Datenschützer kritisieren automatisches Software-Update

"Die Datenschutzbeauftragten des Bundes und der Länder wenden sich entschieden gegen die zunehmenden Bestrebungen von Softwareherstellern, über das Internet unbemerkt auf die Personalcomputer der Nutzerinnen und Nutzer zuzugreifen." Mit dieser Position zum automatischen Software-Update ist die Konferenz der Datenschutzbeauftragten jetzt an die Öffentlichkeit gegangen.

Die Hauptkritikpunkte der Datenschützer:

• Bei Online-Updates werden immer häufiger -- oftmals vom Nutzer unbemerkt oder zumindest nicht nachvollziehbar -- Konfigurationsinformationen mit personenbeziehbaren Daten aus dem Zielrechner ausgelesen und an die Softwarehersteller übermittelt, ohne dass dies im derzeit praktizierten Umfang aus technischen Gründen erforderlich ist.
• Darüber hinaus bewirken Online-Updates vielfach Änderungen an der Software der Zielrechner, die dann in der Regel ohne die erforderlichen Tests und Freigabeverfahren genutzt werden.
• Ferner ist nicht immer sichergestellt, dass andere Anwendungen problemlos weiter funktionieren. Das -- unbemerkte -- Update wird dann nicht als Fehlerursache erkannt.

Geht es um Änderungen von Software zur Verarbeitung personenbezogener Daten oder den zugrundeliegenden Betriebssystemen, so dürfen diese nach dem Datenschutzrecht ausdrücklich nur von dazu ermächtigten Personen vorgenommen werden -- wozu die Mitarbeiter des Softwareunternehmens in der Regel nicht gehören. Die Übermittlung personenbezogener Daten ohne Zustimmung des dafür Verantwortlichen ist natürlich auch in diesem Fall nicht erlaubt. Die meisten der derzeit angebotenen Verfahren entsprächen daher nicht dem deutschen Datenschutzrecht und dürften von datenverarbeitenden Stellen nicht genutzt werden, bemängeln die staatlich bestellten Datenschützer. Ebenso verletzten diese Verfahren die Privatsphäre privater Anwender.

Die Datenschützer fordern von den Software-Herstellern überprüfbare, vom Benutzer initiierte Update-Verfahren, die nicht zwingend einen Online-Datenaustausch erfordern. Sie sollten auch weiterhin datenträgerbasierte Updates anbieten, die bis auf die Adressangabe ohne Übermittlung von Daten auskommen. Automatisierte Online-Update-Verfahren sollten sie nur wahlweise anbieten. Diese müssten auf jeden Fall transparent und revisionssicher -- und damit in jeder Hinsicht nachvollziehbar -- gestaltet werden. "Der Zwang für den Nutzer, ein solches Verfahren ungeprüft einsetzen zu müssen, wenn er am technischen Fortschritt teilhaben will, und damit im Risiko zu stehen, dass der Anbieter persönlich-individuelle Informationen abzieht, ist unerträglich", meint Thomas Giesen, Sächsischer Datenschutzbeauftragter und diesjähriger Vorsitzender der Datenschutzkonferenz. "Ich hoffe, dass die Hersteller diese klare Meinungsäußerung der Datenschutzbeauftragten endlich zum Anlass nehmen, um umzudenken." (anm)