- Wird Serbien seine Datenschutzregeln an die EU-DSGVO anpassen?
- Das EU-Parlament beseitigt die größten Bedrohungen für die Meinungsfreiheit, die in der Verordnung über terroristische Inhalte vorgeschlagen wurden
- Strategischer Rechtsstreit gegen Bürgerrechtsverletzungen im Polizeigesetz
- Weltweiter Schutz personenbezogener Daten: Convention 108+
- Facebook Custom Audience ist illegal, ohne ausdrückliche Zustimmung des Benutzers
- Was uns die YouTube- und Facebook-Statistiken nicht verraten
Wird Serbien seine Datenschutzregeln an die EU-DSGVO anpassen?
Von SHARE Foundation
Nach einem mehr als fünfjährigen Prozess verabschiedete die Nationalversammlung Serbiens im November 2018 schließlich ein neues Gesetz zum Schutz personenbezogener Daten. Das Gesetz folgt eng der Allgemeinen Datenschutzverordnung der EU (GDPR), fast so weit, dass einige Teile des Textes wörtlich ins Serbische übersetzt werden. Das wurde aufgrund der EU-Beitrittskandidatur Serbiens erwartet. Es scheint jedoch sehr schwierig zu sein, die neue Gesetzgebung in die Praxis umzusetzen – und damit tatsächlich einen Unterschied zu machen, denn es gibt zahlreiche Mängel, die bei der Ausarbeitung und Verabschiedung des Gesetzes übersehen wurden.
In Serbien gibt es keine hohe Datenschutzkultur, und deshalb ist der Mehrheit der Menschen nicht bewusst, wie der Staat und der Privatsektor ihre personenbezogenen Daten erheben und verarbeiten. Die jüngste Affäre mit neuen Hightech-Überwachungskameras in der serbischen Hauptstadt Belgrad, die von Huawei geliefert wurden und über Gesichts- und Kennzeichenerkennungsfunktionen verfügen, zeigt, dass wenig darüber nachgedacht wird, wie sichTechnologien auf die Privatsphäre und den Alltag der Bürger auswirken könnten. Die hochrangigsten Staatsbeamten für innere Angelegenheiten, der Innenminister und der Polizeichef, haben in den Medien angekündigt, dass diese Kameras in Belgrad noch nicht installiert sind, während eine Use-Case-Studie auf Huawei’s offizieller Website ergab, dass die Kameras bereits in Betrieb waren. Bald nachdem die EDRi-Mitgliedsorganisation SHARE Foundation, eine serbische Non-Profit-Organisation, die sich dem Schutz und der Verbesserung der Menschenrechte im digitalen Umfeld widmet, einen Artikel mit Informationen aus Huawei’s Use Case „Safeguard Serbia“ veröffentlicht hatte, verschwand die Studie auf wundersame Weise von der Website des Unternehmens. Eine archivierte Version der Seite ist jedoch weiterhin verfügbar.
In Anbetracht der Tatsache, dass der im Gesetz vorgesehene Anpassungszeitraum nur neun Monate nach seinem Inkrafttreten liegt – im Vergleich zu zwei Jahren im Rahmen der GDPR – ist man allgemein der Ansicht, dass sowohl der öffentliche als auch der private Sektor viele Schwierigkeiten haben werden, ihre Praktiken an die Bestimmungen des neuen Gesetzes anzupassen.
In den letzten Jahren haben wir viele Fälle von Verstößen und Missbrauch personenbezogener Daten erlebt, wobei der größte zweifellos der Fall der inzwischen nicht mehr bestehenden Privatisierungsagentur war, als mehr als fünf Millionen Menschen, fast die gesamte erwachsene Bevölkerung Serbiens, ihre personenbezogenen Daten – wie Namen und eindeutige Bürger-Nummern, die im Internet veröffentlicht wurden – hatten. Die Agentur wurde schließlich von der Regierung geschlossen, und niemand wurde zur Verantwortung gezogen, da das Gerichtsverfahren nicht rechtzeitig abgeschlossen wurde (siehe Bericht des Kommissars (PDF), 2017, S. 59).
Obwohl das serbische Gesetz Schlüsselelemente der GDPR enthält, wie beispielsweise Grundsätze für die Verarbeitung personenbezogener Daten und die Rechte der betroffenen Personen, ist der Text selbst für Rechtsanwälte sehr kompliziert zu verstehen und auszulegen. Einer der Hauptgründe dafür ist die Tatsache, dass das Gesetz Bestimmungen enthält, die sich auf Angelegenheiten im Sinne der EU-Richtlinie 2016/680, der so genannten „Polizei-Richtlinie“, beziehen, die sich mit der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Prävention, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen und des freien Datenverkehrs befasst. Das Gesetz gilt auch nicht für die Videoüberwachung, insbesondere für wichtige Aspekte der Verarbeitung personenbezogener Daten. Der Beauftragte für Information von öffentlicher Bedeutung und Schutz personenbezogener Daten, die serbische Datenschutzbehörde und Organisationen der Zivilgesellschaft haben diese und andere Mängel mehrfach aufgezeigt (siehe unter anderem die Kommentare des ehemaligen serbischen Beauftragten), aber das Justizministerium ignorierte diese Kommentare.
