Smart-TV, Apps und Online-Angebote

Ähnliche Dokumente
Smart-TV-Dienste aus der Sicht des Datenschützers

Datenschutzrechtliche Bewertung der Wearables

App-Prüfungen durch das BayLDA Erfahrungen und Überblick

Technische Prüfung SmartTV

Hinweise zur Onlineprüfung Adobe Analytics (Omniture)

Datenschutzrechtliche Bewertung der Wearables

Aktuelles aus Rechtsprechung und Praxis

Technische Prüfungen Medizinischer Einrichtungen

Es kann jeden treffen Prüfpraxis der Datenschutzaufsichtsbehörde

Datenschutz und Datensicherheit bei Wearables und Fitness-Apps (19. Jahresfachkonferenz, DuD 2017, Datenschutz und Datensicherheit, 19.

Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste. Stephan Di Nunzio

Da müssen wir rein. Was Unternehmen in sozialen Netzwerken beachten müssen

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Quo vadis Datenschutz bei Tracking und Geolokalisation - ein Ausblick -

BayLDA. Bayerisches Landesamt für Datenschutzaufsicht. International Sweep Week. Weltweites Prüfergebnis.

Datenschutzaspekte bei Nutzung mobiler Endgeräte

Aktuelle rechtliche Herausforderungen beim Einsatz von Apps

Pressemitteilung. Vorstellung des Tätigkeitsberichts 2013/2014. Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA),

Das neue Datenschutzrecht der EU

SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf

Datenschutzerklärung digipen technologies GmbH ein Unternehmen der EITCO

Vorsicht bei Einbindung Dritter in eigene Dienste! RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH

Datenschutzgrundverordnung DSGVO

Datenschutz in der empirischen IT-Forschung

Datenschutzerklärung digipen technologies GmbH

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Gesünder mit Apps und Co? Datenschutzrechtliche Anforderungen

DATENSCHUTZ BEI GOOGLE CHROME & ANDROID OLIVER VIVELL, LL.M. 5. DARMSTÄDTER INFORMATIONSRECHTSTAG 10. JULI 2009

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Remote Support Datenschutz-

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

IT Sicherheit und Datenschutz - für kleine und mittelständische Unternehmen

Trusted Privacy. eprivacyapp. Mobile Security - Datensicherheit von Apps und Chips. eprivacyconsult GmbH

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Welche häufig gemachten Datenschutz-Fehler Sie jetzt ganz einfach vermeiden können.

Smartphone-Schädlinge: Von Standard-Malware bis hin zum APT. Dr. Michael Spreitzenbarth Siemens CERT Hochschule Landshut Januar 2017

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Herausforderung Datenschutz Recht und Ethik im Dialog mit dem Omnichannel-Kunden

Die rechtlichen Grundlagen des Datenschutzes finden sich im Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG).

Checkliste Google Analytics Einrichtung

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

Seminar: Rechtsfragen des Cyberspace. Tibor Schütt und Michael Burkard betreut von Prof. Dr. Viola Schmid, LL.M. (Harvard)

Auf dieser Website haben wir für Sie eine Reihe von Informationen zum Datenschutz zusammengestellt:

ecommerce und Datenschutz

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke, Justitiarin

Worüber wir sprechen. Digitalisierung was kann man darunter verstehen. Datenschutz eine fachliche Eingrenzung

Datenschutzreform 2018

Meine VBL. IP-Adressprüfung. Januar 2018

Wie bereiten sich die deutschen Aufsichtsbehörden auf die DS-GVO vor? (How are German supervisory authorities getting ready for the GDPR?

Inhaltsverzeichnis. 1 Schnelleinstieg... 9

Transparenter Staat oder transparenter Bürger?

Der Schutz Ihrer personenbezogenen Daten ist für die NFON AG ein zentrales Anliegen.

Datenschutz- Compliance nach der DS- GVO: Sicherstellung und Überwachung

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

IT-Sicherheit in der Praxis

Admincamp Der Admin und das BDSG. - was kann, darf, muss ich mit IP-Daten machen?!?

