrücklich widersprochen haben. Statt des eigentlich vorgesehenen Opt-In-Modells können die Mitgliedstaaten sich hier also auch für eine Opt-Out-Lösung entscheiden.

Kein zahnloser Papiertiger: Diensteanbieter in der Pflicht

Der Entwurf der ePrivacy-Verordnung ist jedoch weit davon entfernt, ein bloßer zahnloser Papiertiger zu sein. So belässt er es nicht dabei, die Anbieter von Kommunikationsdiensten dazu zu verpflichten, Nutzerinnen und Nutzer über Risiken für die Sicherheit der Netzwerke und der Dienste zu informieren und, soweit das Risiko außerhalb ihres Einflussbereiches liegt, auf Abhilfemöglichkeiten sowie die dafür voraussichtlich anfallenden Kosten hinzuweisen. Vielmehr sieht er zur Durchsetzung von Betroffenenrechten und Anbieterpflichten ein umfangreiches rechtliches Instrumentarium vor.

Für Verstöße gegen die Vorgaben der Verordnung können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens verhängen. Diensteanbieter haften außerdem für alle materiellen und immateriellen Schäden, die Endnutzerinnen und Endnutzer durch die Verletzung der Verordnung erleiden, es sei denn, der Anbieter kann beweisen, dass er in keiner Weise für die Schäden verantwortlich ist.

Doch damit nicht genug: Gegen Verletzungen ihrer Rechte können Endnutzerinnen und Endnutzer Beschwerde bei den Aufsichtsbehörden einlegen. Gegen rechtlich bindende Entscheidungen der Behörden steht ihnen außerdem effektiver Rechtsschutz zu. Auch Dritte, die durch Verletzungen der Verordnung betroffen sind und ein berechtigtes Interesse daran haben, dass die Verletzung beendet oder verboten wird, können Rechtsmittel einlegen. Außerdem sieht der Entwurf vor, dass Endnutzerinnen und Endnutzer die Verteidigung ihrer Rechte nicht selbst in die Hand nehmen müssen, sondern eine gemeinnützige Organisation, die sich für den Datenschutz einsetzt, damit beauftragen können, in ihrem Namen Beschwerde einzulegen, Klage zu erheben oder Schadensersatz zu verlangen. Schließlich stellt es der Entwurf den Mitgliedstaaten auch noch frei, solchen Organisationen zu erlauben, unabhängig von Beauftragung durch Endnutzer Rechtsmittel gegen Verstöße einzulegen.

Fazit: Gute Ansätze verteidigen und ausbauen

Der Entwurf einer ePrivacy-Verordnung enthält viele gute Ansätze, die es im weiteren Gesetzgebungsverfahren gegen die erwartbaren Widerstände insbesondere von Seiten der Mitgliedstaaten zu verteidigen und auszubauen gilt. Gelingt dies, so wäre ein wichtiger Beitrag geleistet, um das Vertrauen in elektronische Kommunikationsdienste zu stärken. Dies würde nicht nur dem Schutz der Grundrechte und der Verbraucherinteressen dienen, sondern zugleich einheitliche Marktbedingungen für europäische und nicht-europäische Kommunikationsanbieter herstellen.

Offener Brief an Regierungen: Verschlüsselung stärken statt schwächen

Regierungen, Strafverfolgungsbehörden und Geheimdienste in aller Welt wünschen sich uneingeschränkten Zugriff auf verschlüsselte Daten. Nur wenn staatliche Stellen in der Lage seien, kryptographische Sicherungen zu umgehen, seien sie auch in der Lage, Cyberkriminalität und Terrorismus wirksam zu bekämpfen, so das gebetsmühlenartig wiederholte Credo; die Privatsphäre der Nutzerinnen und Nutzer, die Vertraulichkeit ihrer Kommunikation und die Integrität informationstechnischer Systeme müssten im Zweifel hinter höherwertigen Belangen wie der nationalen Sicherheit zurückstehen.

