Thunderbird: Datenschutzbeschwerde gegen Mozilla Foundation eingereicht

Bei Wilhelm Busch heißt es: „Wehe,wehe, wenn ich an das Ende sehe.“

Thunderbird: Datenschutzbeschwerde gegen Mozilla Foundation eingereicht

Ich habe heute eine Datenschutzbeschwerde gegen die Mozilla Foundation beim Niedersächsischen Datenschutzbeauftragen eingereicht. Die Version 78.3+ verletzt IMHO die DSGVO, weil Mozilla per Zwangsaktivierung eines Opt-OUT-Mechnismuses die Telemetrie-Datenübermittlung aktiviert, auch wenn diese vor dem Update auf 78.3+  abgeschaltet war.

Deswegen wird Euch auch ein geänderter Datenschutzhinweis eingeblendet, sobald Thunderbird 78.3.x zum ersten mal gestartet wird. Dieser Hinweis hat es in sich:

Mozilla lässt sich also alle Domainnamen Eurer Konten übermitteln und damit das klappt, gibts einen zwangsaktivierten Default-Opt-OUT. Das an sich wäre schon schlimm, weil die das so rein gar nichts angeht, denn es wird nicht zur Verbesserung des Programms nötig sein. Ein knallharter Datenschutzverstoß wird da allerdings daraus, weil Domainnamen die NAMEN enthalten können, IMHO Personenbezogene Daten sind und damit muß zwangsweise ein valides Einverständnis des Datenspendenden vorliegen, was bei Opt-OUT per Präambel der DSGVO nicht der Fall ist.

Da ich solche Domainnamen selbst verwalte, bin auch automatisch Betroffener. Da ich solche Domains für Andere verwalte, wurde ich heute auch bevollmächtigt Datenschutzbeschwerde im Namen dieser Inhaber einzureichen.

Daher habe ich heute Datenschutzbeschwerde auf „Internationalen Datenschutz“ eingereicht und rufe jeden auf, es mir nachzutun, der Thunderbird installiert hat.

Ich halte uns zudem alle davon betroffen, da Emaildressen mit Domainnamen zur Persönlichen Kommunikation eingesetzt werden. Auf Mailinglisten wird oft nur die E-Mailadresse selbst ohne echtem Namenszusatz benutzt, womit die Adresse selbst als Personenkennzeichen fungiert und damit persönlich wird, auch wenn im vor-dem-@-Teil kein realer Name zu lesen ist. Das ist natürlich nur meine Einschätzung.

Fedora Devs sind informiert, OpenSUSE ist auf dem Weg, und andere signalisieren mir auch schon, daß es Mozilla diesmal zu weit getrieben hat.

Update: 14:00 Uhr

Der Bundesdatenschutz wurde nun mit einbezogen, wegen besserer Kontakte zu EU-Datenschutzbehörde.

CoronaChroniken: Wo es Datentröge gibt, kommen die Datensäue

Liebe Maskierte,

ein Grundsatz bei der Datenanhäufung lautet: Wo es Tröge gibt, kommen die Säue zum Fressen. Jüngstes Beispiel: Die Corona-Warn App.

CoronaChroniken: Wo es Datentröge gibt, kommen die Datensäue

Maybrit Illner versammelte  in Ihrer Coronagruppe verschiedene Politiker und den Berliner Amtsarzt Patrick Larscheid. Der sagte den anwesenden Politikern dann ganz deutlich, daß die Daten, die die App sammelt, so ja unbrauchbar sind, wenn man da nicht ran kommt. Der Datenschutz wäre da jetzt eher hinderlich. Klares Ziel: Ändert die App und gebt uns die Trackingdaten der Bürger!

Schön wärs gewesen, wenn man das so vor der Ausgabe der 63 Millionen öffentlich gesagt hätte, dann könnte man die jetzt für die Soforthilfe von Künstlern einsetzen. Was die App machen würde, und was nicht, war ja schliesslich bekannt.

