Auch Microsoft-Mitarbeiter hören Sprachaufnahmen von Nutzern ab. Dabei belauschen sie nachträglich Skype-Telefongespräche, bei denen die Übersetzungsfunktion Translator genutzt wurde.

Ans Licht kamen die Informationen zu Skype über das US-Online-Magazin Motherboard. Die Redaktion sei von einem Informanten kontaktiert worden, der interne Dokumente, Screenshots und Audioaufnahmen lieferte. Letztere hätten eine Länge von 5 bis 10 Sekunden. Unter den Aufnahmen befinden sich auch intime Gespräche über Beziehungsprobleme, Gewichtsverlust und Telefonsex.

Microsoft bezieht Stellung

Gegenüber Motherboard äußerte sich Microsoft bereits, zeigte aber wenig Einsicht: Die Datenanalyse diene der Verbesserung der Services. Die Firma strenge sich an, transparent damit umzugehen, wie die Sprachdaten gesammelt und genutzt würden. Es gäbe einige Prozeduren, die dazu dienten, den Datenschutz der Nutzer zu priorisieren, bevor die Daten weitergegeben würden. Die Daten würden möglichst anonymisiert und es werden Verschwiegenheitserklärungen mit Geschäftspartnern vereinbart. Microsoft verweist darauf, dass bereits in der FAQ des Translators stehe, dass Audioaufnahmen dazu genutzt werden, die Produkte zu verbessern.

Dennoch bestehen zwei Probleme: Weder in der englischsprachigen noch in der deutschen Fassung der FAQ ist explizit die Rede davon, dass sich Menschen die Aufnahmen anhören. In der englischen Version heißt es: “[dass] Sätze und automatische Abschriften analysiert werden.” Die deutsche Fassung hat hingegen ein massives Übersetzungsproblem an der ausschlaggebenden Stelle: "Mit denen die Übersetzung und Speech Recognition Technologie Hier erfahren Sie, und wachsen, Sätze und automatische Protokolle analysiert und alle Korrekturen in unserem System, um weitere leistungsfähige Dienste erstellen eingegeben werden.“

Zudem zeigt gerade der Fall des Whistleblowers, dass die Daten in Microsofts System nicht sicher sind. Gegenüber Motherboard behauptet der Konzern das Gegenteil: “Audiodaten sind für Vertragspartner nur über ein sicheres Online Portal verfügbar.” Motherboard hat außerdem einschlägige Jobanzeigen von Microsofts Vertragspartnern gefunden, die von Heimarbeit sprechen. Somit besteht die Gefahr, dass Aufnahmen außerhalb der kontrollierten Geschäftsräume abgespielt werden und Ncht-Angestellte sie hören.

Die Nutzer würden es nicht mögen

Der Informant kommentiert den Fall gegenüber Motherboard mit Bedenken: “Ich habe generell das Gefühl, […] dass wenn Microsoft-Nutzer wüssten, dass wahllose Leute zu Hause in ihren Schlafanzügen sitzen und eventuell über das Gesagte Scherze mit ihren Freunden machen, sie das nicht mögen würden.”

Erst in den letzten Wochen kam heraus kam heraus, dass sowohl Amazon, Google als auch Apple die Audioaufnahmen ihrer Nutzer von Menschen abhören lassen. Die Konzerne reagierten größtenteils damit, die Prozedur zumindest temporär einzustellen. (hcz)

Werbekunden von Twitter konnten auf Nutzerdaten zugreifen, zu denen sie eigentlich keinen Zugang haben sollten. Wer betroffen ist, ist unklar. Twitter entschuldigt sich.

Einige Daten von Twitter-Nutzern könnten ohne deren Wissen mehr als ein Jahr lang mit Werbekunden des Dienstes geteilt worden sein. Zu den Informationen gehöre etwa der Länder-Code des Nutzers sowie ob und gegebenenfalls wann die Anzeige angesehen wurde, erklärte Twitter in der Nacht zum Mittwoch. Durch den Fehler seien Nutzern möglicherweise seit Mai 2018 auch auf Basis unzulässig gesammelter Daten personalisierte Werbeanzeigen angezeigt worden. Informationen zu Passwörtern oder E-Mail-Konten seien nicht betroffen. Die Probleme seien am 5. August behoben worden.

