Welche datenschutzrechtlichen Probleme bestehen bei der Nutzung von Smart-Phones?
Mittlerweile sind sie aus dem Alltag kaum noch wegzudenken – Smart-Phones – diese komplexen Computer mit denen man auch telefonieren kannn. Da diese bereits bei Discountern erhältlich sind, sind Smart-Phones längst nichts mehr nur für IT-Freaks. Sogar Volksschulkinder kann man mit den neuesten Modellen auf der Straße sehen - Wie schützt man seine Daten vor Smart-Phone-Herstellern, App-Programmieren und sich selbst?
Je leistungsfähiger die Geräte werden und je intensiver diese genutzt werden umso mehr Angriffsflächen für Datensammler ergeben sich und somit datenschutzrechtliche Bedenken. Diese lassen sich in vier Kategorien einteilen.
1. Smart-Phone-Betriebssystembetreiber
Derzeit dominieren Apples iOS (OS für Operating System) und Googles Android Betriebssystem den Smartphonemarkt. Während Apples iOS nur auf dem ebenfalls von Apple stammenden iPhone verfügbar ist, gibt es eine Vielzahl von Herstellern die ihre Smartphones mit einer mehr oder weniger stark angepassten Android Version betreiben.
Auch wenn man Googles Android generell als offener als das ziemlich abgeschottete iOS bezeichnen kann, bleiben die internen Abläufe beider Systeme für die meisten Benutzer undurchschaubar.
Wenigen iPhone-Usern ist bewusst, dass sich Apple des iOS Betriebssystems bedient um die Aufenthaltsorte seiner Kunden durch deren iPhones, die Standorte von Handymasten bzw. W-Lans die sich in deren Nähe befinden, aufzuzeichnen.
Google, das relativ aufwendig mit Autos durch die Straßen fuhr und zu den Bildern für seinen Street-View-Dienst auch die Standorte von W-Lans erfasste, hatte mit dieser Aktion große Aufregung ausgelöst - über das Smartphone Betriebsssystem geht das (fast) ganz still und leise.
Was da alles so im Hintergrund passiert bekommt man oft gar nicht mit. Wenn von einem Gerät ständig Daten verschickt werden, die eindeutig dem Gerät zugeordnet sind und üblicherweise ein derartiges Gerät nur eine Person nutzt, handelt es sich um personenbezogene Daten, auch wenn Identifikationsdaten, wie Name, Sozialversicherungsnummer oder Reisepassnummer nicht mitgeschickt werden. Hier kann der Einzelne nur sorgsam in der Produktauswahl sein und eine vollständige Produktbeschreibung verlangen.
Langfristig wäre eine Ausweitung der Anwendung nach TKG erforderlich, sodass die Betreiber des Smartphones verpflichtet werden gewisse Aufzeichnungen (z.B. Standortbestimmungen) nur mit ausdrücklicher Zustimmung des Betroffenen machen zu dürfen.
2. App-Hersteller
Diese Kategorie ist in der Paxis wohl die aus Datenschutzsicht bedenklichste. Installiert ein Benutzer ein Programm eines Drittherstellers, so hat er in den meisten Fällen nicht mehr Informationen darüber was das Programm genau macht als eine einfache (Werbe-)Beschreibung.
Auf Apples iOS fehlt die Information auf welche Dienste eine Anwendung zugreifen will komplett. Hier muss man sich ganz auf Apples Begutachtungsverfahren verlassen, welchem sich jede Anwendung unterziehen muss bevor sie in den Appstore zugelassen wird. Apple zufolge beschäftigen sich Mitte 2009 „mehr als 40“ Vollzeitangestellte damit die damals ungefähr 8.500 wöchentlich eintreffenden Apps zu testen. Dass dabei keine umfassenden Qualitätskontrollen stattfinden können ist wohl klar.
Android verrät Benutzern vor der Installation einer App zumindest auf welche Dienste diese zugreifen will. Dadurch konnten Sicherheitsexperten herausfinden, dass jedes fünfte Programm auf sensible Daten zugreift.
Weiters wurden bereits Spyware Apps ausgemacht und es werden weitere Apps auf den Markt kommen, die fehlerhaft programmiert sind oder überhaupt Schadsoftware zum Ausspähen der Benutzer enthalten. Die Erfahrungen, die wir mit Würmern, Viren oder Spam mach(t)en werden sich hier wiederholen. Auch die Abwehrindustrie wird rasch wachsen.
Benutzer sollten daher nur Apps aus vertrauenswürdigen Quellen installieren die sie unbedingt brauchen, sich im Vorfeld so genau wie möglich darüber informieren was die Apps machen bzw. auf welche Daten / Dienste diese zugreifen wollen und auch Benutzerbewertungen lesen, da diese oft Aufschluss darüber geben ob eine Anwendung hält was sie verspricht. Auch eine Beobachtung des Marktes oder entsprechender Foren was empfohlen wird und was nicht, ist sinnvoll. Langfristig werden sich auch hier nur signierte Apps (wie signierte Software) durchsetzen.