DATENSCHUTZERKLÄRUNG FÜR SWISSMECHANIC LIBRARY APP Version V01

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

F-SECURE FREEDOME. Schritt für Schritt erklärt

Chancen (und Risiken) des Datenschutzes für Unternehmen

Anonymität contra Straftatverfolgung im Internet

Datenschutz und IT-Sicherheit an der UniBi

Konzepte der Selbstkontrolle der Industrie

Daniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH

Firmeninformation zum Datenschutz

Hinweise zur Onlineprüfung Google Analytics

Datenschutzerklärung

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Anonymisierung und Pseudonymisierung in Patientenversorgung und Forschung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

Google Analytics. - datenschutzrechtliche Betrachtung -

Speichern von Kennwörtern und Ausfüllen von Webformularen für Internet Explorer 11

Landesbeauftragte. Nordrhein-Westfalen. Datenschutz-Grundverordnung im Verein. Fragen an die Landesbeauftragte für Datenschutz

Mobile Apps für die Gesundheitsbranche und Datenschutz

Online-Marketing. - Webanalyse mit Google Analytics. Mareike Furlong & Klaudija Paunovic

Haftungsausschluss (Disclaimer)

Informationsblatt Datenschutz im Verein

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Aktueller Rechtsstand im Datenschutzrecht Struktur der DS-GVO

Beispiele aus der anwaltlichen Praxis

Datenschutzrechtliche Einwilligungserklärung

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Fokus Datenschutz - Zwingend notwendig, pragmatisch umgesetzt! / Outsourcing datenschutzrechtlich möglich?

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

Digitale Checklisten sparen Zeit und Geld. Stellen Sie jetzt um von Papier auf eine moderne digitale Lösung.

MMK Datenschutzerklärung

Know-how-Schutz in Zeiten moderner Wirtschaftsspionage

Privacy by Design - Begriff und Relevanz in Digitalisierungsprozessen

Datenschutzerklärung des Online-Shops m12-stecker.de

Datenschutzerklärung:

Durchführung eines Audits für die Geprüfte Auftragsdatenverarbeitung

Herzlich Willkommen. zum bayrisch-tschechischen Workshop. Datenschutzbeauftragter nach der DSGVO. Autor: Rainer Aigner Stand:

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Make IT So nutzen Gründer die digitale Welt Wie darf ich als Unternehmer mit den Daten aus der digitalen Welt umgehen?

Social Media Marketing und Datenschutz

Cloud und Datenschutz

istock.com / Warchi DSGVO Datenschutzgrundverordnung für Agenturen zurück zum Inhalt

Recht auf Datenschutz

Transkript:

Andreas Sachs Dipl.-Inform.(Univ.) Referatsleiter Smart-TV, Apps und Online-Angebote Datenschutzprüfungen online und im IT-Labor

Agenda 1 Vorstellung des BayLDA 2 Wieso prüfen Aufgabe der Aufsichtsbehörde 3 Onlineprüfungen Das Internet machts möglich 4 IT-Labor: Den Daten auf der Spur 5 Prüfung: Tracking mit Google Analytics und Adobe Analytics www.lda.bayern.de 2

Agenda 6 Prüfung: Apps entzaubert 7 Prüfung: Transportverschlüsselung im Zeitalter der Massenüberwachung 8 Prüfung: Smart TV und das Ende der Anonymität 9 Prüfung: Sind Wearables kritisch 10 Ausblick: Prüfungen morgen www.lda.bayern.de 3

1 Vorstellung Wir überwachen die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern, das heißt in den privaten Wirtschaftsunternehmen, bei den freiberuflich Tätigen, in Vereinen und Verbänden, und im Internet. www.lda.bayern.de 4

1 Vorstellung Unsere Zahlen Beschwerden im Jahr: ca. 1000 Anzahl Unternehmen in Bayern: über 600.000 Anzahl Stellen der Behörde: 16* *davon drei Informatiker Beratung von Unternehmen im Jahr: ca. 1800 Beratung von Bürgern im Jahr: ca. 900 Tendenz: steigend www.lda.bayern.de 5

2 Wieso prüfen Aufgabe der Aufsichtsbehörde 38 BDSG (Aufsichtsbehörde) o Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz o Die Aufsichtsbehörde berät und unterstützt die verantwortlichen Stellen o Die Aufsichtsbehörde kann Maßnahmen zur Beseitigung von Verstößen anordnen www.lda.bayern.de 6