Neben der Einreichung einer Beschwerde beim Kommissar ist es den Bürgern nach dem Gesetz auch gestattet, den Schutz ihrer Rechte vor Gericht zu beantragen und ein „paralleles Schutzsystem“ zu schaffen, das zu Rechtsunsicherheit und uneinheitlicher Praxis beim Schutz der Bürgerrechte führen kann. Was die Rechte der betroffenen Personen betrifft, so enthält der endgültige Wortlaut des Gesetzes einen Artikel mit Einschränkungen dieser Rechte. Dass diese Rechtnur durch Gesetz eingescgrönkt werden können, wurde allerdings weggelassen. In der Praxis würde dies bedeuten, dass staatliche Institutionen oder Privatunternehmen, die personenbezogene Daten von Bürgern verarbeiten, die Rechte der Betroffenen willkürlich einschränken können.
Um die Sache noch komplizierter zu machen, hat die serbische Nationalversammlung noch immer nicht den neuen Kommissar ernannt, den Leiter der wichtigsten Institution für die Reform des Schutzes personenbezogener Daten. Die Amtszeit des vorherigen Kommissars endete im Dezember 2018, und die Öffentlichkeit steht noch im Dunkeln, wer wann ernannt wird. Es besteht seitens der Zivilgesellschaft und von Experten zu diesem Thema die Befürchtung, dass der neue Kommissar der Aufgabe in Bezug auf Fachwissen und politische Unabhängigkeit nicht gewachsen sein könnte.
Neue und verbesserte Datenschutzgesetze, die an die Welt der Massendatenerfassung und -verarbeitung mittels Technologien der künstlichen Intelligenz angepasst sind, sind ein wichtiger Bestandteil eines erfolgreichen digitalen Wandels der Gesellschaft. In Serbien wird es jedoch in der Regel als Verfahrensschritt zum Beitritt zur EU angesehen. Ein Rahmen für den Schutz personenbezogener Daten, der in der Praxis den hohen Standards des GDPR entspricht, ist für die digitale Wirtschaft von großer Bedeutung, insbesondere für den wachsenden serbischen IT-Sektor. Wenn alle Unternehmen, die personenbezogene Daten verarbeiten, nachweisen können, dass sie in ihrer täglichen Praxis tatsächlich GDPR-konform sind und nicht nur „auf dem Papier“, wird es mehr Möglichkeiten für Investitionen in die digitale Wirtschaft Serbiens und für serbische Unternehmen geben, auf dem europäischen digitalen Markt zu konkurrieren.
Es wird viel Arbeit erfordern, um die Datenschutzstandards in Serbien zu verbessern, insbesondere mit einem Datenschutzgesetz, das in der Praxis nur schwer umzusetzen sein wird. Daher ist es von größter Bedeutung, dass die Nationalversammlung eine Person mit ausreichendem Fachwissen und beruflicher Integrität zum neuen Kommissar ernennt, damit der Prozess der Vorbereitung sowohl des privaten als auch des öffentlichen Sektors auf die neuen Verordnungen beschleunigt werden kann. Da die Anwendung des neuen Gesetzes über den Schutz personenbezogener Daten im August 2019 beginnt, sollte es nur als Beginn eines neuen Verhältnisses zu den Daten der Bürger betrachtet werden, das viel harte Arbeit erfordert. Andernfalls bleibt das Gesetz nur ein Stück Papier ohne praktische Wirkung.
Dieser Artikel wurde ursprünglich unter https://policyreview.info/articles/news/will-serbia-adjust-its-data-protection-framework-gdpr-practice/1391 veröffentlicht.