Aus Sicht des Datenschutzes gilt mal wieder

Merke: „Daten die man nicht erhebt, kann man nicht weitergeben.“

Mehr zur App hier:

CoronaChroniken: Die Abwesenheit der Corona Warn App

CoronaChroniken: CVE für die Corona API von iOS und Android

CoronaChroniken: Corona-App öffnet Angriffen Tür und Tor

Coronachroniken: Wie man eine Überwachungsapps unters Volk bringt

 

Schluss mit Windows 7 .. LPD in Braunschweig

Es ist mal wieder soweit, der Linux Presentation Day (LPD) 2019.2 ist da! In Braunschweig geht unter anderem um Datenschutz und … „Schluss mit Windows(7)“ 🙂

„Schluss mit Windows 7“

Das Schwerpunktthema des zweiten LPD in diesem Jahr lautet „Schluss mit Windows 7“

Am 14. Januar 2020 läuft der Support von Windows 7 SP1 endgültig aus, das Betriebssystem bekommt dann regulär letztmalig Sicherheitsupdates. Als Fortsetzung bliebe dann nur noch WIN10: Aber, will man das? Und, braucht man das?

Wir sagen: NEIN!

Neben Win7 haben wir diesmal auch wieder Linux auf dem Tablet im Angebot, Hardcore Tabellenkalkulationing mit Libreoffice, Besucher können verschiedene Linuxsysteme in der Selbsterfahrungsecke ausprobieren, Wir geben wieder Anfängervorträge zu Linux und natürlich ist auch für das leibliche Wohl gesorgt.

Wie waren noch mal die Eckdaten?

Veranstalter: Die Braunschweiger Linux Usergroup
Ort: Haus der Talente, Elbestraße 45, Ecke Saalestraße, Braunschweig-Weststadt
Zeit: Samstag, 16.11.2019 an 13 Uhr bis ca. 18 Uhr.
Eintritt: frei \o/

Mehr Infos aus https://bs-lug.de .

OpenShot trackt Useraktivität via Google-Analytics

Das beliebte Videoschnittprogramm OpenShot trackt seine User im Rahmen der Produktverbesserung via Google-Analytics. Dazu bekommt jede Installation eine eigene CID, die zusammen mit Versionummer, Sprache, OS Version und dem jeweiligen aktuellen Programmfenster an Google-Analytics übermittelt wird. Und genau darin liegt das Problem. Keine Panik, das ist kein Public Shaming Artikel, vielmehr ein „wo liegt da eigentlich das Problem“ Artikel.

OpenShot trackt Useraktivität via Google-Analytics

Bei der Erstinstallation von OpenShot wird der Benutzer zwar gefragt, ob er zur Produktverbesserung beitragen möchte, aber in welcher Form dies passiert, darüber wird er nicht informiert. Was er auch nicht weiß ist, das bereits der erste Start an die Google Server übertragen wird, denn es ist ein OPT-OUT. Die Einwilligung ist vorausgefüllt und wird beim Start auch als gegeben angesehen, wie dies Startprotokoll zeigt:

sudo dnf install openshot

Installiert:
openshot-2.4.4-2.fc29.noarch blender-1:2.80-5.fc29.x86_64
bitstream-vera-sans-fonts-1.10-32.fc29.noarch openshot-lang-2.4.4-2.fc29.noarch
….
python3-libopenshot-0.2.3-1.fc29.x86_64

Fertig.
[surface ~]$ openshot-qt
Loaded modules from installed directory: /usr/lib/python3.7/site-packages/openshot_qt
launch:INFO ————————————————
launch:INFO OpenShot (version 2.4.4)
launch:INFO ————————————————
app:INFO openshot-qt version: 2.4.4
app:INFO libopenshot version: 0.2.3