“Es tut uns leid”

Wie viele Nutzer davon betroffen sind, werde noch untersucht. Das in San Francisco ansässige Unternehmen entschuldigte sich: “Sie vertrauen darauf, dass wir Ihre Auswahl einhalten, wir haben dabei versagt”, schrieb Twitter mit Blick auf die persönlichen Einstellungen. “Es tut uns leid, dass das passiert ist.” Das Unternehmen treffe Vorkehrungen, damit sich ein solcher Fehler nicht wiederhole.
#more#

Ein paar Datenschutz-Optionen gibt Twitter dem Nutzer an die Hand. Doch sind Erklärtexte unklar und ganz Abschalten kann man die Datenerfassung nicht.

In den Einstellungen des Twitter-Accounts kann der Nutzer festlegen, wie einige seiner Daten genutzt werden dürfen. So kann man beispielsweise entscheiden, ob Werbeanzeigen “noch stärker” durch das Erfassen weiterer Online-Aktivitäten personalisiert werden sollen. Formulierungen zur Standorterfassung sind nicht ganz klar gefasst, so heißt es in den Einstellungen: “Twitter nutzt immer einige Informationen, etwa deinen Standort zum Zeitpunkt der Registrierung und deinen aktuellen Standort, um dir relevantere Inhalte zu zeigen. Wenn diese Einstellung aktiviert ist, kann Twitter auch mithilfe anderer Orte, an denen du gewesen bist, deine Erfahrung personalisieren.” Welche anderen Orte damit gemeint sind, ist nicht ganz klar. Denn der aktuelle Standort wird scheinbar sowieso immer von Twitter erfasst. Auch die Quelle, wo sich Twitter dieser Daten bedient, bleibt ungenannt. Die Datenschutzeinstellungen finden Sie auf der Twitter-Webseite im Seitenmenü unter “mehr → Einstellungen und Datenschutz → Datenschutz und Sicherheit → Individualisierung und Daten”. Deaktiviert man diese Optionen, verhilft das zwar bei weitem noch nicht zu einem kompletten Schutz der persönlichen Daten, aber man kann das Sammeln zumindest ein klein wenig einschränken.

Werbung als Geschäftsmodell

Der Verkauf von Werbeplätzen und das damit verbundene Sammeln und Teilen von Nutzerdaten ist Twitters Kerngeschäft: Der Umsatz stieg im letzten Jahresvergleich um 18 Prozent auf 841 Millionen US-Dollar (rund 750 Mio Euro). Die Zahl täglich aktiver Nutzer, denen Twitter Werbung zeigen kann, steigerte sich binnen drei Monaten von 134 auf 139 Millionen. Die Anzeigen gibt es auf der Website von Twitter sowie in hauseigenen Apps des Dienstes auf Mobilgeräten zu sehen.

Zugleich gibt es einige spezialisierte Programme zur Twitter-Nutzung ohne Werbung. Doch auch hier muss man aufmerksam sein, wenn man dadurch die Infrastruktur von Twitter umgehen möchte: TweetDeck – einer der populärsten Programme dieser Art – wurde beispielsweise 2011 von Twitter selbst gekauft. Unter anderem deswegen sollte man nicht davon ausgehen, dass man mithilfe der Programme von Drittanbietern zwangsweise Twitters Datenerfassung und Werbenetzwerk entgeht. (dpa / hcz)

Trotz Algorithmen, Automatisierung und KI – Sprachassistenten wie Apple Siri, Amazon Alexa und Google Assistant brauchen Menschen, die ihnen beim Lernen helfen – und Sprachaufnahmen abhören. Dass dabei der Datenschutz teils massiv verletzt wird, ist nun bekannt geworden.

