Datenschutz – Vom Umgang mit Google, Facebook, Amazon, Netflix, Windows, Cloud-Speichern, EC-Karten, Bluetooth, WLAN & Co.

Ueberwachung. Quelle: Arvin Febry

Dieser Blogeintrag ist von meinem letzten Artikel zum Facebook-Skandal und Chinas Social Credits sowie einem Tweet über die Daten die Google & Facebook in Detail über einen Speichern motiviert [1] und dreht sich um den persönlichen Datenschutz.

Google und Android…

Für alle die ein Android-Smartphone benutzen sollte dieser Abschnitt im Artikel interessant sein, den um dieses, die Google-Apps und den Play-Store zu benutzen braucht man ein Konto bei Google. Damit werden dann automatisch sehr, sehr viele  Daten die dieses Telefon und der Nutzer (also: Du) generiert bei Google erfasst bzw. gespeichert. Unter anderem sind dies:

  • Komplette Inhalte von Kontakten & dem Kalender,
  • Standortdaten mit Zeitverlauf (im Detail),
  • WLAN & Bluetooth-Geräte in der Umgebung (MAC-Adressen, welche u.a. Aufschluss über Hersteller & Typ geben),
  • das Surfverhalten, Bookmarks und die Surf-Historie (besuchte Webseiten) wenn der Chrome-Browser genutzt wird,
  • welche Apps installiert sind und genutzt werden,
  • die durchgeführten Google-Suchen,
  • welche Youtube-Videos angeschaut wurden (und wann, ggf. auch welche Segmente),
  • gelesene eBooks, Nutzungsdaten zu gekaufter Musik, Videos, etc. (bei Nutzung der Google-Apps und deren Dienste),
  • alle eMails inkl. Inhalt (wenn GMail genutzt wird),
  • alle Backups die in die Cloud gehen (inkl. vielen Passwörtern auf dem Gerät),
  • die Smartwatches & Fitness-Tracker die mit Google-Fit verbunden sind (und deren Daten),
  • etc. pp.

Die Einstellungen um alles zu deaktivieren finden sich teilweise in der Android-Bedienoberfläche unter den Konteneinstellungen für Google – teilweise sind Sie jedoch nur über den Webbrowser zu erreichen und dann auf verschiedenste Unterseiten wie Google-Dashboard, die Privacy-Einstellungen und andere Seiten (u.a. Youtube) verteilt. Alles abzustellen ist gar nicht so einfach und ist auf einem Mobiltelefon auch nicht praktikabel.

Google Takeout – die gespeicherten Daten selber herunterladen

Google Takeout Datenarchiv herunterladen

Wer wissen möchte was Google alles über einen gespeichert hat, der kann den Google-Dienst ‘Takeout’ nutzen. Allerdings können einige Stunden oder sogar Tage vergehen bis die Daten aus all den Google-Servern zusammen- und bereitgestellt sind. Das bereitgestellte Archiv kann das auch schnell mehrere Gigabyte groß sein – je nachdem wie lange und intensiv man die Google-Dienste nutzt(e).

Der Tweeter aus dem erstem Link berichtet dann, das im Takeout-Backup dann auch Dateien (Google Drive), eMails, etc. pp. auftauchen, welche explizit gelöscht wurden. Letztendlich waren bei Ihm alle Daten seit 2009 in einem 5,5GB großen Download enthalten – alle jemals durchgeführten und angeschauten Youtube-Videos, alle Web-Suchen, alle eMails die gesendet oder empfangen wurde, etc. pp.

Das gleiche bei Facebook…

Auch Facebook speichert alle Daten derer es Habhaft werden kann. Auch hier kann man seine eigenen Daten herunterladen. Das ganze enthält dann u.a.:
  • Jede Nachricht (und jede Datei) die gesendet bzw. empfangen wurde,
  • alle Kontake im Smartphone,
  • alle je gesendeten Audionachrichten,
  • alle Likes und Interessen, was wie wo gecklickt wurde,
  • wann und von wo sich in Facebook eingeloggt wurde – und von welchem Gerät,
  • etc. pp.