QMainWindow::addDockWidget: invalid ‚area‘ argument
metrics:INFO Track metric: [200] http://www.google-analytics.com/collect?cid=fc262946-270b-4bde-aa09-723466a9db8b&v=1&tid=UA-4381101-5&an=OpenShot+Video+Editor&aip=1&aid=org.openshot.openshot-qt&av=2.4.4&ul=en-us&ua=Mozilla%2F5.0+%28X11%3B+Linux+x86_64%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F37.0.2062.120+Safari%2F537.36&cd1=0.2.3&cd2=3.7.4&cd3=5.11.3&cd4=5.11.3&cd5=Fedora-29-Twenty+Nine&t=screenview&cd=main-screen | (35 bytes)
metrics:INFO Track metric: [200] http://www.google-analytics.com/collect?cid=&v=1&tid=UA-4381101-5&an=OpenShot+Video+Editor&aip=1&aid=org.openshot.openshot-qt&av=2.4.4&ul=en-us&ua=Mozilla%2F5.0+%28X11%3B+Linux+x86_64%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F37.0.2062.120+Safari%2F537.36&cd1=0.2.3&cd2=3.7.4&cd3=5.11.3&cd4=5.11.3&cd5=Fedora-29-Twenty+Nine&t=screenview&sc=start&cd=launch-app | (35 bytes)
metrics:INFO Track metric: [200] http://www.google-analytics.com/collect?cid=fc262946-270b-4bde-aa09-723466a9db8b&v=1&tid=UA-4381101-5&an=OpenShot+Video+Editor&aip=1&aid=org.openshot.openshot-qt&av=2.4.4&ul=en-us&ua=Mozilla%2F5.0+%28X11%3B+Linux+x86_64%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F37.0.2062.120+Safari%2F537.36&cd1=0.2.3&cd2=3.7.4&cd3=5.11.3&cd4=5.11.3&cd5=Fedora-29-Twenty+Nine&t=screenview&cd=initial-launch-screen | (35 bytes)
ui_util:INFO Initializing UI for MainWindow

Zwar werden direkt keine personenbezogenen Daten durch OpenShot übermittelt, aber immerhin weiß Google jetzt, daß die IP a.b.c.d heute Fedora 29 benutzt, wieoft mit OpenShot rumspielt und das in English. Ich habe über diese Daten keine Kontrolle. Anhang der eindeutigen CID läßt sich auch prima verfolgen, wie oft jemand Openshot startet und benutzt. Natürlich ist es das Ziel der Produktverbesserung, daß man etwas über das Userverhalten erfährt, aber wieso muß Google das auch wissen?

Hätte man da nicht einen eigenen Server benutzen können? So schwer ist das nicht und da OpenShot eine eigene Webseite hat (https://www.openshot.org/de/privacy/), wäre das kein großer Aufwand.

Nehmen wir mal an, die DSGVO würde gelten

Fast selbstredend muß ich an dieser Stelle auf die Datenschutzprobleme hinweisen. Wie Ihr ja wisst, werden IP Adressen seit dem Urteil des Kammergerichts in Berlin aus 2013 als personenbezogene Daten gewertet. An der Einschätzung habe ich meine Zweifel, aber das Gericht sah es nun mal so an. Jetzt ist der Hersteller von Openshot in den USA ansässig und unterliegt somit normalerweise nicht der EU DS GVO.

Das hindert aber natürlich niemanden daran, das mal vom Datenschutz überprüfen zu lassen, schliesslich werden auch US Firmen mit Strafen versehen, die keinen Sitz in der EU haben, sich aber an EU Bürger wenden. Durch die Monopolstellung von OpenShot im Linuxbereich, oder kennt Ihr eine andere brauchbare Software für den Videoschnitt, könnte man eine Sonderbehandlung des Herstellers rechtfertigen. Ich werde das mal unserem Bundesdatenschützer vortragen, mal sehen was er dazu sagt.

Die DS GVO sagt dazu jedenfalls folgendes:

Art. 3 DSGVO Räumlicher Anwendungsbereich

(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

Der Fall ist erfüllt, weil das Programm sich auch an deutsche Benutzer richtet. Ich tendiere also dazu, die DS GVO als zuständig zu befinden. Das es Opensource und frei verfügbar ist, ändert nichts daran.