2 Wieso prüfen Aufgabe der Aufsichtsbehörde Grechtenfragen (Auszug): Was ist der Stand der Technik? Wie verarbeiten smarte Produkte personenbezogene Daten? Wie funktionieren Trackingverfahren genau? Ein sehr genaues technisches Verständnis ist für die rechtliche Anwendung notwendig Aufgabe: Vom Glauben zum Wissen kommen www.lda.bayern.de 7

2 Wieso prüfen Aufgabe der Aufsichtsbehörde Folgen von (technischen) Prüfungen: Vorgaben für den beanstandungsfreien Einsatz erstellen (z.b. Orientierungshilfen) Hilfestellungen für die Praxis geben (z.b. Checkliste Apps) Anordnungen Bußgelder Rechtssicherheit schaffen www.lda.bayern.de 8

3 Onlineprüfungen: Das Internet machts möglich Prüfgegenstände Breite Prüfmasse mit wenig Personalaufwand Aber: In der Nachbereitung nicht zu unterschätzen o Webseiten o Webanwendungen o Kommunikation o Apps www.lda.bayern.de 9

3 Onlineprüfungen: Das Internet machts möglich Prüfdurchführung mit eigener Prüfsoftware (Skripte) o Webseiten o Download und Analyse von öffentlich zugänglichen Inhalten o Serversysteme o Prüfung auf bestehende Sicherheitslücken (z.b. Heartbleed). o Vorsicht: Nicht einfach irgendwelche Tools verwenden o Kommunikation o Aufbau und Prüfung einer verschlüsselten Verbindung www.lda.bayern.de 10

4 IT-Labor: Den Daten auf der Spur Unser Prüflabor eigentlich nichts Besonderes Smartphones Labor-Rechner Notebooks Konsolen Firewall Smart-TV Internet www.lda.bayern.de 11

5 Prüfung: Tracking mit Google Analytics und Adobe Analytics Motivation des BayLDA: Vollzug von gemeinsamen Beschlüssen www.lda.bayern.de 12

5 Prüfung: Tracking mit Google Analytics und Adobe Analytics 1. Großprüfung des BayLDA: Google Analytics Andere Aufsichtsbehörden waren schon Vorreiter (Bayern, Rheinland-Pfalz) Neu: Massenprüfung mit Vollzug April - Mai 2012 : Prüfdurchführung Anforderungen: Datenschutzerklärung vorhanden Information in Datenschutzerklärung Anonymisierung der IP-Adresse implementiert Opt-Out verfügbar Vertrag zur Auftragsdatenverarbeitung geschlossen Geprüfte bayerische Webseiten (von Unternehmen): 13404 Festgestellte Mängel (unterschiedlicher Ausprägung) bei 2371 Unternehmen -> Alle wurden angeschrieben Bußgelder wegen nachhaltiger Weigerung Bei (fast) allen Stellen wurden die Anforderungen umgesetzt www.lda.bayern.de 13

5 Prüfung: Tracking mit Google Analytics und Adobe Analytics 1. Großprüfung des BayLDA: Google Analytics www.lda.bayern.de 14

5 Prüfung: Tracking mit Google Analytics und Adobe Analytics 2. Großprüfung des BayLDA: Adobe Analytics Auswahl der Adobe Deutschlandsitz in München hat Sorge von Seiten der Fa. Google, dass nur deren Produkt aufsichtlich geprüft würde April - Mai 2013 : Prüfdurchführung Anforderungen: Datenschutzerklärung vorhanden Information in Datenschutzerklärung Anonymisierung der IP-Adresse implementiert (nur serverseitig machbar -> Stichprobennachweise durch Screenshots) Opt-Out verfügbar Vertrag zur Auftragsdatenverarbeitung geschlossen Geprüfte bayerische Webseiten (von Unternehmen): 10.238 Einsatz festgestellt bei 44 -> Alle wurden angeschrieben Bei allen Stellen wurden die Anforderungen umgesetzt www.lda.bayern.de 15

5 Prüfung: Tracking mit Google Analytics und Adobe Analytics 2. Großprüfung des BayLDA: Adobe Analytics Anonymisierung der IP-Adresse musste von Seiten Adobe nachgebessert werden. Nun passt es: www.lda.bayern.de 16

