EDRi-gram EU Datenschutz Topthema

EDRi-gram 17.14, 17. Juli 2019

  1. Microsoft Office 365 aus Datenschutzgründen aus deutschen Schulen verbannt
  2. „SIN vs. Facebook“: Erster Sieg gegen die privatisierte Zensur
  3. Die digitalen Rechte von LGBTQ+ Menschen: Wenn die Technologie die gesellschaftliche Unterdrückung verstärkt
  4. Die ersten DSGVO-Bußgelder in Rumänien
  5. Neue Datenschutzallianz in Russland, Mittel- und Osteuropa geplant
  6. Gebotsabgabe in Echtzeit: Die Versteigerung Ihrer Aufmerksamkeit
  7. E-Commerce-Review: Technologie ist die Lösung. Was ist das Problem?

 

Microsoft Office 365 aus Datenschutzgründen aus deutschen Schulen verbannt

Von Jan Penfrat

Die Datenschutzbehörde (DPA) des Landes Hessen hat in einer Bombenentscheidung entschieden, dass Schulen die Nutzung des Cloud Office-Produkts „Office 365“ von Microsoft untersagt ist. Nach der Entscheidung setzen die Standardeinstellungen der Plattform personenbezogene Daten von Schülern und Lehrern „einem möglichen Zugang von US-Beamten“ aus und sind daher mit den europäischen und lokalen Datenschutzgesetzen unvereinbar.

Das Urteil ist das Ergebnis einer mehrjährigen innenpolitischen Debatte darüber, ob deutsche Schulen und andere staatliche Institutionen überhaupt Microsoft-Software einsetzen sollten, berichtet ZDNet. Im Jahr 2018 entdeckten Ermittler in den Niederlanden, dass die von Microsoft gesammelten Daten „alles umfassen könnten, von der Diagnose der Standardsoftware bis hin zu Benutzerinhalten aus internen Anwendungen, wie beispielsweise Sätze aus Dokumenten und E-Mail-Betreffzeilen“. All dies verstößt gegen die Allgemeine Datenschutzverordnung (GDPR) und möglicherweise gegen lokale Gesetze zum Schutz personenbezogener Daten minderjähriger Schüler.

Während Microsofts „Office 365“ kein neues Produkt ist, hat das Unternehmen kürzlich sein Angebot in Deutschland geändert: Bisher stellte sie den Kunden eine spezielle deutsche Cloud-Version zur Verfügung, die auf Servern des deutschen Telekommunikationsriesen Deutsche Telekom gehostet wird. Die Deutsche Telekom fungierte als eine Art Infrastruktur-Treuhänder und stellte Kundendaten außerhalb der rechtlichen Reichweite der US-amerikanischen Strafverfolgungs- und Nachrichtendienste zur Verfügung. Im Jahr 2018 gab Microsoft jedoch bekannt, dass 2019 diese Sonderregelung beendet wird und deutschen Kunden angeboten wird, auf das Standard-Cloud-Angebot von Microsoft in der EU umzusteigen.

Microsoft besteht darauf, dass sich für die Kunden nichts ändert, denn die neuen „Office 365“-Server befinden sich auch in der EU oder gar in Deutschland. Die rechtlichen Entwicklungen in den USA haben die hessische DPA jedoch in höchste Alarmbereitschaft versetzt: Der neu verabschiedete „US Cloud Act“ befähigt die US-Regierungsbehörden, von allen in den USA ansässigen Unternehmen unabhängig vom Standort ihrer Server Zugriff auf Kundendaten zu verlangen.

Um es noch schlimmer zu machen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich Bedenken gegen Telemetriedaten geäußert, die das Betriebssystem Windows 10 sammelt und an Microsoft übermittelt. Selbst wenn also deutsche (oder europäische) Schulen die Nutzung des Cloud-Büros des Unternehmens eingestellt haben, gibt das allgegenwärtige Windows-Betriebssystem auch Daten an die USA weiter, ohne dass diese kontrolliert oder für die Nutzer gestoppt werden können.