Dementsprechend versuchen derzeit Regierungen in der EU, den USA und vielen anderen Staaten auf der Welt, Online-Unternehmen zur Offenlegung verschlüsselt gespeicherter Daten zu verpflichten oder kryptographische Verfahren durch den Einbau von Hintertüren zu schwächen. Damit würden sie jedoch genau denjenigen in die Hände spielen, um deren Bekämpfung es vorgeblich geht: Cyberkriminelle und Terroristen könnten Schwachstellen in Verschlüsselungsverfahren ebenso für ihre Zwecke ausnutzen, wie dies für staatliche Stellen möglich wäre.

Das ist deshalb so verheerend, weil kryptographische Verfahren gerade in besonders sensiblen Bereichen dazu dienen, eine Vertrauensgrundlage zu schaffen, etwa bei elektronischen Transaktionen, bei der Ablage von Firmen- oder Personaldaten in der Cloud oder beim Online-Kontakt zwischen Journalisten und Informanten, zwischen Ärzten und Patienten, zwischen Rechtsanwälten und Mandanten. Mit anderen Worten: die Schwächung kryptographischer Verfahren bewirkt tatsächlich nicht mehr Sicherheit, sondern erodiert das Fundament der digitalen Gesellschaft.

Gemeinsam mit anderen Organisationen, Unternehmen und Einzelpersonen haben wir uns deshalb in einem offenen Brief an die Regierungen in aller Welt gewandt und sie dazu aufgefordert, den bisher eingeschlagenen Kurs in Sachen Verschlüsselung zugunsten echter Cybersicherheit aufzugeben. Konkret verlangen wir:

  • Keine Verbote oder Zugangsbeschränkungen für Verschlüsselung jeglicher Art
  • Keine Verpflichtung zu Schwachstellen in Werkzeugen, Technologien oder Diensten
  • Keine Verpflichtung, Dritten den Zugriff auf entschlüsselte Daten oder kryptographische Schlüssel zu erlauben
  • Keine Schwächung von Verschlüsselungsstandards und keine Verpflichtung zum Einsatz unsicherer Standards, Werkzeuge oder Technologien
  • Keine Beeinflussung von Einzelpersonen, Firmen oder anderen Organisationen in einer Art und Weise, die mit den vorstehenden Forderungen unvereinbar ist

Den offenen Brief sowie weitere Informationen zu der Kampagne und den Teilnehmern gibt es hier.

00006-protest-gesichter-fawks-quelle2

Vorratsdatenspeicherung: EU-Kommission soll Einführung in Deutschland stoppen

„Bereits im vergangenen Jahr hat der Europäische Gerichtshof der anlasslosen Protokollierung des Kommunikationsverkehrs eine klare Absage erteilt. Als Hüterin der Verträge ist die Kommission daher nun in der Pflicht, den deutschen Vorstoß zur Einführung der Vorratsdatenspeicherung zu stoppen. Der Gesetzentwurf verletzt die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten ebenso wie die Interessen von Berufsgeheimnisträgern.“, erklärt Volker Tripp, politischer Referent des Vereins Digitale Gesellschaft.

In einem heute versandten Schreiben ruft der Digitale Gesellschaft e.V. die EU-Kommission dazu auf, den Gesetzentwurf der Bundesregierung zur Wiedereinführung der Vorratsdatenspeicherung in Deutschland zu stoppen. Das Vorhaben verstößt nach Ansicht des Vereins gegen ein Urteil des Europäischen Gerichtshofs vom April 2014, in dem die verdachtsunabhängige Bevorratung von Verkehrs- und Standortdaten aus der elektronischen Kommunikation für unvereinbar mit dem Unionsrecht erklärt wurde. Der Verein macht geltend, dass die vorgesehene Speicherung anlasslos erfolgt, sich nicht auf das notwendige Mindestmaß beschränkt und die Interessen von Berufsgeheimnisträgern nicht in angemessener Weise berücksichtigt. Der Gesetzentwurf verletzt daher die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten.