Weitere Informationen:
- SHARE-Stiftung
- Gesetz zum Schutz personenbezogener Daten (nur auf Serbisch, 13.11.2018)
- Der scheidende serbische Kommissar warnt vor Datenschutzgesetz (23.10.2018)
- Serbischer Datenschutzbeauftragter: NGOs fordern Transparenz (04.12.2018)
(Beitrag von Bojan Perkov, EDRi-Mitglied SHARE Foundation, Serbien)
Pressemitteilung: Das EU-Parlament beseitigt die größten Bedrohungen für die Meinungsfreiheit, die in der Verordnung über terroristische Inhalte vorgeschlagen wurden
Von EDRi
Das Europäische Parlament (EP) hat heute, am 17. April 2019, seinen Bericht über die vorgeschlagene Verordnung über terroristische Inhalte angenommen. Obwohl die Frage gestellt wurde, ob dieser zusätzliche Rechtsakt notwendig ist, um die Verbreitung terroristischer Inhalte im Internet zu bekämpfen, sind die Organe der Europäischen Union (EU) entschlossen, dafür zu sorgen, dass er das Tageslicht erblickt. Die Verordnung definiert, was „terroristischer Inhalt“ ist und wie der Abbauprozess aussehen sollte. Glücklicherweise haben die Mitglieder des Europäischen Parlaments (MdEP) beschlossen, einige notwendige Garantien zum Schutz der Grundrechte vor übermäßigen und unverhältnismäßigen Zensurmaßnahmen aufzunehmen. Der angenommene Text folgt den Vorschlägen anderer EP-Ausschüsse (IMCO und CULT), der EU-Grundrechtsagentur und der UN-Sonderberichterstatter.
„Das Europäische Parlament hat die meisten der größten Risiken, die der ursprüngliche Vorschlag für die Online-Grundrechte mit sich brachte, repariert“
sagte Diego Naranjo, Senior Policy Advisor bei EDRi.
„Wir werden die Entwicklungen in den nächsten Phasen aufmerksam verfolgen, da jede Änderung des heutigen Berichts eine potenzielle Bedrohung für die Meinungsfreiheit unter dem Deckmantel einer unbegründeten „Terrorismusbekämpfungspolitik“ darstellen könnte“
fügte er weiter hinzu.
European Digital Rights (EDRi) und Access Now begrüßen die Verbesserungen des ursprünglichen Vorschlags der Europäischen Kommission (EC) zu diesem Thema. Dennoch bezweifeln wir, dass die Ziele des Vorschlags erreicht werden, und weisen darauf hin, dass noch keine aussagekräftigen Beweise für die Notwendigkeit eines neuen europäischen Instruments zur Terrorismusbekämpfung vorgelegt wurden. In ganz Europa hat sich die Inflation der Anti-Terror-Politik überproportional auf Journalisten, Künstler, Menschenrechtsverteidiger und unschuldige Gruppen ausgewirkt, die vom Rassismus bedroht sind.
„Der Gesetzentwurf ist ein weiteres beunruhigendes Beispiel für ein Gesetz, das in einer Wahlperiode politisch schön aussieht, weil es erklärtes Ziel ist, die Verbreitung horrender terroristischer Inhalte im Internet zu verhindern. Aber beunruhigenderweise läuft das Gesetz Gefahr, die Freiheiten und Grundrechte im Internet zu untergraben, ohne einen überzeugenden Beweis dafür, dass es seine Ziele erreichen wird“,
sagte Fanny Hidvegi, Europe Policy Manager bei Access Now.
„Während des weiteren Prozesses muss der EU-Mitgesetzgeber zumindest die grundlegenden Menschenrechtsgarantien des vom Europäischen Parlament angenommenen Textes beibehalten“,
fügte sie weiter hinzu.
Der nächste Schritt in diesem Prozess sind Trilogverhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und den Mitgliedstaaten. Die Verhandlungen werden voraussichtlich im September / Oktober 2019 beginnen.
Lesen Sie mehr dazu:
- Regulierung terroristischer Inhalte: Erfolgreiche „Schadenskontrolle“ durch das LIBE-Komitee (08.04.2019)
- CULT: Grundrechte in der Verordnung über terroristische Inhalte fehlen
- Terroristische Inhalte: IMCO Stellungnahmeentwurf schafft die Voraussetzungen für das EP (18.01.2019)
- Regulierung terroristischer Inhalte: Dokumenten-Pool
Strategischer Rechtsstreit gegen Bürgerrechtsverletzungen im Polizeigesetz
Von der Gesellschaft für Freiheitsrechte
Fast jedes Bundesland hat seine Polizeigesetze erweitert oder bereitet sich auf die Erweiterung der Polizeibefugnisse vor. Die Polizeibehörden dürfen nun häufiger in die Bürgerrechte eingreifen, noch bevor eine konkrete Gefahr erkannt wurde. Sie erhalten auch neue Möglichkeiten, geheime Überwachungen online durchzuführen. Das EDRi-Mitglied Gesellschaft für Freiheitsrechte (GFF) ergreift rechtliche Schritte gegen alle Veränderungen der Polizeibefugnisse, die die Bürgerrechte verletzen. In den Ländern Bayern und Baden-Württemberg hat die GFF bereits Verfassungsbeschwerden gegen das Polizeigesetz eingelegt.