Schüler sind in der Regel nicht in der Lage, ihre Zustimmung zu geben, sagte Max Schrems vom EDRi-Mitglied noyb gegenüber ZDNet. „Und wenn Daten an Microsoft in den USA gesendet werden, unterliegen sie den Gesetzen der US-Massenüberwachung. Das ist nach EU-Recht illegal.“ Auch wenn das legal war, haben Schulen und andere öffentliche Einrichtungen in Deutschland eine „besondere Verantwortung dafür, was sie mit personenbezogenen Daten machen und wie transparent sie darüber sind“, sagt die Hessische Datenschutzbehörde.

Es scheint, dass die Erfüllung dieser Aufgaben mit Microsoft Office 365 nicht möglich war. In einem nächsten Schritt ist es von entscheidender Bedeutung, dass die europäischen Datenschutzbehörden diese Ergebnisse im Rahmen des Europäischen Datenschutzrates diskutieren, um zu einer EU-weiten Regelung zu gelangen, die personenbezogene Daten von Kindern vor unkontrolliertem Zugriff durch US-Behörden schützt. Andernfalls wären europäische Schulen gut beraten, auf umweltfreundliche Alternativen wie Linux, LibreOffice und Nextcloud umzusteigen.

Erklärung des Beauftragten für Datenschutz und Informationsfreiheit des Landes Hessen zum Einsatz von Microsoft Office 365 in hessischen Schulen (09.07.2019)

ZDnet.com: Microsoft Office 365: Aus Angst vor dem Datenschutz in deutschen Schulen verboten (12.07.2019)

Microsoft: Microsoft bietet ab 2019 Cloud-Services in neuen deutschen Rechenzentren an, um auf Nachfrageänderungen zu reagieren (31.08.2018).

Beitrag von Jan Penfrat, EDRi

 

„SIN vs. Facebook“: Erster Sieg gegen die privatisierte Zensur

Von der Panoptykon Stiftung

In einer einstweiligen Verfügung vom 11. Juni 2019 hat das Landgericht Warschau Facebook vorübergehend untersagt, Fanseiten, Profile und Gruppen der Civil Society Drug Policy Initiative (SIN) auf Facebook und Instagram zu entfernen und einzelne Beiträge zu blockieren. SIN, eine polnische gemeinnützige Organisation zur Förderung der evidenzbasierten Drogenpolitik, reichte im Mai 2019 mit Unterstützung des polnischen EDRi-Mitglieds Panoptykon Foundation eine Klage gegen Facebook ein.

SIN reichte im Mai 2019 eine Klage gegen Facebook ein, die die Möglichkeit, Informationen durch die Organisation zu verbreiten, Meinungen abzugeben und mit ihrem Publikum zu kommunizieren, auf ungerechtfertigte Weise einschränkte. Aus Sorge um eine weitere Zensur war SIN nicht in der Lage, ihre Bildungsaktivitäten ungehindert durchzuführen. Darüber hinaus deutete die Entfernung von Inhalten darauf hin, dass die Aktivitäten der Organisation auf den Plattformen schädlich waren, was die Glaubwürdigkeit von SIN untergrub. Mit der Genehmigung des Antrags auf einstweilige Maßnahmen entschied das Gericht, dass die SIN ihre Ansprüche begründet hat. Obwohl es erst der Anfang der Studie ist, ist dies ein erster wichtiger Schritt im Kampf gegen exzessive und undurchsichtige Praktiken der Inhaltsblockierung in Social Media.