Die Zeitarbeitsfirma Randstad in Polen suchte per Anzeige Mitarbeiter für die Auswertung von Alexa-Sprachaufnahmen – soweit, so normal. Dabei bewarb sie die Jobs allerdings mit “Telearbeit im ganzen Land”. Der Auftraggeber war Amazon. Wie die Welt am Sonntag berichtete, hörten die Mitarbeiter die Aufnahmen außerhalb der kontrollierten Geschäftsräume des Unternehmens ab. Konkret spricht die Welt von den privaten Wohnungen. Das ist deswegen problematisch, weil die Aufnahmen teils höchst persönliche oder gar intime Informationen enthalten. Gelegentlich sei eine eindeutige Identifikation der Personen möglich, durch genannte Namen oder Orte. Aus Sicht des Datenschutzes müsste eigentlich unbedingt verhindert werden, dass nicht angestellte Personen die Aufnahmen hören könnten.
#more#

Schwer zu finden und verklausuliert: Die Einstellung, um seine Alexa-Befehle nicht abhören zu lassen.

Gegenüber der Welt am Sonntag bezeichnete einer der polnischen Mitarbeiter die Arbeit als “ideale Hausfrauentätigkeit”. Viele Kollegen kombinierten den Job mit der Kinderbetreuung zu Hause. Die entsprechenden Job-Anzeigen sind mittlerweile verschwunden. Gesucht wurden polnische Mitarbeiterinnen und Mitarbeiter mit Deutschkenntnissen auf Muttersprachniveau.

Dass Menschen die Aufnahmen von Alexa anhören, war bereits bekannt: Zwar erkennen die Algorithmen der Sprachassistenten einen Großteil der gesprochenen Sprache; um das System aber weiter anzulernen, müssen einige Aufnahmen von Menschen transkribiert werden. Bislang hatte Amazon beteuert, dass dies nur in geschützten Büros mit Zutrittsbeschränkungen passiere. Die Recherche der Welt hat diese Behauptung widerlegt.

Abhören abschalten

Amazon reagierte bereits auf die Kritik: Ein Sprecher sagte, dass es einigen Mitarbeitern gestattet sei, von anderen Orten aus zu arbeiten. “Dabei gelten strenge Sicherheitsmaßnahmen und Richtlinien, an die sich jeder Mitarbeiter halten muss.” Die Arbeit an öffentlichen Orten sei nicht erlaubt.

Zudem hat Amazon in die Alexa-App einen Schalter eingebaut, der verhindert, dass Mitarbeiter die Aufnahmen anhören. Den Schalter finden Sie in der Alexa-App unter “Einstellungen→Alexa Datenschutz→Legen Sie fest, wie Ihre Daten Alexa verbessern sollen”. Sowohl die Bezeichnung des Menüpunktes als auch die Erklärungen rund um den Schalter sind recht verklausuliert. Dort heißt es unkonkret, dass die Sprachaufnahmen möglicherweise “manuell überprüft” werden. “Hierbei wird nur ein sehr kleiner Anteil der Sprachaufnahmen manuell überprüft.” Des Weiteren wird bei Ändern der Einstellung davor gewarnt, dass Spracherkennung und neue Funktionen möglicherweise nicht ordnungsgemäß arbeiten. Wieso dies der Fall sein sollte, ist unklar. Schließlich dürfte die Überprüfung der Sprachaufnahmen keinen direkten Einfluss auf die aktuelle Funktionsfähigkeit von Alexa haben. Stattdessen dient die Datenanalyse nur dazu, neue Funktionen zu entwickeln oder Alexas Reaktionsqualität in Zukunft zu verbessern.

Google und Apple kaum besser

Anfang August wurde der Sprachassistent Google Assistant aus ähnlichen Gründen kritisiert wie nun Amazon: Hamburgs Datenschutzbeauftragter Johannes Caspar hat ein Verwaltungsverfahren gegen den Konzern eingeleitet wegen möglicher systematischer Verletzung der Privatsphäre und Verletzung der Datenschutzgrundverordnung (DSGVO). Grund für Caspars Reaktion waren durch niederländische Whistleblower veröffentlichte Aufnahmen, die teils sensible personenbezogene Informationen enthielten. Außerdem entstanden viele Aufnahmen wegen fehlerhafter Erkennung des Aktivierungsbegriffs.

Google hat daraufhin das Abhören der Aufnahmen bis Ende Oktober EU-weit ausgesetzt. Wie es danach weitergeht, ist unklar. Für mehr als drei Monate kann Caspar die Praxis sowieso nicht unterbinden, denn anschließend ist die irische Datenschutzbehörde für Google zuständig. Als weitere Reaktion veröffentlichte Google einen (englischsprachigen) Blog-Eintrag, in dem die Firma ihr Handeln erklärt. Sie verspricht den Nutzern besser zu erklären, wofür die Aufnahmen verwendet werden und zukünftige Leaks dieser Art zu verhindern.