… inklusive Schattenprofile über Menschen die gar kein Facebook haben

Und dabei speichert Facebook nicht nur Daten über die Menschen die diesen Dienst nutzen – sondern pflegt auch Schattenprofile über Menschen welche es nur aus den abgegriffenen Telefonbüchern & Co. kennt. Wer z.B. WhatsApp installiert und nicht speziell rumkonfiguriert – der erlaubt Facebook den kompletten Abgriff aller eigenen Kontakte. So weiß Facebook auch über mich bescheid, welche Menschen ich kenne bzw. mit mir Kontakt haben, hat meine Telefonnummer(n), ggf. meine Anschrift, ggf. ein Foto das bei meinem Kontakt hinterlegt ist, meine eMail Adresse(n), etc. pp [2]. Netzpolitik.org dazu:
“Facebook sammelt Daten auch über Nicht-Nutzer: Der Konzern saugt aus Kontaktlisten seiner Nutzer mit Vorliebe alle E-Mailadressen und Telefonnumern ab. Aus diesen und anderen Informationen erstellt Facebook sogenannte Schattenprofile.” und “Facebook speichere in den Schattenprofilen vieles an Daten ab, darunter auch sensible Informationen etwa zur politischen Meinung, religiösen Überzeugungen und der sexuellen Orientierung.”

Und Apple?

Wer meint bei Apple nun besser aufgehoben zu sein – dem möchte ich nur in Erinnerung rufen darüber nachzudenken was alles in der iCloud gespeichert ist… meinetwegen wertet Apple weniger aus, jedoch ist auch Apple an Gesetze gebunden und muss im Zweifelsfall Behörden & Co. Zugriff zu den Daten gewähren oder die Daten in Zukunft ‘vorsorglich’ mittels KI-Methoden Scannen und (nach welchen Kriterien auch immer) Überprüfen. Wer weiß es schon…
Nachtrag: Hier Details zu Apple und was die alles speichern und zu dem neuen DSGVO-Tool von Apple.

Zu Cloud-Speichern, Privatsphäre, Datenanalyse & Co.

Die “Cloud”. Quelle: Jason Blackeye

Viele Menschen speichern dann auch Ihre Daten, Bilder, etc. pp. in der Cloud (Microsoft OneDrive, Google Drive, Apples iCloud, etc. pp). Oft geschieht das auch schon automatisch – ohne das vielen Menschen das klar ist (z.B. iCloud). Das auch Kontakte, eMails & Co. da liegen ist ja schon obligatorisch. Wer nun meint, das das alles seine Privatsphäre ist und diese Daten von den Anbietern nicht im Detail untersucht, gescannt, kategorisiert und ausgewertet werden – den muss ich mal ganz grob enttäuschen.

Keine Vertraulichkeit der Daten

Schon 2015 gab es z.B. eine Razzia bei einem Deutschen – weil dieser seine (Porno-)Bildersammlung auf OneDrive hochgeladen hatte [12]. Anwalt Udo Vetter dazu [11]:

“Ob Google Drive, OneDrive von Microsoft oder andere Dienste: Viele amerikanische Anbieter scannen die von Nutzern hochgeladenen Inhalte von sich aus auf mögliche Kinderpornografie. Oder das, was man in den USA als solche definiert. Die Überprüfung geschieht offensichtlich automatisch und bringt auch in Deutschland Ermittlungen in Gang. Diese gehen bis zur Hausdurchsuchung, wie ein aktueller Fall aus meiner Praxis zeigt.”

Alles wird analysiert – bzw. kann analysiert werden

Ob da ein Bild nun Rechtswidrig war oder nicht – ein Algorithmus geht über alle eure Daten und auch wenn der falsch liegen sollte – kommt eine Kette in Gang der man lieber nicht ausgesetzt sein möchte. So können auch Bilder der eigenen Kinder (aus dem Kontext gerissen) als Kinderpornographie gewertet werden. Nicht nur das: Das Foto des Freundes oder der Freundin was in der Cloud gespeichert wird kann kritisch werden – wenn z.B. einer (oder beide) der Partner Minderjährig (<18) ist. Alles das hat es schon gegeben. So geht z.B. Microsoft aktuell noch einen Schritt weiter. Heise.de meldet dazu:

Die neuen Dienstleistungsbedingungen von Microsoft für Services wie Skype, Xbox Live, Bing, Cortana oder Cloud-Angebote untersagen beleidigende Äußerungen. Auch Pornos und explizite Gewaltdarstellungen sind künftig tabu.”