3. Dritte
Wovor man sich regelmäßig leider nicht schützten kann ist die Mittteilungsfreudigkeit Dritter. Selbst wenn man selbst kein Smartphone verwendet und auf Datensparsamkeit achtet, können die eigenen Daten schnell im Netz landen wenn Freunde oder Bekannte ihr Adressbuch, ihren Kalender oder ihr digitales Fotoalbum 'synchronisieren'. In der Praxis hilft da nur diese 'Datenlieferanten' auf Probleme die bei all zu freudigen Datenweitergaben entstehen können hinzuweisen und diese zu ersuchen dies in Bezug auf die eigenen Daten zu unterlassen.
Sollte dies nicht den gewünschten Erfolg bringen, so muss man nicht gleich vor Gericht ziehen. Man kann sich ebenfalls an denjenigen wenden bei dem die Daten landen, z.B. demjenigen der hochgeladene Fotos im Web anzeigt. Dieser ist gemäß E-Commerce-Gesetz in Österreich bzw. aufgrund der E-Commerce-Richtlinie EU-weit dazu verpflichtet rechtswidrige Daten zu löschen sobald dieser auf die Rechtswidrigkeit aufmerksam gemacht wird.
Entsprechend konfigurierte Smartphones können darüberhinaus auch den Teilnehmer (d.i. der Vertragspartner des Mobilfunkbetreibers) dazu verführen die eigentlichen Benutzer laufend auszuspähen. Bedeutsam wird das bei Familien (Eltern schenken Kind ein derartiges Gerät) oder in Firmen (Einsatz von Firmenhandys). Auch hier wird eine Mischung technischer und gesetzlicher Rahmenbedingungen zur Abwehr einer Rundum-Überwachung erforderlich sein. So müsste sicher gestellt werden, dass der eigentliche Benutzer immer über die Funktion aller Teile des Smartphones informiert ist und Überwachungsfunktionen, wie Standortbestimmungen jederzeit ausschalten kann (ist im Zusammenhang mit den Diensten der Telekom-Betreiber schon gesetzlich geregelt, nicht aber bei Drittanbietern).
4. Smartphone Benutzer
Je intensiver man sein Smartphone nutzt umso mehr persönliche Daten landen auf diesem. Auf einem Smartphone werden längst nicht mehr nur Namen Telefonnummern und Kurzmitteilungen gespeichert. Neben aufgenommenen Fotos/Videos werden auch E-Mails, oder persönliche Termine gespeichert. Installierte Anwendungen geben Ausschluss über die persönlichen Interessen und wird die „Passwort-speichern-Funktion“ verwendet so kann auch ein Unberechtigter schnell Zugang zu Facebook, Twitter und Co erhalten.
Vor den schnellen Blicken von Arbeitskollegen oder Freunden die auf ein kurz am Schreibtisch zurück gelassenes Smartphone Zugriff haben schützt bereits die Tastensperre. Verliert man jedoch sein Smartphone kann eine Tastensperre womöglich nicht mehr ausreichend sein. In diesem Fall hilft es die Geräte/Daten soweit dies möglich ist im Vorfeld zu verschlüsseln.
In den meisten Fällen sind es allerdings die Benutzer selbst die mehr über sich verraten als jeder noch so eifrige Datensammler. Smartphones verleiten einen ja auch gerade dazu ständig „online“ zu sein - Statusmeldungen auf Facebook zu posten oder zu „twittern“. Klar kann es nützlich sein, zu sehen welcher seiner Freunde sich auch gerade in der Nähe befindet, aber macht es tatsächlich Sinn seinen Aufenthaltsort Dank GPS ständig auf wenige Meter genau bekannt zu geben?
Diese Frage wird sich jeder Benutzer selbst stellen müssen, denn neben den eigenen Freunden bekommen zumindest der Dienstbetreiber und dessen Werbepartner das eigene „Bewegungsprofil“ zu sehen.
Fazit
Wo, wie im Falle von Smartphones, viele Daten zusammen kommen besteht natürlich auch die Gefahr, dass diese missbraucht werden. Sei dies nun durch den Hersteller, den Betriebssystembetreiber, durch installierte Apps oder Dritte. In diesen Fällen hilft sich zu informieren welche Daten wohin geschickt werden.
Davor, dass man selbst zum Datenlieferant wird, kann man sich nur schützen wenn man ein gewisses Datenschutzbewusstsein hat. Vor allem Kinder und Jugendliche sollte man nicht mit den neuen Technologien „allein“ lassen sondern diesen den Sinn eines behutsamen Umgangs mit persönlichen Daten erklären.
|