In Deutschland werden die polizeilichen Befugnisse auf Landesebene und nicht auf Bundesebene definiert. Derzeit ist ein deutlicher Trend zur Ausweitung dieser Kompetenzen auf fast alle Bundesländer erkennbar. Vorreiter der Entwicklung war Bayern, wo die Polizei im Mai 2018 mit Befugnissen ausgestattet wurde, die mit denen der Geheimdienste nahezu vergleichbar sind. Mit dem betreffenden Änderungsantrag wurde der Begriff „drohende Gefahr“ eingeführt, d.h. die Polizei darf auf verschiedene Weise in die Bürgerrechte eingreifen, wenn sie lediglich davon ausgeht, dass sich eine gefährliche Situation entwickeln könnte – was praktisch immer gerechtfertigt ist. Die Polizei kann so weitreichende Maßnahmen wie Online-Durchsuchungen und Telekommunikationsüberwachung als präventive Instrumente einsetzen.
Trend zur Ausweitung der polizeilichen Befugnisse
Während Bayern das krasseste Beispiel ist, haben mehrere andere Länder in der Folge Polizeigesetze erlassen, die in die Bürgerrechte eingreifen. Baden-Württemberg, Sachsen-Anhalt, Rheinland-Pfalz, Hessen, Mecklenburg-Vorpommern, Nordrhein-Westfalen und Brandenburg haben bereits ihre Polizeigesetze geändert.
Die Änderungsanträge unterscheiden sich, aber alle führen zu fragwürdigen Maßnahmen, die die Polizeibehörden nun anwenden können. Viele Bundesländer führten die Online-Durchsuchung und die Telekommunikationsüberwachung ein. Dies ist ein beispielloser Weg, um in das Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen einzugreifen. Gleichzeitig bedeutet dies, dass die Polizeibehörden Sicherheitslücken nutzen und damit die allgemeine IT-Sicherheit destabilisieren können.
Weitere neue polizeiliche Befugnisse umfassen den Einsatz von elektronischen Fesseln und Bodycams, die Ausweitung der Videoüberwachung an öffentlichen Orten, die Möglichkeit einer erweiterten DNA-Analyse, die Verlängerung von Höchsthaftzeiten und die technische Aufrüstung der Polizei (einschließlich Handgranaten, Elektroschocker und Drohnen).
Rechtliche Schritte gegen eine übermäßige Ausweitung der polizeilichen Befugnisse
Die GFF und ihre Partner haben bereits Verfassungsbeschwerden gegen die neuen Polizeigesetze in Bayern und Baden-Württemberg erhoben und prüfen derzeit mögliche Maßnahmen gegen die Änderungen der Polizeigesetze der Länder Nordrhein-Westfalen und Hessen. Die GFF ist auch kritisch in die Reformdiskussionen in den anderen Landesparlamenten eingebunden und plant, rechtliche Schritte gegen den weiteren Ausbau der Polizeibefugnisse in Deutschland einzuleiten.
- Gesellschaft für Freiheitsrechte (GFF)
- Deutschland: Neue Polizeigesetze bedrohen die Bürgerrechte (05.12.2018)
- Übersicht über die von Amnesty International und GFF erstellten polizeilichen Gesetzesänderungen in den Bundesländern (PDF)
(Beitrag des EDRi-Mitglieds Gesellschaft für Freiheitsrechte, Deutschland)
Weltweiter Schutz personenbezogener Daten: Convention 108+
Von Diego Naranjo
Fast ein Jahr nach Inkrafttreten der Allgemeinen Datenschutzverordnung (GDPR) in der Europäischen Union (EU) stellt sich oft die Frage, was andere Länder auf der ganzen Welt tun könnten, um die personenbezogenen Daten ihrer Bürger zu schützen. Obwohl es Länder gibt, die über Datenschutzgesetze verfügen, tun dies viele immer noch nicht oder haben Gesetze, die nur teilweise ausreichend sind.
Die Notwendigkeit eines globalen Datenschutzes
Angesichts der bestehenden (und zunehmenden) Datenströme ist ein unterschiedlicher Grad des Datenschutzes in den verschiedenen Regionen eine Bedrohung für die Länder und Regionen, die bereits fortgeschrittene Rechtsvorschriften haben (wie die EU, Uruguay, Argentinien und Japan). Die Harmonisierung ist auch der Schlüssel zu einer überall gleich starken Durchsetzung, und die Unternehmen haben keine Möglichkeit, „Forum Shopping“ zu betreiben.