Und der Gesetzgeber spielt mit…

Um das umzusetzten werden alle Inhalte gescannt, (in Zukunft?) ggf. sogar die Sprache und die Videos der Skype-Telefonate untersucht – es umfasst die ganze Palette der Cloud-Dienste von Microsoft, nach Heise.de u.a.: “Skype, Xbox Live, Bing, Cortana, Outlook oder die Cloud-Dienste Office 365 und OneDrive.”. Das ganze kann in einer Kündigung des Kontos enden – oder es können auch einzelne Daten auf einmal gelöscht werden, wie bei Google Drive geschehen [12]. Und wer definiert überhaupt was eine beleidigende Äußerung ist? Und warum darf ich die ggf. nicht mal rein für mich (also privat) in einem eigenen Dokument speichern? Das ganze hat ja auch dort noch kein Ende: Was ist mit eigenen Aktfotos? Ab wann sind Karikaturen beleidigend? Was sind ‘anstößige Inhalte’? Wo ist das Ende und die Grenze? Ich Denke das es keine gibt – und heute verkündet die EU-Kommission, das Sie den Zugriff dritter auf Daten die in der Cloud gespeichert sind deutlich erleichtern will [17]. Heise.de im Detail zu den Plänen:

“Die Rede ist von Bestandsdaten wie Name und Anschrift oder möglicherweise Zugangskennungen und Passwörtern sowie E-Mails, SMS und Chatnachrichten, aber letztlich geht es allgemein um den Zugriff auch auf Inhaltsdaten einschließlich Fotos oder Videos in der Cloud.”

Egal, denn eines sollte klar sein: Die eigenen Daten sind in den Clouds der Konzerne so privat wie eine Postkarte auf dem Weg zum Empfänger… – und für mich in keiner Weise sicher, wenn Behörden innerhalb kürzester Zeit darauf zugreifen können und sich der Anbieter sogar eine (selektive und spontane) Datenlöschung vorbehält.

Microsoft & Windows 10

Zu diesem Thema hatte ich schon einen extra Beitrag – das was alles nach Redmont geht, wenn man nichts abstellt ist ein Wahnsinn und auch nicht weniger als bei Google (Android) & Co. Selbst mit speziellen Programmen wie Win10Privacy dauert es durchaus eine Stunde (wenn man grob weiß was man tut) um das meiste an Erfassung & Co. auszuschalten und zu deinstallieren.

Es wird jedenfalls der Tag kommen, an dem wohl auch ich Microsoft den Rücken kehre und mir Linux installiere. Aktuell war das Windows 10 Update kostenlos und ich nutze noch einige (wenige) Programm, welche es so unter Linux (noch) nicht gibt. Denn mit den halbjährlichen Windows-10 Zwangsupdates werden teils Einstellungen zurückgesetzt oder neue kommen hinzu. Letztendlich müssen Alle Einstellungen dann überprüft werden um sicher zu gehen.

eBooks, Musik- und TV-Streaming

eBook Reader am besten nur offline mit Calibre bespielen.

Das eBook Reader Daten an den Hersteller zurückfunken war schon 2012/13 ein Thema [3][4][5][18]. Danach wird es um dieses Thema jedoch dünn – selbst die neuste Auflistung der EFF wie Amazon, Google Books, Kobo, etc. mit dem Datenschutz umgehen ist aus dem Jahr 2012 [5]. Ich möchte jedenfalls nicht, das die großen Konzerne wissen was ich nun genau wann, wie oft, wie weit, wie schnell und wann und dann mal wieder gelesen habe – das Sie teilweise wissen welche Bücher ich neu oder gebraucht bestellt habe reicht mir schon… deswegen nutze ich für meinen eBook Reader Calibre um die eBooks Offline auf diesen zu synchronisieren. Besser ist das.

Wer jetzt denkt, das es bei Netflix, Amazon Prime & Co. besser ist – den muss ich enttäuschen [6]. Auch diese Dienste wissen und speichern genau wann er was (und wie lange) geschaut hat. Bei den Musik-Flatrate oder Streaming angeboten wird es ebenfalls nicht anders sein.