Zurzeit prüft die EU-Kommission im Zuge einer sogenannten TRIS-Notifizierung, ob der deutsche Entwurf mit dem Unionsrecht vereinbar ist. Eine solche Notifizierung ist stets erforderlich, bevor ein EU-Mitgliedstaat technische Vorschriften ändert. Ab dem Zeitpunkt, in dem der Mitgliedstaat seinen Entwurf der Kommission vorlegt (hier: 5. Juni), gilt eine dreimonatige Stillhaltefrist, während der das Vorhaben nicht verabschiedet werden darf. Kommt die Kommission zu dem Ergebnis, dass der Entwurf mit dem EU-Recht unvereinbar ist oder weiterer Klärungsbedarf besteht, kann sie eine entsprechende Stellungnahme abgeben und Änderungen an dem Entwurf verlangen. In diesem Fall verlängert sich die Stillhaltefrist um einen weiteren Monat.

Das Schreiben an die EU-Kommission finden Sie hier (.pdf).

Spenden

Facebook: Tipps zur Wahrung der Privatsphäre

Zum 30. Januar 2015 hat Facebook seine Datenschutzbestimmungen und seine Cookies-Richtlinie geändert. Auf welche Neuerungen sich Nutzerinnen und Nutzer des sozialen Netzwerks deswegen einstellen müssen und was das für den Schutz ihrer Privatsphäre bedeutet, haben wir bereits im Dezember in einem Blogbeitrag zusammengefasst. Doch wie kann man sich vor dem Datenhunger des Unternehmens schützen, wenn man weiterhin bei Facebook bleiben möchte? Im Folgenden haben dazu wir einige nützliche Tipps zusammengestellt.

A. Tipps für PC und Laptop

Greift man über einen PC oder Laptop auf Facebook zu, hat man die besten Chancen, die Verfolgung des eigenen Surfverhaltens zu verhindern oder zumindest zu erschweren:

1. Zwei unterschiedliche Browser für Facebook und anderes verwenden

Facebook verfolgt die Nutzer über sogenannte Cookies. Das sind kleine Textdateien, die beim Besuch einer Webseite in einem Browserverzeichnis gespeichert werden. Sobald man sich einloggt, legt FB in einem auf den jeweiligen Browser beschränkten Verzeichnis eine solche Datei ab. Besucht man nun eine andere Seite, auf der ebenfalls ein Facebook-Script läuft, kann diese Seite das zuvor abgelegte Cookie lesen, Nutzerinnen und Nutzer auf diese Weise wiedererkennen und die Datei mit weiteren Informationen über das Surfverhalten anreichern.

Um diese Zugriffe zu verhindern, empfiehlt es sich, zwei unterschiedliche Browser zu verwenden – etwa mit einem Chrome-Browser ausschließlich Facebook zu nutzen und für alle anderen Aktivitäten im WWW zB Firefox zu verwenden. Firefox kann nicht auf die Chrome-Cookies zugreifen, und umgekehrt. Auf diese Weise erhält Facebook ausschließlich Daten über das, was die Nutzerinnen und Nutzer auf dem sozialen Netzwerk selbst tun, nicht aber über ihr sonstiges Verhalten im Netz.

2. Browsereinstellungen anpassen

Eine weitere Möglichkeit der Verfolgung durch Cookies zu entgehen, besteht darin, dem Browser das Speichern der Cookies von besuchten Webseiten und Drittanbietern zu verbieten. Im Einstellungsmenü von Firefox kann man dies unter dem Reiter “Datenschutz” vornehmen. Leider müssen Nutzerinnen und Nutzer bei dieser Variante mit Funktions- und Bequemlichkeitseinbußen beim Besuch von Webseiten rechnen.