Derzeit könnte der globale Standard für den Datenschutz das aktualisierte Übereinkommen 108 („Übereinkommen 108+“) sein. Dieses Übereinkommen, auch wenn es vom Europarat entwickelt wurde, kann von jedem Land der Welt unterzeichnet und ratifiziert werden. Das modernisierte Übereinkommen 108 bringt eine Reihe von Verbesserungen gegenüber dem vorherigen Text:
- Jede Person ist unabhängig von ihrer Staatsangehörigkeit unter ihren Schutz gestellt, solange sie der Gerichtsbarkeit einer der Parteien unterliegt, die das Übereinkommen ratifiziert haben.
- Die Definitionen werden aktualisiert, und der Anwendungsbereich umfasst sowohl die automatisierte als auch die nicht automatisierte Verarbeitung personenbezogener Daten.
- Der Katalog sensibler Daten wurde um genetische und biometrische Daten sowie um Gewerkschaftsmitglieder oder ethnische Herkunft erweitert.
- Es besteht nun die Verpflichtung, Sicherheitsverletzungen unverzüglich zu melden.
- Die betroffenen Personen erhalten neue Rechte, nämlich das Recht, einer Entscheidung, die die betroffene Person betrifft und ausschließlich auf einer automatisierten Verarbeitung beruht, nicht unterworfen zu werden.
Wie man dorthin kommt
Bei der Verbesserung des Datenschutzes auf nationaler oder regionaler Ebene sollten zusätzliche Anstrengungen unternommen werden, um sicherzustellen, dass die Unterzeichnung und Ratifizierung des Übereinkommens 108+ Teil jeder Agenda ist. Am 9. April 2019 verabschiedete der Europäische Rat einen Beschluss, der die EU-Mitgliedstaaten ermächtigt, das Übereinkommen 108+ zu ratifizieren. Dies sollte ohne unangemessene Verzögerung geschehen. Gleichzeitig werden die Möglichkeiten, die die Convention 108+ für eine globale Datenschutzkampagne bietet, mit Aktivisten aus der ganzen Welt während der RightsCon 2019-Konferenz diskutiert.
Weitere Informationen:
- Modernisiertes Übereinkommen zum Schutz des Menschen bei der Verarbeitung personenbezogener Daten – Konsolidierter Text
- Das modernisierte Übereinkommen 108: Neuerungen auf den Punkt gebracht
- Erläuternder Bericht zum Protokoll zur Änderung des Übereinkommens zum Schutz des Menschen im Hinblick auf die automatische Verarbeitung personenbezogener Daten
(Beitrag von Diego Naranjo, EDRi)
Facebook Custom Audience ist illegal, ohne ausdrückliche Zustimmung des Benutzers
Gastautor: Netzpolitik.org, Deutschland
Online-Shops und Vermarkter tauschen regelmäßig Kundendaten mit Facebook aus, um sie durch gezielte Werbung zu erreichen. Es stellt sich heraus, dass dies in vielen Fällen illegal ist. Eine bahnbrechende Entscheidung einer deutschen Datenschutzbehörde (DPA) hat kürzlich entschieden, dass der Abgleich der E-Mail-Adressen der Kunden mit ihren Facebook-Konten ihrer ausdrücklichen Zustimmung bedarf.
Erkältungsmedizin bei Grippe, Outdoor-Kleidung beim Wandern, Windeln nach der Suche nach Babypflege – gezielte Werbung auf Facebook ist überall. Was viele Nutzer nicht verstehen, ist, wie genau Werbetreibende sie auf Facebook ansprechen.
Das Custom Audience Tool von Facebook ist eine von vielen Möglichkeiten, wie Werbetreibende bestimmte Zielgruppen auf der Plattform finden können. Das Tool ermöglicht es ihnen, ihre Botschaft an bereits bekannte Personen weiterzugeben, wie z.B. Kunden aus ihren Online-Shops oder Abonnenten ihres Newsletters. Es ist eine der Grundlagen des Milliarden-Dollar-Werbegeschäfts von Facebook. Es ist allerdings illegal, wie es heute oft verwendet wird.
So funktioniert Custom Audience: Werbetreibende laden eine Liste mit Kundenkontaktinformationen wie E-Mail-Adressen oder Telefonnummern hoch. Facebook gleicht diese dann mit seinen eigenen Daten ab, um die gewünschte Zielgruppe zu identifizieren. „Hätten Unternehmen ihre Nutzer, Abonnenten oder Kunden in keinem der von uns untersuchten Fälle darüber informiert, dass ihre Kontaktdaten an Facebook weitergegeben werden“, erklärte Kristin Benedikt, Leiterin der Internetabteilung der Bayerischen Datenschutzbehörde, in einem Interview mit netzpolitik.org. Ihr Büro hat kürzlich Werbetreibenden verboten, das Tool zu nutzen und die Daten von Personen ohne ausdrückliche Zustimmung des Benutzers auf Facebook hochzuladen. Das Oberverwaltungsgericht des Landes Bayern bestätigte die Entscheidung Ende 2018, nachdem ein Online-Shop dagegen Berufung eingelegt hatte.
“ Wir sind sicher, dass Facebook zusätzliche Informationen über Benutzer von übereinstimmenden E-Mail-Adressen erhält, unabhängig davon, ob eine Person bereits bei Facebook registriert ist. Zumindest zeigen benutzerdefinierte Publikumsdaten Facebook, dass ein Nutzer auch Kunde eines bestimmten Unternehmens oder Online-Shops ist. Das mag in vielen Fällen harmlos erscheinen, aber wir haben Versicherungen beobachtet, die E-Mail-Adressen hochgeladen haben, auch Online-Shops für ganz bestimmte Produkte. Wenn eine Online-Apotheke oder ein Online-Sexshop ihre Kundenliste mit Facebook teilt, können wir nicht ausschließen, dass dabei sensible Daten preisgegeben werden. Gleiches gilt, wenn jemand den Online-Shop einer politischen Partei besucht oder einen ihrer Newsletter abonniert. In all diesen Fällen enthüllen benutzerdefinierte Zielgruppen detaillierte Einblicke. Facebook fügt diese Informationen zu bestehenden Profilen hinzu und verwendet sie weiterhin, ohne die Nutzer zu benachrichtigen oder ihnen die Möglichkeit zu geben, Einspruch zu erheben“, erläutert Benedikt.
Vielfältige Auswirkungen auf andere Facebook-Tools
Verteidiger des Tools wie der Data Broker Acxiom weisen darauf hin, dass der Datenabgleich erst nach dem Hashing der Daten erfolgt. Hashing ist eine beliebte Pseudonymisierungstechnik, die Kundendaten der Werbetreibenden wie E-Mail-Adressen oder Telefonnummern in kurze Fingerabdrücke verwandelt, bevor sie von Facebook abgeglichen werden, das wiederum dasselbe mit seinen eigenen Daten tut. In unserem Interview erklärt Kristin Benedikt, dass dies aus datenschutzrechtlicher Sicht nichts ändert: „Wenn einer der Prozesspartner den Hash-Code übersetzen kann, darf das Verfahren nicht anonym sein. Der Zweck von Custom Audience ist es, ausgewählte Benutzer zu finden und anzusprechen.“
Benedikt argumentiert, dass die Entscheidung Auswirkungen auf die Nutzung anderer Facebook-Tools wie Lookalike Audience und Facebook Pixel hat, obwohl die Regulierungsbehörde nur die Verwendung der spezifischen Version von Facebook Custom Audience untersucht hat, die auf Kontaktlisten basiert. Das Lookalike Audience Tool ermöglicht es Werbetreibenden, gezielt Personen zu erreichen, die ähnliche Datenprofile wie in ihren bestehenden Datenbanken haben. Mit dem Facebook Pixel können sie Personen auf Facebook ansprechen, die ihre Websites und Apps zuvor genutzt haben.
„Unserer Meinung nach bedarf auch die Verwendung der Pixelmethode der Zustimmung des Nutzers, um zulässig zu sein. Die Datenverarbeitung nach der Pixelmethode ist besonders umfangreich und verfolgt die Nutzer auf verschiedenen Websites und Geräten. Dies gilt auch für Nicht-Facebook-Nutzer. Für Nutzer, die eine Website besuchen, ist das Tracking weder zu erwarten noch erkennbar. Nur wer technisch anspruchsvoll ist, kann die Datenverarbeitung im Hintergrund erkennen. Das ist weder transparent noch hat der Benutzer hier eine echte Wahl“, sagt Benedikt.
Andere europäische DPAs zeigen Interesse
Der Fall wurde nach dem Bundesdatenschutzgesetz entschieden, bevor die Allgemeine Datenschutzverordnung (GDPR) im Mai 2018 in der EU in Kraft trat. „Dennoch sind wir der Meinung, dass die relevanten Prinzipien nach wie vor unter der GDPR gelten“, erklärte Benedikt. Sie betonte, dass ihr Büro ausschließt, dass sich Werbetreibende auf eine andere Rechtsgrundlage für die Datenübermittlung verlassen können. „Es gäbe höchstens den so genannten Interessenausgleich. Aber in einem solchen Fall, in dem die Verarbeitung undurchsichtig ist, überwiegt das Interesse der betroffenen Personen am Schutz ihrer Daten deutlich das Interesse der Unternehmen an Werbung und Verkauf.“
Die deutschen Datenschutzbehörden sind zwischen den 16 Bundesländern und dem Bund organisiert. Benedikt erklärte, dass die bayerische Vollstreckungsklage mit anderen deutschen DPAs koordiniert wurde, was Anlass zu der Annahme gibt, dass diese Rechtsauslegung nicht nur für das bayerische DPA gilt.