Wo der Musikgeschmack noch unkritisch ein mag (jedoch auch einiges über die Stimmung aussagt), wird es mir beim Gedanken daran, das andere genau wissen was und wann ich lese und wann ich was an Serien oder Filmen schaue schon unheimlich. Dann durch die Kenntnis dieser  Daten kann man schon einiges über einzelne Menschen aussagen… und alle anderen Daten kommen ja noch dazu…

Amazon Echo (Alexa), Google Home und Apple HomePod (Siri) & Heimvernetzung…

Hier wird es dann für mich mehr als Grenzwertig. Wo ich diese Dienste schon auf dem Smartphone (das bei mir eher ein MP3-Player und Offline-Navigation ist) nie genutzt habe – so wird mir bei diesen Gräten unheimlich. Welche App oder welcher Trojaner ggf. auf meinem Smartphone ungefragt etwas aufnimmt, das ist mir schon intransparent genug. Edward Snowden lötet deswegen das Mikrofon aus den Smartphones aus bzw. zerstört es – und nutzt dann gezielt das Headset, wenn er telefonieren möchte.

Bei diesen Geräten ist jedoch das dauernde Zuhören (Audio-Aufnahme) eine Basisfunktion. Und die Daten werden nicht lokal ausgewertet, sondern gehen alle in die Clouds der Konzerne wo die Spracherkennung stattfindet. Ob Sie dann dort je gelöscht werden?

Und was lässt sich noch alles aus der Stimme, Sprache, Wortwahl und dem Satzbau, den Hintergrundgeräuschen, Nutzungszeiten, Suchanfragen & Co. ermitteln? Ist jemand heiser? Krank? Aufgeregt? Depressiv? Gut oder schlecht gelaunt? Verschlafen? Fit? Im Streit? Ärgerlich? Erfreut? Hat einen Hund, eine Katze, Besuch – und wenn, dann welchen? Schaut RTL und Pro7 – oder doch eher ARD & ZDF? Ich denke mal da geht einiges, was sich aus den Stimmen, Hintergrundgeräuschen & Co. ermitteln lässt.

Wer das ganze mit einer Heimvernetzung verbindet, zahlreichen Bewegungs-, Licht- und Temperatursensoren – der gibt noch mehr frei. Dann wird auch schnell transparent wann jemand in der Wohnung ist und dann nicht. Zudem senden z.B. Staubsaugrobotter den Grundriss der Wohnung an den Hersteller [7]. Beim Rasenmäher könnte es dann ähnlich sein. Stück für Stück werden hier Daten preisgegeben und von den Herstellern gesammelt die intimste Einblicke in das eigene Leben ermöglichen – besser und genauer als in jedem Tagebuch.

Kundenkarten (Payback, etc,) und das bargeldlose Zahlen mit Smartphone, EC & Kreditkarte

NFC-Funktion deaktivieren

Wer eine Kundenkarte wie Payback & Co. nutzt – dem ist aus meiner Sicht nicht mehr zu helfen. Die Daten die da gewonnen werden gehen nicht mehr weg – und ermöglichen den Konzernen ziemlich genaue Vorhersagen, z.B. ob eine Frau schwanger wird [8]. Ich denke das mit den neuen KI-Methoden heute und auch in Zukunft noch mehr Dinge vorausgesagt werden können – insb. auch Dinge die mit dem Themenkontext Gesundheit (als auch Krankheiten) zu tun haben – und das ist sehr, sehr relevant für Versicherungen, welche Prämienhöhe und Risiken berechnen müssen (u.a. Kranken-, Zusatz-, Risiko-Lebens und Berufsunfähigkeitsversicherungen).

Aber auch ohne Kundenkarte haben bekommen die Unternehmen bei dem Bezahlen mit Smartphone, EC- und Kreditkarten (und anderen bargeldlosen Techniken wie NFC) den Namen des Karteninhabers, das Kreditinstitut und eindeutige Angaben wie die Bankverbindung oder die Kreditkartennummer gratis dazu. So können Sie die verschiedenen Einkäufe auf eine Person zusammenführen und ggf. sofort bzw. später mit anderen Daten der gleichen Person verbinden bzw. korrelieren.

