Neuer Facebook-Skandal, Telegram, Mozillas Keksdosen und zu neugierige Apps. AdGuards Digest

In dieser Ausgabe von AdGuards Digest: Facebook wird beschuldigt, sensible medizinische Daten zu sammeln, Telegram arbeitet mit Google und möglicherweise mit der Polizei zusammen, Mozilla kämpft gegen Tracker, Schul-Apps spionieren Kinder aus, Twitter missbraucht Nutzerdaten und die USA nähern sich der Veröffentlichung eines Bundesgesetzes zum Datenschutz.

Facebook-Tool sammelt medizinische Daten von Krankenhaus-Websites

Eine Nachricht, die niemanden überraschen wird: Es wurde festgestellt, dass das Werbetracking-Tool von Facebook sensible medizinische Daten, die von Krankenhaus-Websites gesammelt wurden, an Facebook sendet. Die Untersuchung von The Markup ergab, dass das Meta Pixel Tool (auch bekannt als Facebook Pixel) in Dutzende von US-Krankenhaus-Websites integriert wurde, darunter auch in ein großes Kinderkrankenhausnetzwerk. Sobald ein Patient oder ein Elternteil auf eine Schaltfläche geklickt hatte, um einen Termin zu vereinbaren, übermittelte Meta Pixel dem Tech-Giganten den Krankheitsnamen, den Namen des Arztes, das Suchwort, mit dem der Arzt gefunden wurde, und andere Daten. Im Falle des Kinderkrankenhauses konnte Facebook sogar den vollständigen Namen des Kindes mit der IP-Adresse erhalten. Der Tracker wurde auch in vermeintlich sicheren Patientenportalen gefunden, was bedeutete, dass Facebook herausfinden konnte, welche Medikamente die Besucher:innen einnahmen und welche allergischen Reaktionen sie hatten.

Das Unternehmen Meta, Eigentümer von Facebook, hat bestritten, dass es die sensiblen Patientendaten gesammelt hat, und erklärt, es habe spezielle Filter eingerichtet, um die Übermittlung dieser Daten zu verhindern. Mehrere Krankenhäuser haben den Code inzwischen von ihren Websites entfernt, und in Kalifornien wurde eine Sammelklage eingereicht, in der Facebook beschuldigt wird, gegen medizinische Datenschutzgesetze zu verstoßen. Die Kläger:innen geben an, dass sie nicht weniger als „664 Krankenhaussysteme oder Webseites von medizinischen Anbietern identifiziert haben, bei denen Facebook über den Facebook Pixel Patientendaten erhalten hat”.

Facebooks Appetit auf das Sammeln von Daten scheint keine Grenzen zu kennen, und es sieht so aus, als ob der Tech-Gigant bereit ist, große Anstrengungen zu unternehmen, um Zugang zu Nutzerdaten zu erhalten. Es fällt schwer, die Behauptungen von Facebook, es erhalte keine Patientendaten, ernst zu nehmen, denn das Unternehmen wurde schon zu oft bei der Verletzung der Privatsphäre seiner Nutzer:innen auf frischer Tat ertappt.

Et tu, Brute? Telegram teilt Daten mit Google und möglicherweise der Polizei

Telegram bricht mit seiner langjährigen Politik, keine Nutzerdaten an Dritte weiterzugeben, und hat Berichten zufolge der deutschen Polizei Informationen über Kindesmissbrauch und Terrorismusverdächtige zur Verfügung gestellt, heißt es im „Spiegel“. Der Messenger soll auch ein spezielles E-Mail-Konto eingerichtet haben, an das die Polizei ihre Anfragen schicken kann. Letztes Jahr wurde berichtet, dass Telegram ein hohes Bußgeld droht, wenn es einen solchen Rückkanal nicht einrichtet.