3. BetterPrivacy beseitigt hartnäckige “Super-Cookies”

Neben den gewöhnlichen Cookies, die im Verzeichnis des jeweiligen Browsers gespeichert werden, gibt es auch noch sogenannte “Super Cookies”. Diese Dateien werden als “Locally Shared Objects” (LSOs) in einem zentralen Verzeichnis auf dem jeweiligen Rechner abgelegt und beim Beenden des Browsers nicht automatisch gelöscht. Das Plugin “Better Privacy” kann LSOs jedoch wahlweise beim Starten oder Beenden des Browsers effektiv löschen. Außerdem erlaubt es das Plugin auf Wunsch auch, einzelne LSOs gezielt zu beseitigen. Hat man “Better Privacy” installiert, sollte man also nach einer Facebook-Session einmal den Browser schließen und so das Löschen der vorhandenen LSOs herbeiführen oder zumindest gezielt die vorhandenen LSOs “von Hand” löschen.

4. NoScript blockt Javascript

Ein weiteres unerlässliches Browser-Plugin zum Schutz der Privatsphäre ist NoScript. NoScript blockt standardmäßig sämtliche Javascripte, so dass sie beim Besuch einer Webseite zunächst nicht ausgeführt werden. Das hat in der Regel zur Folge, dass Webseiten nicht mehr richtig funktionieren. Nutzerinnen und Nutzer haben deshalb die Möglichkeit, gezielt einzelne oder pauschal alle auf einer Seite laufenden Scripte temporär oder permanent zu erlauben. Beim Besuch von Facebook selbst sind eigentlich nur die Scripte “facebook.com” und “akamaihd.net” für den Betrieb der Seite erforderlich.  Bei vielen anderen Seiten laufen ebenfalls Scripte von Facebook oder kooperierenden Werbenetzwerken im Hintergrund, die für die Funktionalität dieser Seiten aber nicht zwingend benötigt werden. Bleiben diese Scripte geblockt, so kann Facebook einen Nutzer beim Besuch dieser Seite nicht wiedererkennen.

5. Ghostery blockt Tracker, Beacons und Widgets

Ebenfalls dringend zu empfehlen ist das Browser-Plugin “Ghostery”. Es blockt verschiedenste Techniken zur Ausforschung der Privatsphäre wie Werbetracker, Beacons (Zählpixel) und Widgets (kleine Anwendungen). So wirkt Ghostery zugleich als wirksamer Adblocker. Während manche Seiten (vor allem Online-Portale von TV-Sendern) nur funktionieren, wenn all diese Techniken nicht geblockt werden, sind sie für die Funktion der meisten Webseiten nicht erforderlich. Ghostery kann daher verhindern, dass Werbenetzwerke, die mit Facebook zusammenarbeiten und deren Tracker auch auf vielen anderen Webseiten laufen, Nutzerinnen und Nutzer wiedererkennen und ihre Profile mit weiteren Informationen über ihr Surfverhalten anreichern können.

6. Nützliche Webseiten

Auf Seiten wie www.meine-cookies.org können selbst Ungeübte den Status der Cookies auf dem eigenen Rechner überprüfen. Facebook selbst verweist in den Datenschutzeinstellungen außerdem auf die Online-Dienste www.aboutads.info und www.youronlinechoices.com, über die sich Cookies, Zählpixel und die von Facebook ebenfalls verwendete lokale Speicherung deaktivieren lassen.

7. Datenschutzeinstellungen von Facebook

In den Datenschutzeinstellungen können Nutzerinnen und Nutzer von Facebook Vorgaben zu “Webseiten Dritter” sowie “Werbeanzeigen und Freunde” machen. In den Optionen sollte stets “Niemand” ausgewählt und danach gespeichert werden, um die Verfolgung durch Facebook einzudämmen. Etwas schwieriger ist es bei “Werbeanzeigen basierend auf einer Nutzung von Webseiten oder Apps außerhalb von Facebook”. Hier besteht nur die Möglichkeit, über die nicht zu Facebook gehörenden Plattformen About Ads und Your Online Choices Werbeanbieter auszuschalten. Die betreffenden Firmen, neben Facebook auch große Unternehmen wie Amazon und Google sowie zahlreiche kleinere Anbieter, sind dann gehalten, das Surfverhalten der Nutzerinnen und Nutzer nicht weiter zu verfolgen. Ob sich diese Firmen tatsächlich an diese Vorgabe halten, ist allerdings kaum zu überprüfen.