Einzig die Barzahlung ist in diesem Kontext ‘sicher’ – wobei hier die Videoüberwachung der Kassenbereiche in Verbindung mit einer Gesichtserkennung auch viele Daten liefern kann – jedoch in Deutschland nicht legal und auch (noch) nicht auf dem Silbertablett. Denn eigentlich müsste der Supermarkt nur die Gesichter zu Facebook schicken – die könnten Sie sicher mit großer Wahrscheinlichkeit richtigen Menschen zuordnen, insb. weil viele Whats- und Facebook-App nutzter in Ihrem Telefonbuch auch Fotos für die Kontakte hinterlegt haben.

Aktiviertes WIFI oder Bluetooth am Smartphone

Drahtlosoptionen im Schnellzugriff unter Android

Wer WIFI oder Bluetooth aktiviert hat, der sendet damit auch eine eineindeutige Kennung, MAC-Adresse genannt, aus. Durch Empfänger können (und werden) diese Daten gesammelt (z.B. in einem Geschäft, oder überall in der Stadt bzw. Fußgängerzone) und so können dann wiederkehrende Kunden, Besucher und Menschen identifiziert werden.

Nicht nur das: Durch viele Empfangsgeräte (Scanner) kann auch der Weg von Personen (bzw. den Smartphones) durch ein Geschäft, Gebäude oder sogar eine Stadt im Detail verfolgt werden. Bezahlt der Kunde dann z.B. an der Kasse mit seiner EC- oder Kreditkarte – dann kann die MAC-Adresse schlussendlich mit einer realen Person verknüpft werden (oder in Verbindung mit Kameras, Bilderfassung & Co.).

Das ganze trifft natürlich auch auch viele so genannte NFC-Karten zu. Das können alle Arten von kontaktlosen Karten oder Bändchen (z.B. für den Fitness-Club oder das Schwimmbad) sein. Auch diese Dinger senden eine eineindeutige Kennung aus, welche genau wie die MAC-Adresse von WIFI und Bluetooth überall zum Tracking von Menschen genutzt werden kann.

Car-Sharing, Online-Ticket (Bahn), E-Mobilität & Co.

Wer mittels EC- oder Kreditkarten bzw. Online unter einem Account Tickets für Bus, Bahn & Co. kauft – dessen Bewegungen sind für das jeweilige Unternehmen transparent. Auch diese Daten gehen nicht mehr ‘weg’.

Das ganze betrifft ebenfalls die Träume von Carsharing & Co, denn dort ist die Nutzung der eigenen Identität aktuell quasi obligatorisch. Zudem wird genau erfasst von wann über was nach wo gefahren wird – da dies in vielen Fällen wichtig für die Abrechnung ist. Ab dem 1.4.2018 (kein Aprilscherz) ist dann auch ein eCall-Modul in neuen Kfz Pflicht, über das ggf. zusätzliche Bewegungsprofile anfallen – welche ebenfalls bei den Mobilfunkanbietern gespeichert werden dürften [9]. Sollte das Kfz dann noch weitergehend vernetzt sein – dann landen noch mehr Daten beim Hersteller und/oder Carsharing-Anbieter (selbst wenn man kein Mobiltelefon hat).

Ach ja: Bei E-Mobilität wird es kaum besser. Anonymes Tanken mit Barzahlung ist spätestens dann vorbei. Die Ladesäulen – die ja dann verteilt & irgendwo stehen lassen sich auch heute schon nur Bargeldlos bezahlen.

Fazit

Ich könnte jetzt noch ewig weiter machen – z.B. wie man über die Bewegungs- und Drucksensoren im Smartphone eine sehr gute Ortung hinbekommt – ganz ohne GPS, Mobilfunk und Ortungsdienste. Dazu brauchen die Apps dann nicht mal irgendwelchen speziellen Zugriffsrechte.