Telegram hat sich noch nicht zu seiner angeblichen Unterstützung der deutschen Polizei geäußert. Wenn das stimmen würde, würde es zeigen, dass selbst Unternehmen mit strengen Datenschutzrichtlinien nicht resistent gegen Druck sind, insbesondere wenn dieser im Namen des Schutzes Unschuldiger ausgeübt wird. Die EU hat eine Gesetzgebung eingeführt, die darauf abzielt, Textnachrichten auf Anzeichen von sexuellem Kindesmissbrauch zu überprüfen. Leider sieht es so aus, als ob der Schutz von Kindern zu einem Mittel wird, um Online-Plattformen zur Offenlegung von Nutzerdaten zu zwingen.

Auf seiner Website behauptet Telegram, dass es noch kein einziges Datenbyte an Dritte weitergegeben hat, weder an Regierungen noch an andere Personen.

„Bis zum heutigen Tag haben wir 0 Byte Nutzerdaten an Dritte weitergegeben, einschließlich aller Regierungen.“

Während Telegram die Zusammenarbeit mit der Polizei weder bestätigt noch bestritten hat, kündigte es offen an, dass es im Rahmen seines Premium-Tarifs Daten mit Google teilen würde. Die neue Premium-Funktion von Telegram basiert auf die Google-Technologie, um Audionachrichten zu transkribieren. Gemäß der Vereinbarung zwischen Telegram und Google ist es letzterem untersagt, Transkripte und Audiodaten zu protokollieren und sie für keine anderen Zwecke, einschließlich Werbung, zu verwenden. Doch allein die Tatsache, dass Telegram seine Nutzerdaten Google anvertraut hat, ist an sich schon besorgniserregend.

Firefox verhindert seitenübergreifendes Tracking, indem er Cookies in „Keksdosen” packt

Mozilla hat es sich zur Aufgabe gemacht, das Internet zu ordnen und Cookies von Drittanbietern in „cookie jars” zu verstecken, die nur für die Website sichtbar sind, die sie platziert hat. Die neue Funktion ist für alle Nutzer:innen des Firefox-Browsers auf dem Desktop standardmäßig aktiviert (für mobile Geräte ist sie noch nicht verfügbar). Cookies von Drittanbietern sind kleine Textdateien, die von verschiedenen Werbetreibenden in Ihrem Browser platziert werden, damit sie Sie im Internet verfolgen können. Mozilla will nun verhindern, dass Tracker auf die Cookies der anderen zugreifen können.

„Keine anderen Websites können in „cookie jars” greifen, die ihnen nicht gehören, und herausfinden, was die Cookies der anderen Websites über Sie wissen — das gibt Ihnen Freiheit von aufdringlicher Werbung und reduziert die Menge an Informationen, die Unternehmen über Sie sammeln”, so Mozilla.

Im Gegensatz zu einigen anderen Technologieunternehmen (wir wollen nicht mit dem Finger auf sie zeigen), scheint Mozilla in Bezug auf den Datenschutz eine klare Linie zu verfolgen. Es ist erwähnenswert, dass Mozilla auch beschlossen hat, Werbeblocker in Firefox in ihrer ursprünglichen, leistungsstarken Form zuzulassen, indem sie sich für die Implementierung der Teile von Manifest 3 entschieden hat: wir haben hier ausführlicher darüber geschrieben.

EdTech-Produkte verraten Informationen über Kinder an Werbetreibende

Etwa 90% der staatlich geförderten EdTech-Plattformen in 49 Ländern haben während der Pandemie die Rechte der Kinder mit Füßen getreten, indem sie sie im Internet und außerhalb des Unterrichts verfolgten. Viele erlaubten Werbetreibenden, die persönlichen Daten der Schüler:innen zu nutzen. Das berichtet Human Rights Watch, das 164 Online-Tools für den Fernunterricht untersuchte.

„Human Rights Watch beobachtete, dass 146 EdTech-Produkte personenbezogene Daten von Kindern direkt an 196 Drittunternehmen, hauptsächlich aus der Werbebranche, übermittelten oder ihnen Zugang dazu ermöglichten”, heißt es in dem Bericht. Die Daten wurden hauptsächlich an die AdTech-Giganten — Google und Facebook gesendet. Darüber hinaus verwendeten acht Websites eine ausgeklügelte Tracking-Methode, die als „Canvas Fingerprinting” bekannt ist und keine Cookies benötigt.