Spenden

B. Tipps für Smartphones und Tablets

Bei der Nutzung von mobilen Geräten wie Smartphones und Tablets haben Nutzerinnen und Nutzer generell weniger direkte Konfigurationsmöglichkeiten als auf dem PC oder Laptop. Gleichwohl gibt es auch hier Möglichkeiten, die eigene Privatsphäre zu schützen. Je nach Betriebssystem stehen dafür unterschiedliche Apps zumeist kostenlos zur Verfügung.

Für Smartphones und Tablets mit Android-Betriebssystem sind vor allem folgende Apps zu empehlen:

1. Tinfoil

Mit der kostenlosen App Tinfoil wird Facebook nur abgeschirmt vom Rest des Systems im sogenannten Sandkasten-Modus (sandbox mode) ausgeführt. Auf diese Weise kann die App den Datenverkehr zwischen Facebook und dem eigenen Smartphone kontrollieren und begrenzen.

2. Privacy Fix

Die Gratis-App Privacy Fix bietet ein übersichtliches Dashboard, auf dem Nutzerinnen und Nutzer verfolgen können, mit wem sie welche Inhalte bei Facebook, Google, Twitter und LinkedIn teilen.

3. Privacy Scanner für Facebook

Der nur in englischer Sprache, dafür aber kostenlos verfügbare Privacy Scanner für Facebook überprüft die Datenschutz-Einstellungen eines Facebook-Kontos und empfiehlt Nutzerinnen und Nutzern Änderungen, mit dem sie den Schutz ihrer Privatsphäre verbessern können.

4. Permission Manager

Über den kostenlosen Permission Manager haben Nutzerinnen und Nutzer Zugriff auf versteckte Parameter (sogenannte App Ops), die nicht im Einstellungsmenü des jeweiligen Android-Gerätes angezeigt werden. Außerdem schlägt der Permission Manager Alarm, wenn Apps versuchen, private Informationen abzurufen. Auf diese Weise können die Privatsphäreeinstellungen für sämtliche Apps vorgenommen und effektiv kontrolliert werden.

Für Telefone und Tablets mit Apples iOS-Betriebssystem können folgende Apps beim Schutz der Privatsphäre nützlich sein:

1. Permission Manager

Den oben bereits dargestellten Permission Manager gibt es auch für Geräte mit iOS-Betriebssystem.

2. Wickr

Um Facebook das Mitlesen und Analysieren von Chatinhalten im Rahmen seines Messenger-Dienstes zu erschweren, können mit der Gratis-App Wickr selbstzerstörende Nachrichten versandt werden. Wickr wandelt Nachrichten in einen Link um, den man statt des eigentliches Textes in den Facebook-Messenger kopiert. Klickt der Empfänger auf den Link, so zeigt Wickr die eigentliche Nachricht an und bietet außerdem die Möglichkeit, diese sogleich zu löschen. Auf diese Weise laufen die Analyse-Algorithmen von Facebooks ins Leere.

C. Generelle Tipps für Smartphones und Tablets

Statt auf mobilen Endgeräten die Facebook-App zu verwenden, kann man das soziale Netzwerk ähnlich wie auf einem PC auch über einen Browser nutzen. Dies hat den Vorteil, dass sich über das Einstellungsmenü Funktionen wie „Kein Tracking“ aktivieren und der Einsatz von Cookies blockieren lassen.

Wer weiter auf die Facebook-App setzen möchte, sollte in den Datenschutzeinstellungen die Berechtigungen für den Zugriff auf die eigenen Daten möglichst strikt halten. Bei iOS-Systemen empfiehlt es sich, im Menü Einstellungen-Datenschutz unerwünschte Berechtigungen wie etwa die Ortungsfunktion abzuschalten.