Wie die britische Zeitung The Guardian Ende Juli aufdeckte, gibt auch Apple die von Siri aufgezeichneten Audiodaten an Drittfirmen weiter. Die Argumentation des Konzerns ist die gleiche wie bei den Konkurrenten: Die Auswertung soll dem Sprachassistenten helfen, den Nutzer besser zu verstehen und Fehlerkennungen zu minimieren.
Gegenüber des Technik-Blogs Techcrunch kündigte Apple an, das Überprüfungsverfahren vorerst weltweit einzustellen und den Nutzern zukünftig die Wahl zu lassen, ob ihre Aufnahmen verwendet werden dürfen.

In Apples Fall besteht das Problem weniger darin, dass Menschen die Aufnahmen anhören. Das Problem liegt vielmehr darin, dass der Konzern seine Partnerfirmen nicht nennt und es für den Konsumenten somit schwer nachzuvollziehen ist, wo seine Daten letztendlich landen. Apple versichert gegenüber dem Guardian: “Siri Reaktionen werden in sicheren Einrichtungen analysiert und alle Gutachter sind in der Verpflichtung Apples strenge Vertraulichkeitsanforderungen einzuhalten.” Auf diese Weise würden 1 Prozent der Aufnahmen analysiert.

Ein anonymer Whistleblower, der für Apple oder seine Partnerfirmen arbeitet, sagte dem Guardian, dass er mit einer Vielzahl versehentlicher Aufnahmen zu tun habe. Er oder sie hätte zahllose (“countless”) private Konversationen mitbekommen: Ärzte, die mit ihren Patienten Diagnosen besprechen, Geschäftsgespräche, kriminelle Geschäftsgespräche und sexuelle Begegnungen. Die Apple Watch und der smarte Lautsprecher HomePod seien die häufigsten Quellen für versehentlich ausgelöste Aufnahmen. Laut der Quelle würden zu den Aufnahmen Nutzerdaten wie Standorte, Kontaktdaten und App-Daten geliefert werden. Obwohl Apple in seinen Dokumenten davon spricht, dass die Siri-Daten nicht mit den Informationen der anderen hauseigenen Dienste verknüpft würden.

Aufnahmen löschen

Wer nicht auf die Sprachassistenten verzichten und dennoch ein klein wenig mehr Kontrolle über seine Daten möchte, kann die gespeicherten Sprachdaten bei Google und Amazon löschen. Bei Ersterem kann man die Aufnahmen hier entweder manuell entfernen oder eine Automatik einstellen. Amazon erlaubt hier unter “Alexa-Datenschutz” nur die manuelle Löschung, so dass man regelmäßig aktiv werden muss. Apple bietet bislang keine vergeichbare Möglichkeit, kündigte aber an, eine solche Funktion per Update nachzuliefern. (hcz)

Das Browser-Add-on Mailveleope ist in der Version 4.0 erschienen. Das Update lohnt sich, denn dank eines BSI-Audits wurden sicherheitsrelevante Bugs entfernt. Zudem haben die Entwickler die Bedienoberfläche modernisiert.

Berlin (Posteo) – Um Mails per OpenPGP zu verschlüsseln, muss man in den meisten Fällen ein separates Mail-Programm wie Thunderbird installieren. Das kostenlose Browser-Add-on Mailvelope erlaubt eine echte Ende-zu-Ende-Verschlüsselung auch im Browser: direkt im Webmailer des jeweiligen Anbieters. Nun ist das Programm in Version 4.0 erschienen und bietet einige Anreize zum Update.

Einfach und übersichtlich: Auch nach dem Update bleibt Mailvelope intuitiv zu bedienen.

Auffälligste Änderung ist die neue Bedienoberfläche. Sie wirkt deutlich moderner und lebendiger als in Vorgängerversionen. Geblieben ist sind die Übersichtlichkeit und die selbsterklärende Bedienung. Nach der Installation nicht wundern: Das Logo des Add-ons hat sich ebenfalls geändert. Wer noch keinen eigenen PGP-Schlüssel besitzt, kann diesen bei der Einrichtung von Mailvelope erstellen lassen.

