In diesem Digest von AdGuard: Chrome kann sich nicht von Cookies von Drittanbietern verabschieden, Twitter erleidet eine Datenverletzung, europäische Länder halten Google für nicht sicher für Schulen, smarte Türklingeln geben Daten an die Polizei weiter (ohne Durchsuchungsbefehl), das Vereinigte Königreich will, dass Technologieunternehmen Telefone scannen, während die USA Standortdaten von Mobiltelefonen speichern.

Führende Netzbetreiber testen neue Cookie-freie Methode zur Nutzerverfolgung

Europas führende Telekommunikationsanbieter, Vodafone und Deutsche Telekom, haben ein neues Tracking-Tool getestet, das möglicherweise Cookies von Drittanbietern ersetzen kann. Während die alte Tracking-Methode auf der Speicherung von Website-Abdrücken auf dem Gerät beruht, ermöglicht ein neues Tool namens TrustPid den Dienstanbietern, alle Daten zu speichern. Mit TrustPid weisen die Betreiber den Nutzer:innen auf der Grundlage ihrer IP-Adressen „pseudo-anonyme Tokens“ zu. Wenn Website-Betreiber, die aufgrund der Abschaffung der Cookies von Drittanbietern kaum noch über Nutzerdaten verfügen, mehr über ihre Besucher:innen wissen wollen, können sie diese Kennung abrufen und Werbung personalisieren. Während Websites vielleicht nicht in der Lage sind, einzelne Nutzer:innen zu identifizieren, könnten Netzbetreiber dies problemlos tun.

Der Mechanismus sei „datenschutzfreundlich“, steht's auf der TrustPid-Website, wird aber bereits mit einem umstrittenen Tracking-Code verglichen, der als „Supercookie“ bekannt ist. Im Gegensatz zu einem normalen Cookie, der gelöscht und blockiert werden kann, ist dies bei einem „Supercookie“ nicht möglich, da er nicht auf dem Gerät gespeichert wird. Der US-amerikanische Mobilfunkbetreiber Verizon wurde 2016 zu einer Geldstrafe verurteilt, weil er ohne Zustimmung „Supercookies“ in die Browseranfragen von Nutzer:innen eingefügt hatte. Laut Vodafone ist TrustPid kein „Supercookie“ und entspricht der DSGVO.

Dies ist ein anderer Fall, in dem Technologieunternehmen versuchen, unter dem Deckmantel des Datenschutzes Beschränkungen für das Tracking zu umgehen. Mit dem bevorstehenden Ende der Cookies von Drittanbietern versuchen die Unternehmen, neue Wege zur Erfassung von Nutzerdaten zu finden. Die Unternehmen versuchen, neue Tracking-Technologien einzusetzen, um sich ein Stück des Werbemarktes zu sichern. Die Ironie dabei ist, dass sie ihr Streben nach Werbeeinnahmen als etwas Gutes für Nutzer:innen darstellen.

Dänemark und die Niederlande schränken Nutzung von Google-Diensten in Schulen ein

Das neue Schuljahr rückt näher, und Dänemark hat die Jagd auf Google eröffnet. Die dänische Datenschutzbehörde hat die Verwendung von Chromebooks und Google Workspace für die Verarbeitung personenbezogener Daten in Schulen verboten. Das Verbot gilt direkt für eine Gemeinde, aber anderen wird empfohlen, dem Beispiel zu folgen. Die Behörde entschied, dass die Art und Weise, wie der Tech-Gigant personenbezogene Daten verarbeitet, nicht mit dem Europäischen Datenschutzgesetz (DSGVO) übereinstimmt. Sie kritisierte insbesondere die Tatsache, dass Google Daten in Drittländer wie die USA „ohne das erforderliche Sicherheitsniveau“ übermitteln kann. Google Workplace for Education umfasst gängige Bildungstools wie Google Classroom, Google Docs, Google Slides, Gmail, Google Meet und Google Drive.

Inzwischen hat das niederländische Bildungsministerium die Schulen aufgefordert, zusätzliche Maßnahmen zur Datensicherheit zu ergreifen, wenn sie Googles Webbrowser Chrome und Chrome OS verwenden. In ihrem derzeitigen Zustand sind die beiden Dienste nicht DSGVO-konform und werden es voraussichtlich erst im August 2023 sein, wenn Google ihre aktualisierten Versionen veröffentlicht. Bis dahin müssen sich Schulen, die Chrome weiter nutzen wollen, an die Regeln halten, die für einige Lernende sicher unangenehm sind. So müssen die Schulen beispielsweise die automatische Übersetzung von Websites deaktivieren, die Rechtschreibprüfung abschalten, die Personalisierung von Anzeigen abschalten und sicherstellen, dass die Daten in Europa gespeichert werden. Die Schulen werden auch dazu angehalten, die Google-Suchmaschine abzuschalten und sich für datenschutzfreundlichere Optionen wie DuckDuckGo zu entscheiden.