Openshot ist nicht Facebook

Damit wir uns nicht falsch verstehen, der OpenShot Hersteller ist keiner von den „Bösen Akteuren“ wie Facebook. Das ist mehr so eine „unglücklich umgesetzt“ Geschichte. Entsprechend habe ich das Problem auch beim Hersteller angesprochen. Was dabei raus kommt, werdet Ihr bei Zeiten erfahren.

Zurück zur IP. Wir nehmen ja mal an, daß die DS GVO gilt. In diesem Fall wäre die Übermittlung der IP durch den Webrequest bei Google, eine Übermittlung von Personenbezogenen Daten an Dritte. Dieser Übermittlung muß der Kunde zustimmen bzw. bei Geringfügigkeit, was hier der Fall ist, in der Datenschutzerklärung mitgeteilt bekommen. Wer auf seiner Webseite Google Analytics einsetzt, muß das ja auch in der DSE angeben. Jetzt liegt dem Produkt OpenShot aber gar keine Datenschutzerklärung bei. Nicht mal ein Link, den am anklicken könnte, existiert. Damit habe ich als Anwender keine Chance zu erfahren, daß meine Daten an Google übermittelt werden, welche das genau sind und wie oft das passiert. Transparenz geht anders.

Was OPT-OUT in der Realität bedeutet

Wie ich anfangs gezeigt habe, werden schon beim Programmstart Daten an Google übermittelt, noch bevor ich das per Entfernen des Zustimmungshakens verhindern kann. Das dürfte keine böse Absicht sein, weil der Code den ersten Start es Programms einfach genauso behandelt, wie jeden anderen auch. Da werden also die gleichen Methoden durchlaufen wie sonst auch. Das kann aber nur passieren, weil der Entzug der Zustimmung die Ausnahme ist. OPT-OUT halt. Bei einem OPT-IN würde man also ggf. nie einen Datenabfluß haben.

Die DS GVO verlangt eine qualifizierte Zustimmung zu so einer Übermittlung, was einem OPT-IN-Zwang gleichkommt. Würde die GVO also für OpenShot gelten, wäre das wie es jetzt ist ein Verstoß gegen Artikel 6 Absatz 1 a , weil auf 1f kann sich der Anbieter nicht berufen, da es datenschutzfreundlichere Wege gibt und nachlesen kann ich es in einer Datenschutzerklärung auch nicht.

Artikel 7 Absatz 1 legt einem Datenschutzverantwortlichen explizit auf, daß er jederzeit nachweisen können muß, daß der Benutzer eingewilligt hat. Schon der Punkt wird zum Problem, weil der nötige Flag lokal auf der Benutzerfestplatte liegt und zu allem übel auch noch vorausgefüllt war. Wenn jemand sein Homeverzeichnis mal neu macht, ist die Bestätigung der Einwilligung futsch, weil wird nicht auf dem Firmenserver (ja Openshot wird von einer Firma entwickelt) gespeichert. Da wird ein Beweis im Worst-Case schlicht unmöglich.

Zusammenfassung

Meine Kritikpunkte sind daher:

  1. OPT-OUT, statt OPT-IN
  2. Daten werden an Google übermittelt
  3. Daten werden vor der Zustimmung übermittelt
  4. Keine Information über die Art und den Umfang der Datenübermittlung
  5. nur durch einen Zufall überhaupt darüber gestolpert.

Das Produkt hat also so kleinere Datenschutzmängel. Einige davon kann man leicht beheben, ohne das die Firma Einbußen hinnehmen muß. Der Hersteller hat da auch einige Tips von mir bekommen, wie er das anstellen könnte. Warten wir mal ab. Wie gesagt, es sind nicht die bösen Datenabgreifer, es ist einfach unüberlegt umgesetzt worden. Wenn aber jemand eine Datenschutzbeschwerde einreichen würde, und so diese von der Behörde angenommen würde, hat der Hersteller von OpenShot IMHO, schon wegen des fehlenden Einwilligungsbeweises, ein größeres Problem am Hacken.

