Apple & Privacy

Nach der Aufregung um geleakte Selfies aus der iCloud und die Ankündigung der neuen datenschutzrelevanten Dienste „Health“ und „HomeKit“ in iOS8 und dem neuen Bezahldienst ApplePay geht Apple nun in die Offensive um seine Kunden über Privatsphäre und Datenschutz bei Apple zu informieren.

In einem für Apple typischen Statement wendet sich Tim Cook persönlich an die Kunden um mögliche Bedenken zu beruhigen. Wer es mit Datenschutz und Privatsphäre ernst meint, sollte nicht nur wohl formulierte Sätze platzieren sondern seine User aufklären. Auch in soweit hat Apple seine (Marketing-) Lektion gelernt und gibt lesenswerte Auskunft über die Verwendung von Daten durch Apple, die Auskunftsersuchen staatlicher Behörden.

Zusätzlich gibt es eine Reihe (selbstverständlicher) Tipps für besseren Datenschutz unter Mac OS X und iOS8.

Datenschutz? There’s no App for that

Der Datenschutz hat es schwer. Manche unken, dass der Schutz persönlicher Daten mit der Einführung von iPhone & Co. endgültig zum hoffnungslosen Unterfangen geworden ist. Smartphones zeichnen sich dadurch aus, dass sie neben den klassischen Telefonfunkionen und einem Zugriff auf das Internet, die Möglichkeit bieten vielfältige Dienste und Vernetzungsmöglichkeiten mobil zu nutzen. Der Bundesdatenschutzbeauftragte Peter Schaar mahnt Smartphone-Nutzer seit längerem sorgsam mit Smartphones umzugehen und kritisiert den unzureichenden Datenschutz bei Smartphones. Gemeint sind dabei nicht nur die vor kurzem für Aufregung sorgenden vermeintlichen Bewegungsprofile, die die Smartphone-Anbieter wie Apple oder Google anlegen, sondern viel mehr die Vielzahl an Apps, die Smartphone-Nutzer täglich verwenden.

Nutzer werden oft nur unzureichend, meist gar nicht, über die Verwendung personenbezogener Daten informiert. Selbst bei sorgsamen Umgang ist es Verbrauchern daher häufig nicht möglich nachzuvollziehen welche Daten zu welchem Zweck übermittelt und verwendet werden. Die nahtlose Integration in das Mobiltelefon macht es App-Anbietern dabei besonders leicht auf personenbezogene Daten zuzugreifen. Der Zugriff auf E-Mails und Adressbuch ist nur einen Klick entfernt. Bekanntestes Beispiel dürfte hier die Facebook-App sein, die vor knapp einem Jahr die „Friend-Finder“ Funktion integrierte und mit einem Klick sämtliche Kontaktdaten übermittelte und synchronisierte. Immerhin mit einer rudimentären Erklärung.

Eine weitere beliebte App, die sich umfassend im Adressbuch des Smartphone-Nutzers bedient, ist Whatsapp. Whatsapp versteht sich als kostenlose Alternative zum SMS Versand. Bevor Whatsapp genutzt werden kann, wird der Nutzer gefragt, ob er den Zugriff auf das Adressbuch erlaubt. Der Klick auf „Zustimmen“ hat für den Nutzer jedoch weitreichende Folgen. Whatsapp wird alle Telefonnummern im Adressbuch an den eigenen Server übermitteln, dort dauerhaft speichern und mit dem bestehenden Datenpool abgleichen. Stimmt die Telefonnummer mit der eines anderen Whatsapp-Nutzer überein, erscheint dieser automatisch in den eigenen Favoriten. Dem Austausch von Kurzmitteilungen steht nichts mehr im Weg.

Jeder, der sein Smartphone nicht nur privat sondern auch geschäftlich nutzt, kann nur geraten werden, sich vor dem schnellen Klick beim Zugriff auf das Adressbuch innezuhalten und sich zu informieren. Doch die Information über den Datenschutz ist mitunter nicht einfach. Um bei dem Beispiel zu bleiben, die Datenschutzerklärung von Whatsapp ist wenig erhellend. Und was sagen fachkundige Newsdienste? Heise etwa geht über das hohe Datenschutzrisiko bei Whatsapp einfach hinweg. Eine Sensibilisierung der Nutzer sieht anders aus.