Zudem haben die Entwickler zahlreiche Bugs entfernt, die im Rahmen eines Sicherheits-Audits des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gefunden wurden. Um welche Fehler es sich gehandelt hat, werden die Entwickler in einem Audit-Bericht dokumentieren. Er soll in Kürze veröffentlicht werden.

Update installieren

Mailvelope ist kostenlos für die Browser Firefox und Chrome erhältlich und steht unter Open-Source-Lizenz. Es funktioniert mit vielen großen Mail-Providern und kann auch mit dem Posteo-Postfach kombiniert werden. Der Download ist etwa 3 Megabyte groß. Wer bereits eine frühere Version installiert hat, kann die Aktualisierung über die Add-on-Verwaltung des Browsers anstoßen; je nach Update-Einstellungen geschieht dies auch automatisch.

Wie Sie Mailvelope für ihren Posteo-Account einrichten und nutzen, lesen Sie in unserer Hilfe.

Viele Websites binden Facebooks “Like”-Button ein, der Daten wie die IP-Adresse von Nutzern überträgt. Die Website-Betreiber können laut einem Urteil die Verantwortung dafür nicht allein Facebook überlassen, sondern müssen bei Nutzern eine Einwilligung einholen.

Luxemburg (dpa/Posteo) – Der Europäische Gerichtshof (EuGH) entschied am Montag, dass die Seiten-Betreiber für das Erheben und Übermitteln von Daten über den Facebook-“Like”-Button mit verantwortlich sind. Für die anschließende Informations-Verarbeitung ist allerdings Facebook allein zuständig. Von der Entscheidung dürften auch ähnlich funktionierende Plug-ins betroffen sein. Die Einwilligungspflicht dürfte zum Beispiel auch für Facebooks “Teilen”-Button gelten. Der “Like”-Button überträgt beim Laden einer Website mit Facebook-Einbindung die IP-Adresse, die Webbrowser-Kennung sowie Datum und Zeit des Aufrufs. Auch dann, wenn der betreffende Website-Besucher den “Like”-Button nicht angeklickt hat – oder überhaupt keinen Facebook-Account besitzt.
#more#
Für uns selbstverständlich: Keine Social-Media-Plugins bei Posteo

Aus diesem Grund binden wir bei Posteo übrigens grundsätzlich keine Social-Media-Plugins, Werbung oder Captchas von Drittanbietern ein: unserer Überzeugung nach sollte dieser konsequente Verzicht für datenschutzfreundliche Internetangebote selbstverständlich sein.

Die Richter in Luxemburg befassten sich mit dem “Like”-Button wegen eines Streits zwischen der Verbraucherzentrale Nordrhein-Westfalen und dem Mode-Online-Händer Fashion ID der Peek & Cloppenburg KG aus dem Jahr 2015. Die Verbraucherzentrale hatte argumentiert, die Verwendung des “Gefällt mir”-Buttons verstoße gegen Datenschutzrecht – und reichte eine Unterlassungsklage gegen Fashion ID ein. Das Oberlandesgericht Düsseldorf bat den EuGH dann 2017 um die Auslegung mehrerer Datenschutz-Bestimmungen.

Außerdem bestätigte der EuGH das Klagerecht deutscher Verbraucherverbände in Datenschutz-Fragen auf europäischer Ebene auch nach der damals geltenden alten europäischen Richtlinie. Die seit Mai 2018 greifende Datenschutzgrundverordnung (DSGVO) sieht das Klagerecht für Verbände bereits ausdrücklich vor.

Die Verbraucherzentrale feierte den Ausgang des Verfahrens. “Durch das heutige EuGH-Urteil hat die Verbraucherzentrale NRW mit ihrer Klage gegen das Unternehmen Fashion ID eine Stärkung der Verbraucher-Datenschutzrechte beim Facebook-Like-Button mit Signalwirkung erreicht”, erklärte Vorstand Wolfgang Schuldzinski. “Der Praxis von Facebook, mittels des Like-Buttons Daten ohne Wissen der Nutzer abzugreifen, um sie für weitere Zwecke – etwa für passgenaue Werbung – zu verwenden, wird nun ein Riegel vorgeschoben.”