OpenDataCity macht Gefahren der Vorratsdatenspeicherung sichtbar

Heute hat die Agentur OpenDataCity eine Visualisierung der Verbindungs- und Standortdaten des schweizerischen Nationalrats und Fraktionspräsidenten der Grünen, Balthasar Glättli, online gestellt. Die Veröffentlichung ist vor allem für die derzeit mit zunehmender Härte geführte Debatte um die Einführung der Vorratsdatenspeicherung in Deutschland von Bedeutung.

Die grafische Aufbereitung auf der Webseite von OpenDataCity vermittelt auf ebenso eindringliche wie anschauliche Weise, welche Gefahren für die Privatsphäre mit der mehrmonatigen anlasslosen Protokollierung der Verbindungsdaten verbunden sind. Auf einer interaktiven Karte lässt sich anhand der Verbindungsdaten nahezu hausnummerngenau nachvollziehen, wo sich der Politiker zu einem beliebigen Zeitpunkt des ersten Halbjahres 2013 aufgehalten hat. Wann er mit wem per Telefon oder SMS in Kontakt getreten ist, ist parallel dazu ebenso ersichtlich wie Zeitpunkte, Absender, Empfänger und Betreffzeilen der bei ihm ein- und ausgegangenen Emails. Eine Kalenderansicht bietet außerdem einen Überblick darüber, an welchen Tagen er sich vorwiegend etwa im Großraum Zürich, Bern oder Basel aufgehalten hat. Im Verhältnis zu einem ähnlichen Projekt der Agentur mit dem Grünen-Politiker Malte Spitz aus dem Jahre 2011 konnte OpenDataCity bei der Visualisierung der Glättli-Daten die Geolokation sogar noch weiter präzisieren, da dieses Mal die genauen Standorte der Funkmasten, über welche die Verbindungsdaten erfasst wurden, bekannt waren.

“Mit der Visualisierung macht OpenDataCity genau die Gefahren für die Privatsphäre sichtbar, die den Europäischen Gerichtshof bereits Anfang April dazu veranlasst hatten, die EU-Richtlinie zur Vorratsdatenspeicherung rückwirkend aufzuheben. Selbst den eifrigsten Befürwortern einer anlasslosen Massenspeicherung in Deutschland wird damit klar vor Augen geführt, wie das Leben eines Menschen mit Hilfe von Verbindungsdaten nahezu lückenlos verfolgt und seine Privatsphäre fast vollständig ausgeforscht werden kann. Wer die Hoheit über diese Daten besitzt, verfügt zugleich über ein enormes Manipulations- und Erpressungspotential auch und gerade gegenüber öffentlichen Personen wie Politikern. Für eine freiheitliche Gesellschaft und eine rechtsstaatliche Demokratie sind derartige Risiken grundweg inakzeptabel.”, erklärt Volker Tripp, politischer Referent des Vereins Digitale Gesellschaft.

Wie auch der EuGH in seinem Urteil zutreffend feststellt, stehen diese tiefgreifenden Gefahren völlig außer Verhältnis zum empirisch nicht nachgewiesenen Nutzen der Vorratsdatenspeicherung für die Strafverfolgung. Ungeachtet dessen beharren insbesondere Vertreter von Sicherheitsbehörden und Innenpolitiker der Großen Koalition weiter darauf, die anlasslose Massenspeicherung sämtlicher Verbindungsdaten in Deutschland einzuführen. Mit welchen immensen Begründungsschwierigkeiten die Law-and-Order-Hardliner dabei zu kämpfen haben, zeigt nicht zuletzt der misslungene Versuch, die Vorratsdatenspeicherung in der öffentlichen Debatte als “private Vorsorgespeicherung” zu verharmlosen. In dieselbe Richtung weist jedoch vor allem der Vorwurf, die Gegner der Vorratsdatenspeicherung nähmen billigend in Kauf, dass Straftaten im Bereich der Kinderpornographie nicht effektiv verfolgt werden könnten.

Volker Tripp kommentiert: “Der Rückgriff auf derart sachlich falsche und beschämend populistische Unterstellungen kommt einem politischen Offenbarungseid gleich. Mehr als die offensichtlich beabsichtigte Diffamierung der Vorratsdatenspeicherungsgegner bestürzt uns mit Blick auf die Versäumnisse der Strafverfolgungsbehörden dabei vor allem die schamlose Instrumentalisierung der Opfer solch schwerer Verbrechen. Wie jüngst der Fall Edathy zeigte, werden Ermittlungen in Fällen des Besitzes und der Verbreitung kinderpornographischen Materials bedauerlicherweise häufig erst mit vielen Monaten oder sogar Jahren Verspätung in Gang gesetzt. Eine Erklärung dafür, wie eine dreimonatige Speicherung der Verbindungsdaten angesichts dieser behördlichen Unzulänglichkeiten bei der Aufklärung behilflich sein soll, sind die Befürworter der Vorratsdatenspeicherung bislang schuldig geblieben. Statt diesen Stimmen nachzugeben, muss die Bundesregierung dem Grundrechtsschutz deshalb endlich oberste Priorität einräumen und das Vorhaben Vorratsdatenspeicherung ersatzlos beerdigen.”

Koalitionsverhandlungen: Unsere Forderung zum Verbot von Deep Packet Inspection wird endlich erfüllt

In den Koalitionsverhandlungen haben sich CDU/CSU und SPD auf ein gesetzliches Verbot von Deep Packet Inspections (DPI, Nacktscanner fürs Internet) geeinigt.

DPI wird etwa von Providern eingesetzt, um einzelne Dienste bevorzugt zu behandeln oder auch ganz auszusperren. Damit wird die Netzneutralität verletzt, es entstehen aber auch Gefahren für die Privatsphäre, sowie Meinungs- und Informationsfreiheit. In dem Passus des verhandelten Papiers der Parteien heißt es: „Deep Packet Inspection zur Diskriminierung von Diensten oder Nutzern werden wir gesetzlich untersagen.“

Wir freuen uns sehr über diese Entwicklung. Stellt euch vor, die Post öffnet alle eure Briefe und liest den Inhalt. Manche schreibt sie um – und andere schmeißt sie einfach weg. Genau dies wird im Netz durch DPI ermöglicht. Im Internet werden Daten in kleine Datenpakete verpackt und darin verschickt. Jedes Paket hat einen Umschlag, auf dem Absender und Empfänger stehen. Diese Informationen sind notwendig, damit die im Internet verschickten Daten auch ankommen. Für den Transport der Pakete reicht es vollkommen aus, nur diese Informationen auf dem Umschlag zu lesen. Aber immer mehr Provider öffnen die Pakete und spionieren den Inhalt der Daten aus, etwa um Dienste zu drosseln oder zu sperren. Diese Vorgehen ist absolut inakzeptabel und verletzt das Prinzip der Netzneutralität und eure Privatsphäre.

Bereits im vergangenen Jahr haben wir unsere Forderung zum gesetzlichen Verbot der DPI durch eine gezielte Kampagne unterstrichen. Nun werden unsere Forderungen endlich erhört. Wir erwarten von einer künftigen Großen Koalition nun, dass sie ihren Worten rasch Taten folgen lässt. Es muss – wie bei Briefpost und Telefonie – das Ende-zu-Ende-Prinzip gelten: Die Inhalte unserer Daten gehen nur Sender und Empfänger etwas an, Übermittler dürfen nur auf den Umschlag schauen.

Unsere Informationsbroschüre zu DPI findet ihr hier (.pdf).

UPDATE: Mittlerweile liegt der endgültige Text der Arbeitsgruppe vor. Unsere Einschätzung dazu findet ihr hier.

Datenschutz

Datensouveränität stärken, Datenkraken an die Kette legen. Read More…