Die Datenschutzgrundverordnung (DSGVO) ist gut ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun wurde aber das erste ernstzunehmende europäische Bußgeld für Google erlassen.
Google soll in Frankreich insgesamt 50 Millionen Strafe zahlen. Die französische Datenschutzbehörde CNIL stellte eine Vielzahl von Verstößen gegen die DSGVO fest.
Informationen zur Verarbeitung der erhobenen Daten und der Speicherdauer sind für die Nutzer nur schwer zugänglich, erklärte die französische Datenschutzbehörde am Montag. Die Informationen sind in mehreren Dokumenten verteilt. Auch ist Vieles unklar formuliert.
Zudem ist nach Ansicht der Aufsichtsbehörde die von Google eingeholte Einwilligung zur Anzeige von personalisierter Werbung nicht rechtskonform. Die Einwilligenden werden nicht ausreichend informiert.
Google wolle nun nach einer ausführlichen Prüfung des Bescheides die Transparenz bzgl. der Daten erhöhen.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Die größten Browserhersteller Mozilla, Google, Apple und Microsoft haben angekündigt, dass ihre Browser ab 2020 die älteren Versionen von TLS, nämlich TLS 1.0 und TLS 1.1, nicht mehr unterstützen. Das bedeutet, dass Seiten, die nicht mindestens TLS 1.2 unterstützen, dann nicht mehr aufrufbar sein könnten, mindestens aber als unsicher markiert werden.
Dies wurde von den Browserherstellern zeitgleich bekannt gegeben. Nachdem nun von Chrome auch Seiten ohne HTTPS als "nicht sicher" klassifiziert werden, ist dies ein weiterer Schritt, um Benutzer sicherer surfen zu lassen.
Grund für die Abschaffung sind hauptsächlich schwache Hash-Verfahren wie beispielsweise MD5 und SHA1, welche momentan beide gebrochen werden können. Sollte ein Angreifer also lesend Zugriff auf Netzwerkverkehr erhalten, so kann er versuchen, die Verschlüsselung zu brechen. Hierdurch erhält er unter Umständen Zugriff auf sensible Informationen seines Opfers, beispielsweise die Zugangsdaten.
Außerdem bieten die alten TLS Versionen weitere Angriffsmöglichkeiten, wie z. B. BEAST oder POODLE.
Momentan stellen Verbindungen, welche mit TLS 1.0 und TLS 1.1 gesichert werden, allerdings nur einen verschwindend geringen Anteil dar: laut Google's Security Blog werden nur 0.5% aller HTTPS-Verbindungen mit TLS 1.0 oder TLS 1.1 aufgebaut. Da TLS 1.2 schon 2008 als Empfehlung galt, war genug Zeit, um auf die neueren Versionen umzustellen.
Tatsächlich spielt nicht nur die verwendete Version des TLS-Protokolls eine Rolle, sondern auch die angebotenen Cipher. Unter einem Cipher versteht man die bei SSL/TLS eingesetzte Kombination von Verschlüsselungs-, Signatur- und Hashverfahren. Werden diese zu schwach gewählt, kann die Verschlüsselung potenziell gebrochen werden. Zwar wird standardmäßig der stärkste verfügbare Cipher zwischen Client und Server ausgehandelt, jedoch kann ein Angreifer hier eingreifen und eine sehr schwache Verbindung zwischen seinem Opfer und dem Server erzwingen. Diese Attacken werden "TLS Protocol Downgrade Attacks" genannt.
Christian Stehle
IT Security Consultant
Bei Google Analytics handelt es sich um ein Instrument zum Webtracking bzw. zur Reichweitenanalyse im Internet, mit dem das Surfverhalten der Webseitennutzer anhand der über diese erhobenen Daten (Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Webseitenbetreiber vergebene Kennzeichnungen) zu Zwecken der bedarfsgerechten Gestaltung der Webseiten analysiert werden kann. Um einen datenschutzkonformen Einsatz des Analysetools Google Analytics gewährleisten zu können, sind eine Reihe von Maßnahmen durch den Webseitenbetreiber (= Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO) zu ergreifen.
Insbesondere muss ein Vertrag zur Auftragsverarbeitung zwischen dem Webseitenbetreiber und dem Anbieter von Google Analytics abgeschlossen werden. Der bisher von Google Inc. zur Verfügung gestellte Vertrag entspricht noch nicht den Vorgaben von Art. 28 DSGVO. Daher stellt Google LLC (vormalige Bezeichnung Google Inc.) nun unter https://privacy.google.com/businesses/processorterms/ sog. „Auftragsdatenverarbeitungsbedingungen“, die alle Regelungsinhalte aus Art. 28 DSGVO enthalten, zur Verfügung, denen die Webseitenbetreiber, die Google Analytics einsetzen, in ihren Kontoeinstellungen zustimmen müssen.
Der Webseitenbetreiber muss des Weiteren zustimmen, dass Daten der Webseitennutzer auch außerhalb der EU/EWR übermittelt werden. Diese Datenübermittlungen in Drittstaaten sollen gemäß den Auftragsdatenverarbeitungsbedingungen jedoch abgesichert sein durch die seit dem 26.09.2016 bestehende Privacy Shield-Zertifizierung der Google LLC sowie ihrer hundertprozentigen Tochtergesellschaften (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).
Es bleibt abzuwarten, wie sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, mit dem der bisher von Google zur Verfügung gestellte Vertrag zur Auftragsverarbeitung abgestimmt wurde, zu den neuen Auftragsdatenverarbeitungsbedingungen äußern wird.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.