Diese einstweilige Verfügung vom 11. Juni bedeutet, dass – zumindest bis zum endgültigen Urteil in diesem Fall – die Aktivisten von SIN ihre drogenpolitischen Aktivitäten ohne Bedenken ausüben können, da sie plötzlich die Möglichkeit verlieren, mit ihrem Publikum zu kommunizieren. Das Gericht hat Facebook darüber hinaus verpflichtet, Profile, Fanseiten und Gruppen, die 2018 und 2019 gelöscht wurden, zu speichern, aber nicht wiederherzustellen. Die Speicherung würde es SIN ermöglichen – wenn sie den Fall gewinnen sollten -, den Inhalt schnell wiederherzustellen, zusammen mit dem gesamten veröffentlichten Inhalt, Kommentaren anderer Benutzer sowie Anhängern und Leuten, die die Fanseite mögen. Das ist nicht die einzige gute Nachricht: Das Gericht hat auch bestätigt, dass polnische Nutzer ihre Rechte gegen den Technologieriesen in Polen durchsetzen können. Leider hat das Gericht in dieser Phase den Antrag auf Wiederherstellung der vorbeugend gelöschten Fanseiten, Profile und Gruppen für die Dauer der Studie nicht genehmigt. Das Gericht argumentierte, dass es sich um eine weit hergeholte Maßnahme handeln würde, die in der Praxis dazu führen würde, den in der Klage formulierten grundlegenden Anspruch anzuerkennen.

Im Juni 2019 wurden Aufklärungsposts, in denen die Pädagogen von SIN vor dem Einsatz einiger Substanzen bei heißem Wetter warnten, erneut von Instagram blockiert. SIN erhielt eine Warnung, dass „nachträgliche Verstöße gegen die Gemeinschaftsnormen“ dazu führen können, dass das gesamte Profil entfernt wird. Jetzt, nach dem Erlass der einstweiligen Maßnahmen, werden sie durchatmen und ihre Social Media Aktivitäten fortsetzen können, ohne befürchten zu müssen, dass sie jederzeit wieder blockiert werden können. Diese „private Zensur“ ist eine der heutigen Bedrohungen für die Meinungsfreiheit. Plattformen wie Facebook und Instagram sind zu „Gatekeepern“ für die Online-Publikation geworden, und genau wie im Falle der SIN gibt es keine Alternative zu ihnen. Die Sperrung auf diesen Plattformen ist eine erhebliche Einschränkung bei der Verbreitung von Informationen.

Die Zwischenentscheidung des Gerichts bedeutet, dass Facebook vorerst nicht willkürlich entscheiden kann, die von SIN veröffentlichten Inhalte zu blockieren. Mit dieser Entscheidung hat das Gericht auch seine Zuständigkeit für die Verhandlung des Falles in Polen nach polnischem Recht anerkannt. Dies ist eine großartige Nachricht für polnische Nutzer und möglicherweise Nutzer aus anderen EU-Mitgliedstaaten. In Fällen gegen globale Internetunternehmen ist die Möglichkeit, seine Rechte vor dem inländischen Gericht geltend zu machen, eine Voraussetzung für einen tragfähigen Zugang zur Justiz – wenn die einzige Möglichkeit darin bestünde, sie in ihrem Heimatland zu verklagen, würden die Kosten, die Sprachbarriere und eine ausländische Rechtsordnung es den meisten Bürgern sehr schwer, wenn nicht gar unmöglich machen, ihre Rechte auszuüben.

Die Entscheidung des Gerichts ist jedoch nicht endgültig – nach der Zustellung der Entscheidung hat Facebook Ireland das Recht, gegen diese Entscheidung beim Berufungsgericht Berufung einzulegen. Die Entscheidung wurde ex parte getroffen, allein auf der Grundlage einer von SIN vorgelegten Stellungnahme, ohne die Beteiligung der anderen Partei, und sie setzt nur eine einstweilige Maßnahme um und greift dem endgültigen Urteil des gesamten Prozesses nicht vor – das Hauptverfahren steht erst kurz vor Beginn.