Verstoßen Anbieter wie Whatsapp gegen das deutsche Datenschutzrecht?

Um es kurz zu machen: Die Datenerhebung und -verarbeitung durch Whatsapp wäre, was den Abgleich und die Vorratshaltung der Daten angeht, nach deutschem Datenschutzrecht wohl problematisch. Doch ist es überhaupt anwendbar, wenn der App-Betreiber im Ausland sitzt? Nach § 1 Abs. 5 BDSG ist auch ein ausländischer Betreiber an deutsches Datenschutzrecht gebunden, wenn er Daten im Inland erhebt, verarbeitet oder nutzt. Jedenfalls für die Erhebung wird man daher deutsches Datenschutzrecht annehmen können. Datenschützer wie Peter Schaar wissen jedoch, dass trotz Anwendbarkeit eine Durchsetzung nahezu unmöglich ist.

Andererseits stellt sich die Frage, ob nicht der Smartphone-Nutzer selbst datenschutzrechtlich zur Verantwortung gezogen werden könnte. Schließlich übermittelt er mit einem Klick die personenbezogenen Daten seiner Kontakte. Verantwortliche Stelle im Sinne des BDSG kann auch eine Privatperson sein. Die Übermittlung von personenbezogenen Daten (hier der fremden Kontaktdaten im Adressbuch) ist daher nur mit Einwilligung des Betroffenen oder einer gesetzlichen Erlaubnis zulässig.

Muss der unbescholtene deutsche Smartphone-Nutzer  seine Kontakte fragen, wenn er die Daten seines Adressbuchs für die Inanspruchnahme einer App überträgt?

Das wird wohl im Einzelfall zu prüfen sein.  Datenschutzrechtlern fallen wohl sofort die Möglichkeiten der Auftragsverarbeitung (§ 11 BDSG) oder der Verarbeitung zur Vertragsabwicklung (§ 28 Abs. 1 BDSG) ein. Doch das Problem lauert bereits an anderer Stelle. Sitzt der App-Betreiber, an den die Daten übermittelt werden im außereuropäischen Ausland, so sind die gesteigerten Erfordernisse von § 4b BDSG zu beachten. Sitzt der App-Betreiber in den USA und ist nicht dem Safe-Harbor beigetreten, so ist die Prüfung schnell beendet: Die Übermittlung der personenbezogenen Daten ist nur mit  schriftlicher Einwilligung der Betroffenen möglich. Ein unrealistisches Unterfangen, der Verstoß jedoch grundsätzlich eine Ordnungswidrigkeit.

Die Konsequenz?

Der Zugriff auf personenbezogene Daten war noch nie so leicht und unübersichtlich, wie bei Smartphones. Gerade Verbraucher können die Auswirkungen kaum abschätzen. Grund dafür ist auch die fehlende Aufklärung durch Medienangebote, die über angesagte Apps berichten ohne auf datenschutzrechtliche Konsequenzen hinzuweisen.

Markus Beckedahl ist dieser Tage für seine Äußerung kritisiert worden, dass jeder der das Internet aktiv nutzt und Medienkompetenz besitzt, Urheberrechtsverletzungen begeht. Die Aussage wäre leider im Hinblick auf den Datenschutz bei der Smartphonenutzung wohl treffender:

Jeder der sein Smartphone aktiv nutzt, verstößt gegen Datenschutzrecht.

iPhone Jailbreak und Unlock durch Librarian of Congress in den USA legalisiert

Es ist ein kleiner Paukenschlag, was die Library of Congress heute im Federal Register der USA veröffentlicht hat:

  1. Das Umgehen eines Kopierschutzes auf einer DVD ist zur Verwendung kleiner Teile in kritischen Werken zulässig
  2. Das Umgehen einer Softwarebeschränkung um auf einem Mobiltelefon rechtmäßig erworbene Programme zu installieren – Bekannt als „Jailbreak“ fpr das iPhone
  3. Der Unlock eines Mobiltelefons um dieses mit einem anderen Mobilfunkanbieter zu verwenden, sofern dieser das zulässt, verstößt nicht gegen das Urheberrecht.

