Okay, das ging recht schnell. Nach den zurecht besorgten Nutzerreaktionen auf Apples Praxis, zur Umsetzung der Datenschutzfunktionen in Safari Daten neben Google auch an den chinesischen Anbieter Tencent zu versenden, der enge Verbindungen zur chinesischen Regierung pflegt, hat sich das Unternehmen nun zu der Thematik offiziell geäußert. Die Kernaussage dabei: Webseiten-URLs werden zur Überprüfung nicht an die beiden Unternehmen gesendet und Tencent ist ausschließlich dann beteiligt, wenn sich das zugreifende Gerät auf dem chinesischen Festland (ohne Hongkong) befindet. Demnach gelangt der chinesische Staatskonzern nicht in Besitz irgendwelcher Informationen von Nutzern außerhalb Chinas. Der Datenaustausch findet stattdessen in umgekehrter Richtung statt. So erhält Safari von den beiden Anbietern regelmäßig eine aktualisierte Liste von betrügerischen Webseiten, gegen die der URL-Aufruf dann auf dem Gerät geprüft wird. Apples Statement:

Apple protects user privacy and safeguards your data with Safari Fraudulent Website Warning, a security feature that flags websites known to be malicious in nature. When the feature is enabled, Safari checks the website URL against lists of known websites and displays a warning if the URL the user is visiting is suspected of fraudulent conduct like phishing.

To accomplish this task, Safari receives a list of websites known to be malicious from Google, and for devices with their region code set to mainland China, it receives a list from Tencent. The actual URL of a website you visit is never shared with a safe browsing provider and the feature can be turned off.

Die Liste der Anbieter enthält dabei auch keine URLs im klassischen Sinne, sondern lediglich sogenannte Hashwerte, aus denen sich auch nicht auf die URLs rückschließen lässt. Passt beim Aufruf einer URL in Safari zu einem Hashwert in der Liste, fragt Safari beim Anbieter die komplette Liste von URLs an, zu denen dieser Hashwert passt. Bei der Kommunikation zwischen dem Gerät und dem Google-Server, die für den Erhalt der Listen notwendig ist, sieht Google natürlich auch die IP-Adresse des Geräts auf das die Liste geladen werden soll. Dies ist bei der Kommunikation in Netzwerken allerdings nicht nut normal, sondern auch Grundlage der Kommunikation.

Wie Apple selbst auch anmerkt, kann diese Funktion deaktiviert werden. Dies geschieht in den Safari-Einstellungen, indem man den Schalter "Betrugswarnung" deaktiviert. Wie angemerkt, würde ich hiervon allerdings abraten, da die Funktion durchaus ihre Daseinsberechtigung hat. Apples Informationspolitik in diesem Zusammenhang lässt allerdings weiter zu wünschen übrig.

Apples Umgang mit China schlägt aktuell jede Menge hohe Wellen. Aktuell sorgt dabei eine eine Praxis für Schlagzeilen, die Apple bereits seit einiger Zeit im Zuge seiner Datenschutzfunktionen von Safari umsetzt, allerdings kürzlich um einen im Zuge der China-Diskussion als grenzwertig zu betrachtenden Dienstleister erweitert hat. Öffnet man die Safari-Einstellungen auf dem iPhone, findet man hier einen kleingedruckten Link "Über Safari & Datenschutz", hinter dem sich der nicht uninteressante Hinweis befindet, dass Apple für die Funktion "Betrugswarnung" in Safari Daten an Google, aber auch an den chinesischen Anbieter Tencent versendet, der enge Verbindungen zur chinesischen Regierung pflegt. Konkret heißt es dort:

Wenn die Option "Betrugswarnung" aktiviert ist, zeigt Safari eine Warnung an, wenn vermutet wird, dass die besuchte Website eine Phishing-Site ist. [..] Vor dem Öffnen einer Website sendet Safari möglicherweise Informationen zu dieser Website an Google Safe Browsing und Tencent Safe Browsing, um sicherzustellen, dass die Website legitim ist. Anbieter, die privates Surfen ermöglichen, können auch deine IP-Adresse protokollieren.

Nun ist die Betrugswarnungs-Funktion in Safari eine durchaus willkommene Option, um sich auf Basis großer Datenbanken von Internetkonzernen vor manipulierten oder schadhaften Webseiten warnen zu lassen. Dass dabei Informationen an die angesprochenen Konzerne übertragen werden müssen, sollte auch klar sein. Problematisch ist allerdings mal wieder die mangelhafte Kommunikationspolitik hierzu aus Cupertino. Die Erklärungen zu der Funktion hinter einem kleingeschriebenen Link irgendwo in den Einstellungen des iPhone zu verstecken wirft da kein gutes Licht auf die Informationspolitik. Dass sich zu Google nun auch noch Tencent hinzugesellt, ist dabei eigentlich eher zweitrangig. Grundsätzlich ist davon auszugehen, dass dieser Anbieter nur für Anfragen aus chinesischen Netzwerken herangezogen wird. Mit Sicherheit sagen lässt sich dies auf Basis des Info-Textes allerdings nicht.