Wie schaltet man das jetzt wieder ab?

Kommen wir mal zur Lösung des Problems auf Eurer Seite. Das ist zum Glück einfach und zuverlässig machbar. Im „Bearbeiten“ Menü in die „Voreinstellungen“ wechseln, dort die „Fehlerbehebung“ aufrufen und diesen Haken hinter „Mess- und Fehlerdaten anonym senden“ entfernen:

Damit übermittelt Openshot dann ab sofort keine Daten mehr an Google. Habe ich natürlich geprüft 😉

Aber denke bitte daran, daß Ihr die nächste Installation von OpenShot ohne Internetzugang ( Stecker ziehen, Netzwerk abschalten ) startet und dann gleich den Haken entfernt.

Diese Woche im Netz

ZFS wurde endlich als stabile Version für Debian vorgestellt und soll kurzfristig für alle GNU Linuxe wie Fedora und Ubuntu usw. bereit stehen. ZFS ist ein Userland Filesystem, daß durch Dedublikation Speicherplatz einsparen kann. Wie das allerdings den meisten Endanwendern helfen soll, die kaum über doppelte Daten verfügen dürfen, ist mir ein Rätsel. Im Serverbereich ist die Dedublikation schon lange ein Thema, da hier tatsächlich oftmals die gleichen Daten anfallen. Beispiel: 10 User installieren WordPress 4.5. Mit ZFS gibt es die Files nur einmal auf der Platte, aber 10 User glauben Sie hätten das für sich 🙂 Im Prinzip sind das Symlinks auf Datenblockebene, die vom Filesystem selbst gemanagt werden. Ich bin mal gespannt wie stabil das wirklich ist, denn mein letzter Versuch endete im Datengau, zum Glück ohne realen Datenverlust.

Quelle: ZFS on Linux

Android Central hat T-Mobile geehrt, als den Carrier ( Mobilfunkanbieter ) bei dem man am einfachsten aus dem Vertrag raus kommt, wenn man wechseln will. Wie schlimm muß das bei den anderen sein, wenn der Mutterkonzern von T-Mobile, also die DTAG, schon ! 6 ! Monate braucht, um einen Festnetzanschluß zu kündigen und die Nummer zur Portierung freizugeben ?

Hab das gerade selbst erlebt, also keine Schmähkritik, sondern leider die Realität.

Quelle: How do i cancel T-Mobile

Endlich mal eine sinnvolle IT Entscheidung: der EuGH Gutachter meint, daß IP Adressen zwar persönliche Daten sind (, weil ja auch jeder sofort herausbekommen kann, wer die IP grade inne hat 😉 ), aber trotzdem von Webseitenbetreiber auf „Vorrat“ gespeichert werden dürfen, denn diese hätten ein „berechtigtes Interesse“ ihre Infrastruktur in Stand zu halten. Das meint übersetzt, daß man IP’s speichern darf, damit man z.b. DOSangriffe erkennen und abwehren kann.  Wir halten das für SINNVOLL!

Der Bundesdatenschutz sieht das übrigens anders, denn wenn es nach den Datenschutzgesetzauslegungen gehen würde, dürfte man die IPs nicht speichern, weil das persönliche Daten sind und die unterliegen ja, zu Recht, einem besonders starken Schutz. Dahingehend haben Datenschützer auch Webseitenbetreiber mit Strafe gedroht, sollte jemand mal IPs auf Vorrat speichern. Dumm nur, daß schon der Webserver im Errorlog die IPs speichert und man das nicht abschalten kann. Von den Accesslogs mal ganz abgesehen.