Kinder und Eltern wurden zumeist über die Datensammelgewohnheiten der Apps im Unklaren gelassen. In den meisten Fällen wurde das Kind vor eine unmögliche Wahl gestellt: entweder weiter zu lernen oder sich gegen die Überwachung zu entscheiden.

Wir bei AdGuard sind überzeugt, dass die Privatsphäre von Kindern ebenso wie die von Erwachsenen standardmäßig geschützt werden sollte. Ein Kind sollte seine Privatsphäre nicht für seine Ausbildung opfern und umgekehrt. Die Praxis, Kinder im Alter von 9 Jahren mit personalisierter Werbung anzusprechen, ist einfach unmoralisch.

Die Nachricht selbst ist jedoch kaum schockierend, da die Methoden der Datenerfassung immer heimlicher und aufdringlicher werden...

Copy-Paste ist schlecht, aber nicht so, wie Sie denken

…Dies zeigt der Fall von 11 Android-Apps mit über 45 Millionen Downloads, die heimlich GPS-Daten, E-Mail-Adressen und Telefonnummern der Nutzer:innen über eine SDK eines Drittanbieters namens Coelib weitergegeben haben. AppCencus hat Anfang des Jahres berichtet, dass das fragliche Software Development Kit (SDK) unter anderem Teil mehrerer Koran-Apps, eines Barcode-Scanners und einer WLAN-Maus war. Eine der Apps, Simple Weather & Clock Widget, hat alles, was ein Nutzer / eine Nutzerin kopiert und eingefügt hat, auf die Server des SDK-Anbieters hochgeladen. Google hat die Apps letztes Jahr aus seinem Play Store entfernt, und seitdem sind sie alle wieder da, allerdings ohne die anstößige SDK.

Wir empfehlen Nutzer:innen dringlich, nur Apps von vertrauenswürdigen Entwicklern zu installieren und ihnen nur die nötigsten Berechtigungen zu erteilen.

In Indien können Mobilfunk-Anbieter verpflichtet werden, den Namen des Anrufers zu veröffentlichen

Die indische Telekom-Regulierungsbehörde arbeitet an einem neuen Mechanismus, der es den Anbietern vorschreibt, bei jedem Klingeln eines Telefons den vollständigen Namen des Anrufers auf dem Bildschirm anzuzeigen. Die Anbieter müssen die Anruferdaten aus ihren KYC-Aufzeichnungen (Know Your Customer) beziehen. Wenn ein Kunde / eine Kündin eine SIM-Karte kauft, prüft der Betreiber seine Identität und gibt die Informationen in die Datenbank ein.

Die indische Regierung will Spam-Anrufer in den Griff bekommen, die den Menschen zunehmend auf die Nerven gehen. Zwei Drittel der indischen Bevölkerung erhalten drei oder mehr Spam-Anrufe pro Tag, und über 220 Millionen Menschen nutzen die Anruferidentifizierungs-App Truecaller. Letztere ist eine Crowdsourcing-App für Anruferdaten. KYC-Datensätze sind zwar eine viel genauere Datenquelle, aber das Hauptproblem bleibt bestehen — in beiden Fällen ist keine Zustimmung der Nutzer:innen erforderlich.

Die Einzelheiten des Vorschlags müssen noch ausgearbeitet werden, aber es sieht so aus, als würde die indische Regierung auf Kosten der Privatsphäre der Bevölkerung gegen lästige Anrufer vorgehen. Der Nutzen dieser Politik ist fraglich: Es ist nicht klar, inwiefern die Anzeige eines zufälligen Namens anstelle einer zufälligen Nummer einen großen Unterschied machen wird. Mit der neuen Initiative droht ein weiterer Schlag gegen den ohnehin schon schwachen Schutz der Privatsphäre im Land. Anfang dieses Jahres haben wir über ein neues indisches Gesetz geschrieben, das alle VPN- und anderen Online-Diensteanbieter dazu zwingen würde, Benutzerprotokolle mindestens 5 Jahre lang zu speichern.

Twitter: Wir erfassen Ihre Daten nur zu Sicherheitszwecken.* Nur ein Scherz.