Apple stand in den vergangenen Monaten bereits des Öfteren wegen der grenzwertigen Informationspolitik in der Kritik, was vor allem vor dem Hintergrund bedenklich ist, da sich das Unternehmen ja in der Vergangenheit immer wieder als Schützer von Nutzerdaten dargestellt hat. Hierzu sollte auch eine entsprechende Transparenz im Umgang mit diesen Daten gehören. Man macht also erneut denselben Fehler, den man auch bereits bei der Auswertung von Siri-Anfragen durch externe Vertragsnehmer gemacht hat. Ein Lerneffekt aus diesem PR-Debakel ist allerdings nicht wirklich zu erkennen und man darf gespannt sein, wie man in Cupertino auf die erneuten Anschuldigungen reagieren wird.

UPDATE: Inzwischen hat sich Apple zu der Thematik offiziell in einer Stellungnahme geäußert.

Facebook steht mal wieder in den Negativ-Schlagzeilen und natürlich geht es dabei um das Thema Datenschutz. So entdeckten Sicherheitsforscher eine ungeschützt über das Internet abrufbare Datenbank mit den Telefonnummern von mehr als 419 Millionen Facebook-Nutzern (via TechCrunch). Zwar beteuert das Unternehmen, dass hierdurch keine Nutzerkonten kompromittiert wurden, das Problem wird dadurch allerdings nicht kleiner. Inzwischen wurde die Datenbank aus dem Netz entfernt. Laut Facebook-Sprecher Jay Nancarrow stammt die Datenbank von einer inzwischen nicht mehr existenten Facebook-Funktion über die es möglich war, Nutzer auf Basis ihrer Telefonnummer zu finden. Facebook hatte diese Funktion im Zuge des Cambridge Analytica Skandals deaktiviert.

"This dataset is old and appears to have information obtained before we made changes last year to remove people's ability to find others using their phone numbers. The dataset has been taken down and we have seen no evidence that Facebook accounts were compromised."

Mit der Einführung neuer Berechtigungen für das Erfassen des Nutzerstandorts in iOS 13 hat sich Apple den Zorn diverser Entwickler zugezogen, die sich diesbezüglich nun in einem offenen Brief an Apple CEO Tim Cook gewendet haben, um ihren Unmut zu äußern (via The Information). Konkret geht es darum, dass Apple in iOS 13 diue bisherige Option "Immer erlauben" für die Standortbestimmung entfernt hat und stattdessen nur noch die Möglichkeiten "Beim Verwenden der App" "Einmal erlauben" oder "Nie" anbietet. Zudem kann man sich als Nutzer auch dazu entscheiden, dass die App bei der nächsten Verwendung noch einmal nach dem Zugriff auf den Standort fragen soll.

Vor allem der Wegfall der Option "Immer erlauben" in dem Popup zur Abfrage des Standorts bei der ersten Verwendung einer App stört die Entwickler. Zwar kann man nach wie vor in den Datenschutz-Einstellungen den Haken bei "Immer" setzen, dies erfordert jedoch zusätzliche Schritte des Nutzers und auch dessen Kenntnis dieser Möglichkeit. Die Entwickler der App Zenly werden aus diesem Grunde einen unschönen, zusätzlichen Screen implementieren, auf dem diese Schritte dem Nutzer erklärt werden.

Als Alternative schlagen die Entwickler vor, den Zugriff auf den Standort über die iOS-Abfrage künftig in zwei Schritten durchzuführen. Ob Apple sich hierauf einlässt, muss allerdings bezweifelt werden. Schließlich könnte es aus Apples Sicht sogar gewollt sein, da man den Nutzer auf diese Weise deutlicher darüber informiert, welche Apps eigentlich so im Hintergrund einen permanenten Zugriff auf die Standortdaten des Nutzers haben.

Was die Entwickler allerdings darüber hinaus ärgert ist, dass die Apple-eigenen Apps von den neuen Bestimmungen ausgenommen sind. Dies würde den Wettbewerb einschränken und den Apple-Apps einen deutlichen Vorteil gegenüber den Drittanbieter-Apps geben:

"Like you, we are committed to ensuring that privacy is a top priority, but are concerned that the current implementation will create user confusion that actually undermines this goal. The changes also have the added effect of removing critical geolocation functionality while simultaneously not applying to Apple's own apps, some of which compete with the products we develop."