6 Prüfung: Apps entzaubert Motivation: Presseberichte: Apps können Spione in der Hosentasche sein Fragen: Welche personenbezogenen Daten verarbeitet eine App denn wirklich? An wen werden Daten übertragen Welche Daten werden übertragen Zu welchem Zweck werden diese übertragen Sind Grundsätze der Erforderlichkeit, Transparenz und Rechtsgrundlagen erfüllt? Sind die technischen und organisatorischen Maßnahmen ausreichend? www.lda.bayern.de 17

6 Prüfung: Apps entzaubert Dynamische Analyse Reverse Engineering Systemanalyse www.lda.bayern.de 18

Eingesetzte Software BAYERISCHES L ANDESAMT FÜR 6 Prüfung: Apps entzaubert Dynamische Analyse mit Man-in-the-Middle Methodik BurpSuite Wireshark Kali Labor-PC DSL www.lda.bayern.de 19

Eingesetzte Software BAYERISCHES L ANDESAMT FÜR 6 Prüfung: Apps entzaubert Kali Statische Analyse durch Reverse Engineering (Android) Androguard dex2jar APK-Tool JD-Gui Labor-PC Gephi Verbindung per USB www.lda.bayern.de 20

6 Prüfung: Apps entzaubert Systemanalyse (Forensischer Ansatz) www.lda.bayern.de 21

6 Prüfung: Apps entzaubert Technische App-Prüfung Im ersten Halbjahr 2013 wurden eigenständig Apps in unterschiedlicher Prüftiefe mit flexiblem Prüffokus untersucht: Es wurden 31 Apps aus den Stores heruntergeladen und systematisch technisch geprüft, davon überwiegend schwerpunktmäßig Android und geringfügig ios Dauer pro Prüfung ½ - 2 Personentage Bei nicht geringfügigen Mängeln wurde ein aufsichtliches Verfahren nach 38 BDSG eröffnet Die Ergebnisse der Prüfungen wurde den App-Anbietern mitgeteilt (zwischen 2 bis 10 Seiten) und Nachbesserung verlangt www.lda.bayern.de 22

6 Prüfung: Apps entzaubert Aufsichtsbehörden und Apps Deutsche Aufsichtsbehörden haben Orientierungshilfe Apps herausgegeben Download (auch) unter: www.lda.bayern.de/de/orientierungshilfen.html App-Prüfkatalog für den technischen Datenschutz bei Apps (BayLDA) Download unter: www.lda.bayern.de/de/infoblaetter.html www.lda.bayern.de 23

7 Prüfung: Transportverschlüsselung im Zeitalter der Massenüberwachung Motivation des BayLDA: Vollzug von gemeinsamen Beschlüssen www.lda.bayern.de 24

7 Prüfung: Transportverschlüsselung bei Mailservern BAYERISCHES L ANDESAMT FÜR SMTP SMTP Prüffokus: Unterstützung von STARTTLS (opportunistisch) Unterstützung von Perfect Forward Secrecy (PFS) Mindestanforderung an Schlüssellängen (RSA, EC) Bei allen TLS-Protokollversionen www.lda.bayern.de 25

7 Prüfung: Transportverschlüsselung bei Mailservern BAYERISCHES L ANDESAMT FÜR Prüfung im Herbst 2014: 2.236 Unternehmen wurden geprüft 772 Unternehmen hatten Mängel -> Aufsichtliche Verfahren wurden eröffnet Bei 6 Unternehmen wurden Anordnungen nach 38 Abs. 5 BDSG erlassen -> Alle wurden bestandskräftig Bei (fast) allen geprüften Unternehmen wurden die Mindestanforderungen an die Transportverschlüsselung durchgesetzt Leider keine gerichtlichen Verfahren bezüglich der Frage nach dem Stand der Technik und der Verhältnismäßigkeit www.lda.bayern.de 26

8 Prüfung: Smart TV und das Ende der Anonymität Fernsehen heute: Smart-TV Rundfunksignal Internetbasierter Rückkanal Smart-Tvs: Kann anonymes Fernsehen noch www.lda.bayern.de möglich sein? 27