Wenn Googles Praktiken zur Weitergabe von Daten den Regierungen Anlass zur Sorge geben, sollte es auch Sie alarmieren.

5,4 Millionen Twitter-Kontodaten stehen zum Verkauf

Es sieht so aus, als würde Twitter nicht zur Ruhe kommen. Neben dem sich abzeichnenden Rechtsstreit mit Elon Musk wegen eines unglücklichen Übernahmeangebots hat der Social-Media-Gigant einen weiteren Rückschlag erlitten. Eine Datenbank mit Telefonnummern und E-Mail-Adressen von 5,4 Millionen Twitter-Konten wurde für 30.000 Dollar zum Verkauf angeboten. Die Daten wurden angeblich im Dezember 2021 abgegriffen und durch eine Sicherheitslücke erlangt, die inzwischen geschlossen wurde. Das Archiv enthält öffentliche Twitter-Profilinformationen (einen Spitznamen und eine Profilbeschreibung) sowie eine Telefonnummer bzw. eine E-Mail-Adresse.

Die Sicherheitslücke stellt eine große Bedrohung für Twitter-Nutzer:innen dar, insbesondere für öffentliche Personen — es sieht so aus, als ob wir in Zukunft mehr Social-Media-Krypto-Betrügereien mit Prominenten sehen werden. Außerdem können Angreifer durch den Abgleich von E-Mails der Nutzer:innen mit bekannten Datenbanken versuchen, Schmutz über Politiker, Aktivisten und Prominente auszugraben und sie zu erpressen. Besonders gefährdet sind Personen, die sich mit derselben E-Mail-Adresse auf vielen Websites anmelden, auch auf solchen mit fragwürdigem oder verbotenem Inhalt, wie Pornoseiten oder illegalen Marktplätzen. Im Allgemeinen ist es besser, eine spezielle E-Mail für soziale Medien zu verwenden, um zu vermeiden, dass Ihre Daten bei solchen Verstößen kompromittiert werden.

Es mag den Anschein erwecken, dass große Unternehmen mit einer ausgeklügelten Sicherheitsinfrastruktur (wie Twitter) immun gegen Bugs und Lecks sind, aber das ist ein falscher Eindruck — bedenken Sie das, wenn Sie ihnen Zugang zu Ihren Daten gewähren.

Langer Abschied: Chrome verzögert die Abschaffung von Drittanbieter-Cookies noch einmal

Der Abschied von Cookies von Drittanbietern scheint für Google zu schmerzhaft zu sein. Der Tech-Gigant hat angekündigt, dass er die Abschreibung des Tracking-Mechanismus in seinem Chrome-Browser verzögern wird, dieses Mal bis zur zweiten Hälfte des Jahres 2024.

Während Safari und Firefox Cookies von Drittanbietern standardmäßig blockieren, plante Google ursprünglich, die Unterstützung für Cookies von Drittanbietern im Rahmen der Privacy Sandbox-Initiative bis 2022 einzustellen. Diese Frist wurde zunächst auf 2023 verschoben und nun auf 2024.

Anfang dieses Jahres veröffentlichte Google seine Privacy Sandbox-Initiative, deren erklärtes Ziel war, die Interessen der datenschutzbewussten Nutzer:innen mit den Interessen der Werbetreibenden in Einklang zu bringen. Dazu sollten Cookies von Drittanbietern durch einen Mechanismus namens Topics ersetzt werden. Topics wird als datenschutzfreundliche Alternative zum Tracking angekündigt, zementiert aber leider nur das Werbemonopol von Google und ermöglicht es Big Tech weiterhin, einzelne Nutzer:innen zu identifizieren. Lesen Sie unseren ausführlichen Bericht über Topics und die Privacy Sandbox.

Notfall! Google und Amazon ermöglichen der Polizei den Zugriff auf Türklingel- und Kameradaten

Die zu Google gehörende Firma Nest und die zu Amazon gehörende Firma Ring, die beide smarte Videotürklingeln und Sicherheitskameras für den Hausgebrauch vertreiben, haben bestätigt, dass sie der Polizei im Falle eines „Notfalls“ ohne Zustimmung der Nutzer:innen und ohne Haftbefehl Zugang zu privaten Videodaten gewähren können. Ring hat enthüllt, dass es in diesem Jahr bisher 11 solcher Anfragen stattgegeben hat, von denen einige Entführungen, Selbstverletzungen und Mordversuche betrafen. Nest sagte, es behalte sich das Recht vor, solchen Anfragen stattzugeben, habe dies aber noch nicht getan.

Es ist unklar, ob Ring seine Kund:innen benachrichtigt, nachdem das Unternehmen Nutzerdaten an die Strafverfolgungsbehörden weitergegeben hat. Nest sagte, dass es normalerweise Nutzer:innen über Notfallanfragen benachrichtigt, es sei denn, es ist gesetzlich verboten.

Nach US-amerikanischem Recht dürfen Unternehmen, die Videoaufnahmen verarbeiten, Anfragen ohne Durchsuchungsbefehl nachkommen. Sie sind aber rechtlich nicht dazu verpflichtet, dies zu tun. Diese Praxis ist besorgniserregend, da sie anfällig für polizeiliche Übergriffe und Missbrauch ist. Ohne rechtliche Aufsicht erhalten die Unternehmen das alleinige Recht zu entscheiden, ob ein bestimmter Vorfall ein Notfall ist, und die Nutzer:innen sollten es sich zweimal überlegen, bevor sie solchen Unternehmen ihre Daten anvertrauen.

In Smart-Home-Systeme eingebaute Hintertüren ermöglichen es Technologieunternehmen, nach Belieben auf Nutzerdaten zuzugreifen. Doch die Nutzer:innen bezahlen für diese Funktionalität, obwohl sie sie nicht unbedingt brauchen. Den Nutzer:innen bleibt also nichts anderes übrig, als die Schnüffelei der Technikkonzerne aus der eigenen Tasche zu finanzieren. Die einzige Alternative ist, diese Produkte nicht zu kaufen.

Großbritannien drängt Tech-Giganten dazu, Handys auf sexuellen Kindesmissbrauch zu untersuchen

Verantwortliche für Cybersicherheit im Vereinigten Königreich haben Technologieunternehmen dazu aufgerufen, Software für das Scannen von Handys auf der Client-Seite zu entwickeln. Die Idee steht im Einklang mit dem vorgeschlagenen britischen Gesetzentwurf zur Online-Sicherheit. Wenn es angenommen wird, könnte es Online-Plattformen dazu zwingen, die Inhalte der Nutzer:innen auf sexuelles Kindermaterial und Terrorismus zu scannen.

Die Idee ähnelt Apples Versuch, die Erkennungsfunktion der CSAM im letzten Jahr einzuführen. Apple sah sich einer Gegenreaktion von Datenschützern gegenüber, die argumentierten, dies würde die Ende-zu-Ende-Verschlüsselung gefährden, und verschob schließlich die Einführung der Funktion. Anfang dieses Jahres schlug die Europäische Kommission ein Gesetz vor, das Technologieunternehmen dazu verpflichten würde, Nachrichten auf CSAM-Material zu scannen und „Grooming“ in Nachrichten zu erkennen.

Das Vereinigte Königreich will vielleicht die Gratwanderung zwischen Privatsphäre und Kinderschutz schaffen, aber wenn die Ende-zu-Ende-Verschlüsselung erst einmal untergraben ist, gibt es kein Zurück mehr. Wir sind aus erster Hand Zeuge eines beunruhigenden Trends: Erst in der EU und jetzt im Vereinigten Königreich wird die Privatsphäre unter dem Vorwand des Kinderschutzes ausgehöhlt. Die Wirksamkeit der Maßnahme ist fraglich, während der Schaden für die Privatsphäre der Nutzer:innen irreparabel und lang anhaltend sein wird.

Datenbroker verkaufen Standortinformationen an US-Regierung

Dokumente, die die Amerikanische Bürgerrechtsvereinigung (ACLU) erhalten hat, zeigen, dass die US-Regierung Telefonstandortdaten in großen Mengen von zwei Brokern gekauft hat, ohne jegliche gerichtliche Aufsicht. US-Behörden, die für Einwanderung und Grenzsicherheit zuständig sind, kauften von 2017 bis 2019 große Mengen an Daten von Venntel und Babel Street. In einem Fall erhielt die US-Zoll- und Grenzschutzbehörde (CBP) innerhalb von drei Tagen 133.654 Standortdaten von Mobiltelefonen.

Die ACLU sieht in dieser Praxis eine ungerechtfertigte Verfolgung, die sich auf Daten stützt, die „still und leise aus Smartphone-Apps extrahiert werden“.

App-Entwickler können Software Development Kits (SDKs) von Drittanbietern in ihre Apps einbetten, damit sie den Standort der Nutzer:innen verfolgen können. Auf diese Weise sparen die Entwickler Geld und Zeit, um eigene Lösungen zu entwickeln. Einige SDKs können jedoch Nutzerdaten an Dritte weitergeben und diese verkaufen. Wir haben bereits über einen SDK-Anbieter namens SafeGraph berichtet, der Standortdaten über die Kund:innen von Abtreibungskliniken verkauft hat. Ihre Privatsphäre können Sie schützen, indem Sie Apps nur die erforderlichen Berechtigungen erteilen. Und wenn Sie Ihrer App erlauben müssen, Ihren Standort zu ermitteln (z. B. wenn es sich um eine Wetter-App handelt), dann sollten Sie überprüfen, ob sie Ihre Standortdaten nicht an andere weitergibt.