Laut Benedikt haben auch DPAs in anderen europäischen Ländern Interesse an der Entscheidung des Gerichts bekundet, „und uns um die Grundlage für unser Verbot der Nutzung von Custom Audiences gebeten. Bisher haben wir nur ermutigendes Feedback erhalten. Aus unserer Sicht ist es eigentlich sowieso eine sehr klare Sache.“
Nachdem netzpolitik.org das Interview veröffentlicht hatte, hat sich eine PR-Agentur, die Facebook vertritt, an sie gewandt und sie auf den folgenden Abschnitt in den Allgemeinen Geschäftsbedingungen für das Custom Audience Tool von Facebook hingewiesen:
„Facebook wird Dritten oder anderen Werbetreibenden keinen Zugang zu oder Informationen über die benutzerdefinierte(n) Zielgruppe(n) gewähren, Ihre benutzerdefinierte(n) Zielgruppe(n) verwenden, um an die Informationen anzuhängen, die wir über unsere Benutzer haben, oder interessenbezogene Profile erstellen, oder Ihre benutzerdefinierte(n) Zielgruppe(n) verwenden, außer um Ihnen Dienstleistungen anzubieten, es sei denn, wir haben Ihre Erlaubnis oder sind gesetzlich dazu verpflichtet“ (Schwerpunkt hinzugefügt). Während diese Passage den Eindruck erwecken kann, dass Facebook keine Custom Audience-Daten zu bestehenden Profilen hinzufügen würde, lässt sie mehr als genug Raum für Ausnahmen und verlagert die Verantwortung auf die Werbetreibenden (“ es sei denn, wir haben Ihre Erlaubnis“).
Netzpolitik.org hat die PR-Agentur von Facebook gebeten, zu erläutern, wie Facebook tatsächlich Custom Audience-Daten verwendet, und insbesondere zu kommentieren, ob Facebook die von den Werbetreibenden erhaltenen Daten zu bestehenden Nutzerprofilen hinzufügt. Facebook lehnte es wiederholt ab, zu antworten.
Dieser Artikel wurde ursprünglich unter https://netzpolitik.org/2019/facebook-custom-audience-illegal-without-explicit-user-consent-bavarian-dpa-rules/ veröffentlicht.
(Beitrag von Netzpolitik.org, Deutschland)
Was uns die YouTube- und Facebook-Statistiken nicht verraten
Von Bits of Freedom
Nach dem jüngsten Angriff auf eine Moschee in Neuseeland veröffentlichten die großen Social-Media-Plattformen Zahlen über ihre Bemühungen, die Verbreitung des Videos des Angriffs zu begrenzen. Was sagen uns diese Zahlen?
Angriff auf ihren Ruf
Der Terrorismus stellt eine Herausforderung für uns alle dar – und damit auch für die dominanten Plattformen, die viele Menschen für ihre digitale Kommunikation nutzen. Diese Plattformen mussten hart arbeiten, um die Verbreitung des Live-Streams des Angreifers zu begrenzen. Auch nur, um den Reputationsschaden zu einzudämmen.
Und deshalb haben Unternehmen wie Facebook und YouTube natürlich nachträglich Statistiken veröffentlicht. All das zeigte, dass alles sehr komplex war, aber dass sie ihr Bestes gegeben hatten. YouTube berichtete, dass in den ersten Stunden nach dem Angriff jede Sekunde eine neue Version des Videos hochgeladen wurde. Facebook sagte, dass es anderthalb Millionen Uploads in den ersten 24 Stunden blockiert hat.
Zahlen, die praktisch bedeutungslos sind.
Diese Zahlen mögen in den Medien gut aussehen, aber ohne viel mehr Details sind sie nicht sehr aussagekräftig. Sie sagen nicht viel über die Wirksamkeit, mit der die Verbreitung des Videos verhindert wurde, und noch weniger über die unbeabsichtigten Folgen dieser Bemühungen. Beide Plattformen hatten sehr wenig zu sagen über die verpassten Uploads, die daher nicht entfernt wurden.
Unter Verletzung ihrer eigenen Regeln
Es gibt noch mehr, was die Zahlen nicht zeigen: Wie viele nicht zusammenhängende Videos wurden zu Unrecht durch automatische Filter entfernt? Facebook sagt zum Beispiel: „Aus Respekt vor den von dieser Tragödie betroffenen Menschen und den Sorgen der lokalen Behörden entfernen wir auch alle bearbeiteten Versionen des Videos, die keine grafischen Inhalte enthalten.“ Dies sind Informationen, die anscheinend nicht gegen die Regeln der Plattform (oder gar des Gesetzes) verstoßen, aber aus Respekt vor den Angehörigen blockiert werden.