Twitter hat 150 Millionen Dollar gezahlt, um einen Fall mit der US-Regierung beizulegen. Der Tech-Gigant wurde beschuldigt, seine Nutzer:innen über den Umgang mit ihren persönlichen Daten getäuscht zu haben. Von 2013 bis 2019 behauptete Twitter, dass es die Telefonnummern und E-Mail-Adressen der Nutzer:innen ausschließlich zum Schutz ihrer Konten benötigt. Doch das US-Justizministerium sagte, dass der soziale Gigant diese Daten dann mit Werbetreibenden teilte. 140 Millionen Nutzer:innen wurden von der Praxis betroffen, die wahrscheinlich zur Auffüllung der Kassen von Twitter verwendet wurde, da die Haupteinnahmequelle des Unternehmens die Werbeeinnahmen sind.

Twitter hat seinerseits zugegeben, dass die Daten „möglicherweise” versehentlich für Werbung verwendet wurden.

Die Nachricht gefiel dem potenziellen Käufer von Twitter, Elon Musk, nicht. „Wenn Twitter hier nicht ehrlich war, was ist dann noch nicht wahr?” — so der Milliardär. Musk hatte zuvor ein Geschäft mit dieser Plattform auf Eis gelegt, weil er ihr vorwarf, die Zahl der Spam-Bots nicht offen zu legen.

Wir teilen diese Bedenken. Zwar hat Twitter in letzter Zeit signalisiert, dass es bereit ist, sich stärker am Datenschutz zu orientieren, und seine Datenschutz- und Sicherheitsrichtlinien klarer formuliert (mehr dazu in unserer früheren Zusammenfassung), doch die Nachricht von der Einigung erinnert uns an die harte Realität — große Technologieunternehmen mögen sich als datenschutzfreundlich darstellen, doch solange Werbung ihre Haupteinnahmequelle bleibt, könnte das alles nur Schall und Rauch sein.

Die USA kommen der Veröffentlichung eines landesweiten Datenschutzgesetzes immer näher

Eine parteiübergreifende Gruppe von demokratischen und republikanischen Gesetzgebern hat nach jahrelangem Hin und Her einen Entwurf für ein Bundesgesetz zum Datenschutz mit dem Namen "The American Data Privacy and Protection Act" (ADPPA) vorgelegt. Der Entwurf steht nun zur Debatte. Er soll den Datenschutzgesetzen der Bundesstaaten vorgehen, enthält jedoch eine lange Liste bemerkenswerter Ausnahmen für Illinois Biometrics Information Privacy Act, Teile von California Privacy Rights Act sowie für die Gesichtserkennung und Verbraucherschutzgesetze. Der Gesetzentwurf sieht vor, dass Technologieunternehmen vor der Erhebung oder Verarbeitung sensibler personenbezogener Daten wie biometrischer Daten, privater Kommunikation, genauer geografischer Standortbestimmung, Finanz- und Gesundheitsdaten, Anmeldedaten, Browserverlauf und sexueller Orientierung die ausdrückliche Zustimmung des Einzelnen erhalten müssen. Die Unternehmen sollen außerdem verpflichtet werden, Datenschutzrichtlinien zu veröffentlichen, während Einzelpersonen das Recht haben, der Weitergabe ihrer Daten an Dritte für gezielte Werbung zu widersprechen. Werbetreibende können Minderjährige unter 17 Jahren nicht mehr mit gezielter Werbung ansprechen.

Die Nutzer:innen können die Unternehmen auch vor einem Bundesgericht auf Schadenersatz verklagen, allerdings erst 4 Jahre nach Inkrafttreten des Gesetzes.

Der Entwurf wurde von Datenschutzexperten und Gesetzgebern gleichermaßen mit gemischten Gefühlen aufgenommen: Während einige den Entwurf als einen willkommenen ersten Schritt betrachten, argumentieren andere, dass dieser „mit Durchsetzungslücken versehen ist”. Wenn das Gesetz den Kongress passiert, würden sich die USA theoretisch den europäischen Datenschutzstandards annähern, die in der GDPR festgelegt sind. Der Teufel steckt jedoch in den Details und in der Implementierung.