Wer meint das irgend eine Art von Daten die die eigenen Geräte, das eigene Haus oder den eigenen Rechner verlassen privat sind, nicht analysiert, gescannt oder anderweitig verwurstet werden – den muss ich enttäuschen. Sollte es in der Zukunft dann zu Dingen wie dem The Known Traveler’ Szenario (World Economic Forum) oder sogar Chinas Social Credits kommen, dann werden auf einmal all diese (schon angefallenen) Daten nochmals relevanter. Denn dann stehen die privaten Konzerne bereit und bewerten all das was man selber an Daten produziert ganz genau und ganz offen – und machen einen ‘Score’, eine Bewertung daraus. Wie die Kriterien für diese Bewertung sind – das wird ein Geheimnis bleiben, genau so wie die Schufa das Zustandekommen Ihres Schufa-Score nicht offen legt [14]. Natürlich machen sie selber ‘freiwillig’ mit – genau wie ich China. Warum? Weil Sie es gar nicht mehr überblicken können, weil Sie nicht in der ‘Schlange 2’ stehen wollen – oder es irgendwann einmal Gesetz geworden ist.

Hier ist zu bedenken, das Recht (Gesetze) nichts mit Gerechtigkeit zu tun haben. Recht (und Gesetzte) werden von Interessensgruppen beeinflusst, gesteuert und teils (bzw. oft) auch verfasst [15, 16]. Und deren Einfluss ist umso größer, je mehr Macht, Geld und letztendlich wirtschaftliche Interessen dahinter stehen. Geben Sie sich nicht der Illusion hin, das Recht ‘richtig’ oder ‘gut’ ist. Auch (richtige) Diktaturen haben Gesetzte – und die Richter dort halten sich ebenfalls nur an das Gesetz.

Was tun?

Wie schon im vorherigen Artikel ausgeführt ist eine der aktiven Strategien die mir zur Abmilderung der geschilderten Problematik einfällt – erst einmal so wenig wie möglich Daten zu erzeugen. Das heißt im Umkehrschluss für mich:

  • wo es immer auch praktikabel ist: Barzahlen,
  • alle Bus- und Bahntickets anonym (Bar) kaufen,
  • vorwiegend ÖPNV, Rad oder das eigene (alte und unvernetzte) Kfz benutzen,
  • kein Smartphone bzw. dieses wann immer es geht im Flugmodus betreiben (inkl. WLAN und Bluetooth),
    • zumindest LineageOS auf dem Android Smartphone (ohne GApps),
    • bei Apple Geräte die iCloud in keinem Fall aktivieren oder nutzen!,
  • generell keine Cloud-Speicher (Dateien, Daten, Fotos, etc.) nutzen,
  • keine oder wenig Streamingdienste nutzen und das eBook nur offline synchronisieren,
  • kein Account bei Google, Facebook, WhatsApp, Amazon & Co.
    • oder zumindest ‘Fake-Accounts’ wo alles deaktiviert ist (und die nur sehr wenig genutzt werden),
  • NFC-Funktion der EC- und Kreditkarte deaktivieren,
  • möglichst keine Kundenkarten nutzen – und wenn dann eine die an das einzelne Geschäft gebunden ist,
  • Windows 10 ‘abdichten’ oder auf Linux umsteigen,
  • den Web-Browser mit Plugins sicher(er) machen, ggf. auch Tor nutzen,
  • Bei Web-Suchen Dienste wie DuckDuckGo & Co. verwenden – Google, Bing, etc. möglichst vermeiden,
  • eMails wenn es geht immer verschlüsseln (Thunderbird und Enigmail),
  • auf keinen Fall einen großen eMail Anbieter wie GMail & Co. nutzen,

Ich habe das mit dem Web-Browser noch mal Fett markiert – weil ich in diesem Artikel nicht noch mal darauf eingegangen bin. Das Web-Browsen ist eine Sache bei der massivst Datenspuren hinterlassen werden & ohne mindestens 3-4 Privacy-Plugins geht hier meiner Ansicht nach gar nichts mehr.

Das ganze mag sich krass anhören bzw. lesen – ist jedoch meiner Ansicht nach heutzutage das Minimum an Vorkehrungen die man treffen bzw. an die man sich langsam gewöhnen sollte wenn man Internet & Co benutzt und Sorge um seine Daten und/oder deren zukünftige Verwendung hat.

Update: Hier noch ein Link zur Zusammenfassung der BigBrother-Awards 2018 von heise.de. Der Artikel passt wunderschön zu diesem hier – werden doch die angesprochenen Themen mit weiteren und aktuellen Beispielen belegt. Der Artikel von Heise und auch die verliehenen Preis machen für mich eines klar: Das was ich hier zusammen getragen habe ist das mindeste Rüstzeug und: Weniger ist mehr…..


Links

Quellen