So einfühlsam das auch sein mag, es zeigt auch, wie sehr unsere öffentliche Debatte von den Launen eines Handelsunternehmens abhängt. Was passiert mit Videos von Journalisten, die über die Ereignisse berichten? Oder zu einem Video des Verwandten eines Opfers, der Teile der Aufzeichnung in einem eigenen Erinnerungsvideo verwendet? Kurz gesagt, es ist sehr problematisch für eine dominante Plattform, solche Entscheidungen zu treffen.
Blind für den Kontext
Ähnliche Entscheidungen werden bereits heute getroffen. Zwischen 2012 und 2018 nahm YouTube mehr als zehn Prozent der Videos des syrischen Archivkontos auf. Das Syrische Archiv ist ein Projekt, das sich der Erstellung visueller Dokumentationen über Menschenrechtsverletzungen in Syrien widmet. Das Filmmaterial dokumentierte diese Verstöße ebenso wie ihre schrecklichen Folgen. Die Algorithmen von YouTube sahen nur „gewalttätigen Extremismus“ und nahmen die Videos auf. Anscheinend haben die Filter den Kontext nicht richtig erkannt. Die Veröffentlichung eines solchen Videos kann dazu dienen, andere für einen bewaffneten Konflikt zu gewinnen, kann aber auch eine Dokumentation dieses bewaffneten Konflikts sein. Alles hängt von der Absicht des Uploaders und dem Kontext ab, in dem er sich befindet. Die automatisierten Filter berücksichtigen das Ziel nicht und sind blind für den Kontext.
Alles andere als transparent
Solche automatisierten Filter funktionieren in der Regel auf der Grundlage einer mathematischen Zusammenfassung eines Videos. Wenn die Zusammenfassung eines hochgeladenen Videos auf einer Liste von Zusammenfassungen von terroristischen Videos steht, wird der Upload abgelehnt. Die dominanten Plattformen arbeiten zusammen, um diese Liste zusammenzustellen, aber sie sind alle sehr geheimnisvoll. Außenstehende wissen nicht, welche Videos darauf sind. Das beginnt natürlich mit der Definition von „Terrorismus“. Es ist oft alles andere als klar, ob etwas unter diese Definition fällt.
Die Definition unterscheidet sich auch zwischen den Ländern, in denen diese Plattformen aktiv sind. Das erschwert die Nutzung der Liste noch mehr; die Plattformen berücksichtigen die nationalen Grenzen wenig. Wenn ein solcher Automatikfilter ordnungsgemäß funktionieren würde, würde er in einem Land immer noch zu viel und in einem anderen Land zu wenig blockieren.
Einwände können zu hoch sein und eine Hürde bedeuten
Wie bereits erwähnt, sagen die veröffentlichten Zahlen nichts über die Anzahl der Videos aus, die zu Unrecht entfernt wurden. Natürlich ist diese Zahl viel schwieriger zu messen. Plattformen könnten gebeten werden, die Anzahl der Einwände gegen eine Entscheidung zur Sperrung oder Entfernung von Inhalten mitzuteilen, aber diese Zahlen würden wenig aussagen. Das liegt daran, dass das Verfahren für eine solche Anfrage oft umständlich und langwierig ist, und oft genug werden die Uploader einfach entscheiden, dass es sich nicht lohnt, selbst wenn der Prozess es ihnen irgendwann ermöglicht hätte, ihr Video zu veröffentlichen.
Eine einzelne Maßnahme kann dieses Problem nicht lösen
Es ist unwahrscheinlich, dass das Problem mit besseren Computern oder mehr menschlichen Moderatoren gelöst werden könnte. Es ist einfach nicht möglich, die ganze Welt mit einer Schnittstelle und einer Moderationsrichtlinie zu bedienen. Problematisch ist, dass wir es ermöglicht haben, eine Online-Umgebung zu schaffen, die von einer kleinen Anzahl dominanter Plattformen dominiert wird, die heute die Macht haben zu entscheiden, was veröffentlicht wird und was nicht.
- Was uns die YouTube- und Facebook-Statistiken nicht sagen (18.04.2019)
- Was uns die YouTube- und Facebook-Statistiken nicht sagen (nur auf Niederländisch, 08.04.2019)
(Beitrag von Rejo Zenger, EDRi-Mitglied Bits of Freedom; Übersetzung ins Englische durch zwei Freiwillige von Bits of Freedom, einer von ihnen ist Joris Brakkee)
Deutsche Übersetzung der englischsprachigen Originalbeiträge von EDRi von Lutz Martiny
0 Kommentare zu “EDRi-gram 17.8, 24. April 2019”