Gegenüber The Information gab ein Apple-Sprecher zu diesem Vorwurf zu Protokoll, dass man mit den neuen Maßnahmen die Daten der Nutzer noch besser schützen wolle. Diese würden Apple vertrauen, weswegen die eigenen Apps von den Zugriffsabfragen ausgenommen würden.

We take responsibility for ensuring that apps are held to a high standard for privacy, security and content because nothing is more important than maintaining the trust of our users. Users trust Apple--and that trust is critical to how we operate a fair, competitive store for developer app distribution. Any changes we make to hardware, software or system level apps is in service to the user, their privacy and providing them the best products and ecosystem in the world.

Darüber hinaus bestätigte der Sprecher aber auch, dass sich Apple bereits in Gesprächen mit einigen der Entwickler befinde, die den Brief an Tim Cook unterzeichnet haben, um eine gemeinsame Lösung für die Kritik zu finden.

Gleiches Recht für Alle. Vor wenigen Wochen gerieten Amazon und Google in die Kritik, da Mitarbeiterteams vereinzelt private und sensible Gespräche von Nutzern ihrer Sprachassistenten mithören können. In einem Statement gaben beide Unternehmen zu Protokoll, dass dies in einer sehr geringen Anzahl der Fall, dies aber notwendig sei, um die eigenen Dienste stetig verbessern zu können. Nun gerät Apple wegen einer ähnlich gelagerten Praxis ebenfalls in die Kritik. So hat sich der Guardian mit einem Whistleblower unterhalten, der angibt als externer Auftragnehmer für Apple zu arbeiten und die Aufgabe hat, Sprachbefehle von Siri auszuwerten.

Während seiner Arbeit sollen er und Kollegen dabei immer wieder über sensible Informationen gestolpert sein, die sich von Drogengeschäften über Arztgespräche bis hin zu Aufnahmen während des Geschlechtsverkehrs erstreckten. Der Informant habe sich an die Journalisten gewendet, da er befürchte, dass Apple nicht offensiv genug diese Praxis gegenüber seinen Nutzern bekanntgibt. Hierzu sei allerdings angemerkt, dass Apple dies in der Vergangenheit durchaus des Öfteren bereits getan hat. So auch in einem aktuellen Statement gegenüber dem Guardian:

"A small portion of Siri requests are analysed to improve Siri and dictation. User requests are not associated with the user's Apple ID. Siri responses are analysed in secure facilities and all reviewers are under the obligation to adhere to Apple's strict confidentiality requirements."

Generell wird man sich damit anfreunden müssen, dass die Aufzeichnungen von Sprachassistenten hin und wieder von Menschen angehört und ausgewertet werden. So wird es übrigens auch in den Nutzungsbedingungen aller Anbieter angegeben. Diese wird sich allerdings vermutlich kaum jemand komplett durchlesen. Andererseits wären Verbesserungen und Weiterentwicklungen der Assistenten anders auch gar nicht möglich. Dass die Anbeiter dabei nicht unterscheiden können, um was für Inhalte es sich handelt, sollte auch klar sein.

Allerdings berichtet der Whistleblower auch, dass es offenbar eine relativ hohe Quote von unbeabsichtigten Aktivierungen von Siri über die Funktion "Hey Siri" gibt. Die dabei aufgezeichneten und ausgewerteten Sprachschnipsel sollen dabei eine Länge von bis zu 30 Sekunden haben. Apple fordert die Analysten auf, solche versehentlichen Aktivierungen als technisches Problem zu melden. Inhalte sollen in diesem Fall allerdings nicht weitergegeben werden.

Apple gibt an, dass sämtliche über Siri aufgezeichneten Inhalte anonymisiert und lediglich mit einer zufällig generierten ID identifiziert werden. Hieraus lässt sich jedoch kein Rückschluss auf den Nutzer, dessen Apple ID oder Adresse ableiten. Der Informant gab gegenüber dem Guardian allerdings an, dass sich aus den Inhalten der Aufzeichnungen sehr wohl Rückschlüsse ableiten lassen, wenn Namen, Adressen und weitere Informationen laut ausgesprochen werden. Zumindest die mit der Auswertung beauftragten Analysten könnten so auf verschiedene auf diese Weise "personalisierte" Daten zugreifen.