Quelle: Webseitenbetreiber dürfen IP langfristig speichern

Erst der Bundestag, dann die CDU, ob das am Prestige der CDU kratzt, nicht die erste Wahl gewesen zu sein? 😀

Quelle: russische Hacker sollen CDU angegriffen haben

Ein Kommentar:

Als Webhoster und Sachverständiger gegenüber den Ermittlungsbehörden, kann ich aus leidlicher Erfahrung sagen, daß das keine gute Entscheidung war, auch wenn Sie vom EU-Generalstaatsanwalt als Empfehlung stammt. Wir haben mit der neuen Regelung einen Freibrief für Kriminelle die jetzt per War Driving im WLAN um die Ecke alles von Erpressung, DOS Angriffen, Hacking, Identitätsdiebstähle usw. machen können, ohne das es eine Handhabe gibt. Da die Betreiber nicht mal grundlegende Informationen aufzeichnen werden, wie z.b. die MAC des Teilnehmers, gibt es keine relistische Chance mehr die Kriminellen zu finden. Was Freifunker als Sieg feiern, werden wir alle sehr teuer bezahlen. Das ist so sicher wie das Amen in der Kirche.

Quelle: Golem: BGH Entscheidung zur Haftung von Gästen
Quelle: Heise: Die-Hotspot-Wueste-lebt-Freude-ueber-Ende-der-WLAN-Stoererhaftung

Da hat das FBI wohl TOR-Benutzer durch eine Schwachstelle im TOR eigenen Firefoxbrowser enttarnt und Mozilla hätte jetzt gern den Exploit um die Schwachstelle zu fixen, sofern das in Firefox war.

Update: Mozilla ist mit seinem Gesuch gescheitert, an die genutzte Sicherheitslücke zu kommen 🙁

Quelle: FBI muss Mozilla keine Informationen ueber Sicherheitsluecke uebergeben
Quelle: Mozilla asks Court to disclose Firefox Exploit used by FBI to hack Tor users

Es scheint ja bei der Beantwortung der Frage „wie man WordPress installiert“ echte Defizite zu geben, deswegen einfach mal hier das Video schauen. Es zeigt die Installation auf einem Linux Webserver mit Apache und MariaDB Datenbankserver. Die Konfiguration von WordPress kommt dann ca. 1 Minute später im Video.

Quelle: Wie am WordPress installiert

Hungry Shark World

Screenshot by Marius

Ein Free-2-Play Titel macht grade viral bei Androidbesitzern mit  5 Millionen Downloads in der ersten Woche die Runde : „Hungry Shark World“ .

In App Store wurden bereits die ersten Nachahmungstäter gesichtet 😉 Wir stellen klar, das Spiel ist nur echt, wenn es von UBI SOFT kommt !

Wir haben es angespielt und es ist …. naja.. die Steuerung ist etwas zäh, trotz der 341 MB Installationsgröße lädt das Spiel beim Starten noch Sachen nach. Aber das Spiel scheint ganz nett zu sein. Spielt es aber lieber auf einem Tablet, beim Handyeinsatz verkrampft man so beim Spielen

Quelle: hungry-shark-world-goes-viral

Es scheint lustige IOT Türklingeln zu geben, die allerdings nicht nur das eigene Haus mit der Klingelfunktion versehen, sondern gleich die ganze Nachbarschaften „vernetzen“ 😀 Falls Sie auch eine „Ring Doorbell“ haben, sollten Sie mal prüfen, ob Ihre Tür nicht schon offen ist.

Quelle: some-ring-doorbell-pro-users-could-temporarily-see-other-peoples-houses

Microsoft ändert endlich seine Politik, das WLAN Passwort unter Windows 10 an die „Freunde“ des Besitzers zu „teilen“ 🙂

Quelle: windows10-wifi-sense

Und Sie fahren immer noch durch die Gegend, die gefakten GSM Basisstation in China, über die Spams und Trojaner verteilt werden. Laut Reportern, sollen in der Industrie vor rund 4 Jahren bereits 1,6 Millionen Menschen als Webdesigner, Hacker und Fahrer gearbeitet haben.

Quelle : China-Spam-ueber-gefaelschte-Mobilfunk-Basisstationen

… und dann war da noch die Sache mit dem nutzlosen H264Codec von Cisco für Fedora, der halt nur Baseline Profile codieren kann.

Quelle: OpenH264 in Fedora Workstation