Hintergrund US Copyright Law

Aus Europa mag es zunächst verwundern, warum die Parlamentsbibliothek solch eine Vorschrift erlassen kann. Der Grund liegt im amerikanischen Urheberrechtsgesetz besser gesagt in seinem umstrittenen Änderungsgesetz dem Digital Millenium Copyright Act (DMCA). Dieses verbietet die Umgehung von technischen Maßnahmen zum Schutze des Urheberrechts (ähnlich aber weitergehender als § 95a UrhG). Dieses Verbot wird jedoch durch Section 1201(a)(1)(B) Copyright Act wieder beschränkt, damit die Werke im Rahmen des „fair use“ genutzt werden können. Die Beschränkungen werden nach dem Gesetz durch die Library of Congress und das Copyright Register festgelegt. Nach Abschluss des Verfahrens verkündet der Leiter der amerikanischen Nationalbibliothek die neuen Beschränkungen.

Fazit

Mit der heutigen Entscheidung hat die Library of Congress das Urheberrecht und den verfassungsrechtlich verankerten Gedanken des „fair uses“ deutlich gestärkt. Mit dem DMCA war gerade fair use stark beschnitten worden. Zwar hat die Library of Congress hinsichtlich der Umgehung von Kopierschutzmechanismen auf DVDs lediglich einige bestimmte Fälle erlaubt, jedoch Apple Inc. hart getroffen. Mit der Legalisierung von Jailbreak und Unlock sind damit die zwei bedeutensten Beschränkungen des iPhones in den USA in „Gefahr“. Hinsichtlich des Jailbreaks steht für Apple ein ganzes Geschäftsmodell auf dem Spiel.

Update: Ein Netlock ist auch weiterhin möglich. Jedoch ist die Umgehung eins Netlocks keine Urheberrechtsverletzung an der Software. Wer ein Netlock umgeht, verstößt daher lediglich gegen die Vertragsbedingungen des ursprünglichen Carriers.

Vorsicht! Datenschutzeritis kann blind machen

Dank Social Networking, Google und Apple ist Datenschutz hoch im Kurs und ich wäre der letzte, der sich über ein höheres Problembewusstsein beim Datenschutz in der Allgemeinheit beschweren würde. Doch in der letzten Zeit zeigt sich deutlich, dass Schutz in Deutschland schnell zu Protektionismus werden kann. Der Bedenkenträger hat ein neues Totschlagargument gefunden: Datenschutz.

Die Kontroverse über Google StreetView hat diese Tendenz deutlich zu Tage befördert. Da wurden Hausfassaden mir nichts dir nichts zu personenbezogenen Daten mit einer alt bekannten (juristischen) Argumentation: „Wo kommen wir denn da hin?“ Eigentlich eine berechtigte Frage in diesen vernetzten Zeiten. Wo kommen wir mit Social Media, standortbezogenen Daten und der zunehmenden Abhängigkeit von diesen Diensten tatsächlich hin? Doch solche gesellschaftspolitischen Fragen werden lieber mit dem Datenschutz eingefangen um die vergangene analoge Welt mit aberwitzigen StreetView-Gesetzen zu schützen.

Pünktlich zum Sommerloch kam daher der nächste datenschutzrechtliche Aufreger: Apple erhebt mit seinem iPhone für seine standortbezogenen Dienste Daten. Schock, schwere Not! Apple ist auf so etwas profanes wie Datensammlungen angewiesen, um einen Standort zu bestimmen? Wo ist da der „Boom! Just awesome!“ Effekt? Wie es sich für ein US amerikanisches Unternehmen gehört hat Apple die Hinweise über die Erhebung der erforderlichen Daten tief in den langen und unübersichtlichen AGB und Lizenzbedingungen von iTunes, iPhone OS und MacOS versteckt. Das dies nicht dem deutschen und europäischen Datenschutz gerecht werden kann, ist unbestritten. Hier besteht Nachholbedarf.