Apple selbst informiert auf seiner Webseite zum Thema Datenschutz auch über die Art und Weise, wie mit Siri-Inhalten verfahren wird. Selbstverständlich geht es dabei asschließlich um Prozesse und technische Aspekte. Die von Menschen ausgewerteten Inhalte werden davon nicht berührt. Insofern muss sich jeder, der die immer beliebter werdenden Sprachassistenten nutzt, selbst darüber im Klaren sein, dass die gesprochenen Inhalte auch durchaus von Menschen gehört werden können. Das bedingt schon der gesunde Menschenverstand.

Die versehentliche Aktivierung stellt dabei natürlich noch einmal eine Besonderheit dar, da man in diesem Fall ja gar nicht weiß, dass Siri überhaupt etwas aufzeichnet. Wer sich hierum Sorgen macht, kann die Funktion "Hey Siri" auf seinem iPhone, seiner Apple Watch oder seinem HomePod deaktivieren und Siri stattdessen manuell aktivieren, wenn man denn auf die Nutzung nicht ganz verzichten mag.

Anfang des Jahres sorgte Apple mit einer Guerilla-Aktion anlässlich der in Las Vegas stattfindenden CES für Aufsehen, als man in der Stadt großflächige Plakate errichten ließ, in denen man für den eigenen Datenschutz-Ansatz warb. Vor einigen Wochen setzte man diese Kampagne dann auch in Kabada fort. Als nächstes ist nun offenbar Deutschland an der Reihe. Wie die Kollegen von Macerkopf berichten, tauchten inzwischen erste entsprechende Plakate in Hamburg und Berlin auf. Dabei spielt Apple auf durchaus unterhaltsame Weise mit lokalen Gegebenheiten und titelt beispielsweise auf den Hamburger Plakaten "Das Tor zur Welt, nicht zu deinen Informationen." oder "Verrät so wenig über Hamburger wie Hamburger.". In Berlin heißt es hingegen unter anderem "Willkommen im sicheren Sektor.". Sämtliche Plakate ziert zudem die Zeile "Privatsphäre. Das ist iPhone.".

Zusätzlich zu den deutschen Plakaten steht nun übrigens auch der deutsche Datenschutz-Werbeclip von Apple zur Verfügung und kann auf YouTube eingesehen werden.

YouTube Direktlink

In dem Wirtschaftsstreit zwischen China und den USA ist auch der Apple-Konkurrent Huawei ins Fadenkreuz geraten. Unternehmensgründer und CEO Ren Zhengfei wird jedoch nicht müde zu betonen, dass er große Bewunderung für den Konkurrenten aus den USA empfindet. So sei Apple das große Vorbild nicht nur beim Produktdesign und den Innovationen, sondern auch in Sachen Schutz der Privatsphäre, wie Zhengfei nun in einem Interview mit CNBC zu Protokoll gibt. Die Aussagen sind umso bemerkenswerter, da Huawei eng mit der chinesischen Regierung verbandelt ist, die in Sachen Datenschutz einen leicht anderen Kurs fährt als beispielsweise Apple. Zhengfei hingegen betonte in dem Interview, dass sein Unternehmen niemals Nutzerdaten an die chinesische Regierung weitergeben würde.

Apple sei dabei das große Vorbild, dem Huawei nur allzugerne folgt. Dabei erinnert seine Wortwahl durchaus an die von Apple CEO Tim Cook wenn er sagt, dass die Daten den Nutzern gehören und nicht Huawei oder sonst irgendjemandem. Angesprochen auf die Datenweitergabe erklärte Zhangfei:

"We will never do such a thing. If I had done it even once, the US would have evidence to spread around the world. Then the 170 countries and regions in which we currently operate would stop buying our products, and our company would collapse.

After that, who would pay the debts we owe? Our employees are all very competent, so they would resign and start their own companies, leaving me alone to pay off our debts. I would rather die."

Anfang des Jahres sorgte Apple mit einer Guerilla-Aktion anlässlich der in Las Vegas stattfindenden CES für Aufsehen, als man in der Stadt großflächige Plakate errichten ließ, in denen man für den eigenen Datenschutz-Ansatz warb. Jetzt setzt man diese Kampagne offenbar fort. So tauchten in Kanada mindestens zwei neue dieser Plakate auf, wie Matt Elliot und Josh McConnell auf Twitter dokumentieren. Eines der Plakate ist direkt neben dem Hauptquartier von Sidewalk Labs in Toronto zu finden und trägt den Schriftzug "We’re in the business of staying out of your business.". Dies darf durchaus als kleiner Seitenhieb in Richtung Google zu werten sein, schließlich gehört Sidewalk Labs der Google-Mutter Alphabet.

Ein weiteres Plakat mit der Aufschrift "Privacy is King" wurde an der King Street, ebenfalls im kanadischen Toronto.