8 Prüfung: Smart TV und das Ende der Anonymität Ein Smart-TV kann viele Datenempfänger haben www.lda.bayern.de 28

8 Prüfung: Smart TV und das Ende der Anonymität Smart-TVs sind International (Geolokation der IP-Adressen) Südkorea Indonesien Japan USA Malediven Taiwan Indien Irland Luxemburg Großbritannien Türkei Niederlande China Hong Kong Iran Kasachstan Deutschland www.lda.bayern.de Singapur 29

8 Prüfung: Smart TV und das Ende der Anonymität Thema Smart-TV ist nicht so neu: HbbTV - I Know What You Are Watching, Mai 2013 Hacking, Surveilling, and Deceiving victims on Smart TV, 2013 Smart TV Security - #1984 in 21st century -, 2013 Spion im Wohnzimmer: c't entdeckt Sicherheitslücken in zahlreichen Smart-TVs, 2014 www.lda.bayern.de 30

8 Prüfung: Smart TV und das Ende der Anonymität Wieso prüfen die Datenschutzaufsichtsbehörden auch noch? Ziel 1: Technische Sachverhalte verstehen/nachvollziehen Ziel 2: Geräteübergreifende Aspekte erkennen Ziel 3: Akteure definieren Ziel 4: Rechtliche und technische Anforderungen festlegen Ziel 5: Einhaltung der Anforderungen prüfen und durchsetzen www.lda.bayern.de 31

8 Prüfung: Smart TV und das Ende der Anonymität 1. Schritt : Zuständigkeit klären Aufsichtsbehörden verständigen sich auf gemeinsames Prüfprojekt BayLDA führt dies technisch per Amtshilfe durch 2. Schritt : Geräte beschaffen Gerätehersteller werden angeschrieben und um Leihgerät gebeten Transparente Prüfung ist ein wichtiges Ziel: Unternehmensvertreter sind zur Vor-Ort Prüfung eingeladen www.lda.bayern.de 32

8 Prüfung: Smart TV und das Ende der Anonymität 3. Schritt : Prüfmethodik Ergebnisse sollen möglichst singular und reproduzierbar sein www.lda.bayern.de 33

B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT 8 Prüfung: Smart TV und das Ende der Anonymität 4. Schritt : Durchführung Szenarien durchgehen Dokumentation Protokollierung www.lda.bayern.de 34

8 Prüfung: Smart TV und das Ende der Anonymität 5. Schritt : Technischer Prüfbericht Ziel: Qualitätssicherung Gemeinsames technisches Verständnis www.lda.bayern.de 35

8 Prüfung: Smart TV und das Ende der Anonymität Akteure bei Smart-TV Hersteller Hersteller: Samsung, LG, Grundig, App-Store: Nicht immer gleich Hersteller Empfehlungsdienst: Nutzungsprofile HBBTV: Fernsehsender HBBTV Smart- TV App-Store Empfehlungsdienst www.lda.bayern.de 36

8 Prüfung: Smart TV und das Ende der Anonymität Aufsichtsbehörden und Smart-TV Deutsche Aufsichtsbehörden haben Orientierungshilfe Smart-TV herausgegeben Download (auch) unter: www.lda.bayern.de/de/orientierungshilfen.html Stand heute: Bei den meisten Geräten ist nach einer Internetanbindung kein anonymes Fernsehen mehr möglich. Ungeklärte Rechtsfrage: Gilt das TMG automatisch bei HBBTV (Rundfunksignal) www.lda.bayern.de 37

9 Prüfung: Sind Wearables kritisch Aktuelle Prüfung von Seiten mehrerer Aufsichtsbehörden Ziel ist eine relevante Marktabdeckung zu erreichen Abgestimmter Prüfkatalog Primäre dynamische Analyse Ergebnisse sollen im Oktober 2016 vorliegen Eine zentrale Frage: Welche Daten mit erhöhtem Schutzbedarf (Gesundheitsdaten) werden verarbeitet www.lda.bayern.de 38

10 Ausblick: Prüfungen morgen? Connected Cars HTTPS bei Webseiten Internet der Dinge Offline Tracking Smart Home Ideen? Bitte Mail an andreas.sachs@lda.bayern.de www.lda.bayern.de 39

Vielen Dank für Ihre Aufmerksamkeit www.lda.bayern.de 40

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback