In der letzten Episode des Jahres 2025 blicken c’t-Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich im c’t-Datenschutz-Podcast auf zwölf turbulente Monate zurück. Mit dabei ist wieder einmal Rechtsanwältin Anna Cardillo. Cardillo ist Partnerin in der Berliner Kanzlei MYLE. Sie berät Unternehmen und Behörden im Bereich Datenschutz und Informationssicherheit.

Zu Beginn diskutieren die drei einen aktuellen „Paukenschlag“: Der gemeinsame Beschluss von Bundeskanzler und Länderchefs zur Staatsmodernisierung enthält weitreichende Pläne zur Verschlankung der Datenschutz-Durchsetzung. So soll etwa die Pflicht zur Benennung betrieblicher Datenschutzbeauftragter wegfallen. Cardillo kritisiert das scharf: Die Anforderungen der DSGVO blieben ja bestehen, nur fehle dann die Person, die sich darum kümmert. Von Entbürokratisierung zu sprechen, sei irreführend.

Lage bleibt brisant

Beim Blick auf das Datenschutzabkommen mit den USA sind sich die drei einig: Die Lage bleibt brisant. Zwar hat ein US-Gericht im Mai entschieden, dass zwei Mitglieder der US-Datenschutz- und Freiheitsrechtekommission PCLOB (Privacy and Civil Liberties Oversight Board) rechtswidrig durch den amtierenden Präsidenten Donald Trump entlassen wurden. Doch die Ankündigung Trumps, dem Datenschutzabkommen de facto komplett die Grundlage zu entziehen, schwebt wie ein Damoklesschwert über den EU-US-Datentransfers. Cardillo rät Unternehmen dringend, sich auf Alternativen vorzubereiten.

Das Jahr brachte auch saftige Bußgelder: TikTok kassierte in Irland 530 Millionen Euro wegen Datentransfers nach China, Vodafone in Deutschland 45 Millionen Euro wegen Sicherheitslücken und mangelnder Kontrolle von Vertriebspartnern. Die Runde sieht darin ein wichtiges Signal, dass Unternehmen ihre Dienstleister sorgfältiger überwachen müssen.

Ende des Haftungsprivilegs?

Große Sorgen bereitet den Diskutanten die aktuelle Rechtsprechung zur Haftung von Plattformen. Das EuGH-Urteil im Fall „Russmedia“ deutet darauf hin, dass Forenbetreiber und Social-Media-Plattformen künftig Inhalte schon vor der Veröffentlichung prüfen müssen, um nicht sofort für Datenschutzverstöße haftbar zu sein. Dies könnte das Ende des bewährten „Providerprivilegs“ bedeuten, bei dem Plattformen erst ab Kenntnis einer Rechtsverletzung haften, und faktisch zu einer umfassenden Überwachungspflicht durch Upload-Filter führen.

Zum Abschluss diskutiert das Trio das sogenannte „Omnibus-Paket“ der EU, das weitreichende Änderungen an der DSGVO und anderen Digitalgesetzen vorsieht. Während Heidrich durchaus pragmatische Erleichterungen erkennt, befürchtet Bleich eine Aufweichung des Datenschutzes zugunsten der Industrie, etwa beim Training von KI-Modellen mit Nutzerdaten. Am Ende fällt das Fazit der Runde fällt eher pessimistisch aus: Der Datenschutz stehe vor schwierigen Zeiten.

Episode 149:

Hier geht es zu allen bisherigen Folgen:

(hob)

Google hat Funktionen zur Verbesserung der Sicherheit von Android-Apps vorgestellt. Entwickler können mit sehr einfachen Ergänzungen ihre Apps etwa besser vor Ausspähen sensibler Daten schützen.

Ein Beitrag im Android-Developers-Blog erklärt etwa das neue Flag accessibilityDataSensitive in Android 16. Android-Malware nutzt häufig Barrierefreiheitsfunktionen, etwa der Anatsa-Banking-Trojaner oder die Copybara-Malware[Link auf Beitrag 4602725][Link auf Beitrag 4658025] und viele weitere, um Zugangsdaten oder andere sensible Informationen aus Android-Apps auszuspähen und an die kriminellen Drahtzieher auszuleiten. Google erklärt daher auch: „Bösartige Akteure versuchen, Accessibility-APIs zu missbrauchen, um sensible Informationen wie Passwörter und Finanzdetails direkt vom Bildschirm zu lesen und um Geräte von Nutzern zu manipulieren, indem sie falsche Berührungen damit einschleusen“.

Mit dem Flag accessibilityDataSensitive können Entwickler nun Ansichten oder sogenannte Composables markieren und damit erklären, dass sie sensible Informationen enthalten. „Setzt du das Flag in deiner App auf true, blockierst du im Wesentlichen potenziell bösartige Apps, sodass sie nicht auf deine sensiblen Daten zugreifen oder Interaktionen damit ausführen können“. Das Flag sorgt dafür, dass jedwede App, die Berechtigungen für Barrierefreiheitsfunktionen anfordert, sich jedoch nicht als legitimes Barrierefreiheits-Tool deklariert hat (Flag isAccessibilityTool=true), keinen Zugriff auf die Ansicht erhält.

Google setzt das Flag bereits ein

Das neue Flag haben Googles Entwickler bereits in die bestehende Methode setFilterTouchesWhenObscured integriert. In Apps, in denen die Entwickler bereits setFilterTouchesWhenObscured(true) zum Schutz der App vor „Tapjacking“ gesetzt haben, werden dadurch die Ansichten automatisch als sensible Daten für die Barrierefreiheit behandelt. Das soll zudem umgehend mehr Sicherheit liefern, ohne dass Entwickler zusätzlichen Aufwand haben.

Google empfiehlt Entwicklern, entweder setFilterTouchesWhenObscured oder accessibilityDataSensitive für alle Anzeigen zu nutzen, die sensible Informationen enthalten – einschließlich Login-Seiten, Zahlungsflüssen oder Ansichten mit persönlichen Daten oder Finanzinformationen. Weitere hilfreiche Informationen soll der Developer-Artikel über Tapjacking von Google liefern.

Auch mit Android 15 hat Google neue Funktionen implementiert, die die Datensicherheit erhöhen sollen.

(dmk)

Die DevSecOps-Plattform GitLab ist verwundbar. In aktuellen Versionen haben die Entwickler mehrere Sicherheitslücken geschlossen. Im schlimmsten Fall können Angreifer Systeme kompromittieren.

Die Entwickler versichern in einer Warnmeldung, dass sie in den Ausgaben 18.4.6, 18.5.4 und 18.6.2 insgesamt zehn Sicherheitslücken geschlossen haben. Davon sind vier mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2025-12716, CVE-2025-8405, CVE-2025-12029, CVE-2025-12562). Auf GitLab.com sollen bereits die abgesicherten Versionen laufen.

Verschiedene Gefahren

Setzen Angreifer erfolgreich an diesen Lücken an, können sie unter anderem Wiki-Seiten mit Schadcode erstellen oder Malware in Code Flow Displays verankern. In beiden Fällen müssen Angreifer aber bereits authentifiziert sein. Außerdem kann es nach DoS-Attacken zu Abstürzen kommen. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Durch die verbleibenden Schwachstellen können unter anderem Informationen leaken.

Zuletzt haben die GitLab-Entwickler Ende November mehrere Sicherheitslücken geschlossen.

(des)