Doch aus einer fehlerhaften Datenschutzerklärung wird noch keine Datenkrake. Apple hat nun in einer schriftlichen Stellungnahme gegenüber dem amerikanischen Kongress, der sich erfreulicherweise langsam für Datenschutz interessiert, detailliert dargelegt welche Daten wann, warum und mit welchem Personenbezug gesammelt werden. Der Kollege Stadler sieht daraufhin in seinem ausführlichen bzw. sommergerechten Beitrag gleich ein viel größeres Problem als die Sammlung von Häuserfassaden, WLAN-Standortdaten und WLAN-Kommunikation durch Google.

Really? Gehen wir einen Augenblick davon aus, dass die Aussagen Apples zutreffen (in dubio und so…) Dann lässt sich folgendes festhalten:

  1. Apple sammelt im Rahmen der standortbezogenen Dienste Daten über den Mobilfunkempfang (ZellenID, Signalstärke) und WLAN-Daten (vorhandene WLAN, MAC-Adresse des WLAN-Routers, Signalstärke)
  2. Der Nutzer hat zahlreiche Möglichkeiten die standortbezogenen Daten zu deaktivieren bzw. unterbinden.
  3. Die gesammelten Daten werden anonymisiert an Apple übertragen.

Aus der Tatsache, dass Daten übertragen werden, ergibt sich noch nicht zwangsläufig die Anwendbarkeit des Datenschutzrechts. Entscheidend bleibt, ob anhand der Daten eine Person bestimmt oder bestimmbar ist. Schenkt man den Aussagen Apples Glauben, so werden die Daten nur in ganz konkreten Fällen (Find my iPhone) mit den personenbezogenen Daten wie iTunes-Account und GeräteID verbunden. Hier muss der Datenschutz beachtet werden… aber ohne Personenbezug greift auch europäisches und deutsches Datenschutzrecht nicht.

Der Schutz von personenbezogenen Daten ist wichtig und muss gerade in Zeiten globaler Vernetzung gestärkt werden, doch sollte durch das Bestreben nach einem besseren Datenschutz nicht jede Datenerhebung unter Generalverdacht gestellt werden. Ziel des Datenschutzes ist es Personen zu schützen, nicht die Datenerhebung von Daten generell zu verhindern/verbieten.

Update: Der datenschutzrechtlichen Diskurs, den Telemedicus dankenswerterweise richtig für Social Networking zusammen gefasst hat, sollte daher auch auf solche Dienste ausgeweitet werden.

Ruft Apple das neue iPhone 4 zurück?

Der Bericht der angesehenen amerikanischen Tester von ConsumerReports blieb nicht ohne Folgen. Obwohl das iPhone 4 als bestes Smartphone abschnitt, rät Consumer Reports von einem Kauf des neuen iPhone ab. Der Grund? Die bereits seit Wochen viel diskutierten Probleme mit der Signalstärke, wenn man an der linken unteren Ecke die beiden Antennenteile mit dem Finger verbindet. Obwohl Apple bislang darauf beharrt, dass es sich lediglich um einen Softwarefehler handelt, glauben viele, dass das neue Antennendesign wesentlich zu dem Problem beiträgt.

Aus diesem Grund machten in den letzten Tagen auch schon Gerüchte über einen Rückruf die Runde und das Apple bereits Änderungen am iPhone vorgenommen hat. Den Bericht von Computer Reports, der eine große Resonanz in der amerikanischen Presse gefunden hat, mag daher wohl der Anlass sein, das Apple eiligst eine Pressekonferenz zum iPhone 4 für den morgigen Freitag einberufen hat. Es ist die erste Pressekonferenz in der Geschichte des Unternehmens, die (neben der Bekanntmachung von Quartalszahlen) nicht der Vorstellung neuer Produkte dient. Wird Apple den Kunden die Möglichkeit geben, ihr iPhone 4 zu tauschen?