Panoptykon Stiftung

SIN vs. Facebook

SIN v Facebook: Tech-Riese verklagt wegen Zensur in einem bahnbrechenden Fall (08.05.2019)

Beitrag von Anna Obem und Dorota Glowacka, EDRi-Mitglied Panoptykon Foundation, Polen

 

Die digitalen Rechte von LGBTQ+ Menschen: Wenn die Technologie die gesellschaftliche Unterdrückung verstärkt

Von Chloé Berthélémy

Online-Überwachung und Zensur wirken sich auf die Rechte aller aus, insbesondere auf die Rechte bereits marginalisierter Gruppen wie lesbischer, schwuler, bisexueller, transgender und queerer und anderer (LGBTQ+) Menschen. Der Einsatz neuer Technologien verstärkt in der Regel bestehende gesellschaftliche Verzerrungen und macht diese Gemeinschaften besonders anfällig für Diskriminierung und Sicherheitsbedrohungen. Im Nachgang zu Pride Month wird hier versucht, herauszufinden, was für LGBTQ+ Menschen in digitalen und vernetzten Räumen auf dem Spiel steht.

Das Internet hat bei der Entwicklung und Organisation der LGBTQ+-Community eine wichtige Rolle gespielt. Es stellt ein Instrument dar, das es den LGBTQ+ Menschen ermöglicht, sich miteinander zu treffen, Netzwerke aufzubauen und Kräfte zu bündeln, Informationen zu erhalten und Wissen über lebenswichtige Gesundheitsfragen zu erwerben sowie ihre politischen Ansprüche auszudrücken, zu verbreiten und zu stärken.
Wir haben ein Monopolproblem.

Die Zentralisierung der elektronischen Kommunikationsdienste um einige Plattformen herum hat neue Hindernisse für die Ausübung ihrer digitalen Rechte durch LGBTQ+ Menschen geschaffen. Gefangen in einem Netzwerkeffekt – wobei die Entscheidung, die Plattform zu verlassen, für den Nutzer ein großer Verlust wäre – haben die meisten von ihnen nur einen Ort, an dem sie sich treffen und ihre Ideen verbreiten können. Die von ihnen eingestellten Inhalte werden von diesen privaten Plattformen willkürlich nach Standards und „Community-Richtlinien“ moderiert.

Die Praktiken starker Plattformen führen dazu, dass viele LGBTQ+-Konten, -Posts und Themenanzeigen gelöscht werden, während homophobe, transphobe und sexistische Inhalte oft unberührt bleiben. In der Praxis bedeuten diese Doppelstandards für die Berichterstattung und das Verbot von Inhalten, dass, wenn queere und transgender Menschen typische Sprüche verwenden, um sich verständigen und stolz auf sie zu sein, Social Media Reviewer oft die Absicht ignorieren und sie blockieren; während Angreifer identische offensive Begriffe verwenden, ohne die gleiche Strafe zu befürchten. Mehr noch, der automatisierte Prozess verschlimmert nur die Ungerechtigkeit, da Algorithmen nicht in der Lage sind, den Unterschied zwischen den beiden Fällen zu machen. Dadurch bleibt die LGBTQ+-Community ohne vernünftige Erklärungen und Möglichkeiten, gegen die Entscheidungen Berufung einzulegen, entrechtet.

Community-Standards gelten sowohl für den offenen Teil von Social Media als auch für die damit verbundenen privaten Chats (wie Facebook Messenger und Wired). Da diese Netzwerke eine wesentliche Rolle bei der Diskussion queerer Themen bis heute und bei der Sexualisierung spielen, werden LGBTQ+ Menschen stark von der Toleranz der Plattformen für sexuellen Ausdruck und Nacktheit abhängig. Manchmal werden plötzliche Änderungen der Community-Richtlinien ohne jegliche Benutzerberatung oder -kontrolle durchgeführt. So wurde beispielsweise die LGBTQ+-Community besonders geschädigt, als Tumblr beschloss, Not Safe For Work (NSFW)-Inhalte nicht mehr zuzulassen, und Facebook verbot „sexuelle Werbung“ für seine Dienste.

Ein weiteres Beispiel für die Richtlinien von Unternehmen, die sich speziell auf Transsexuelle beziehen, ist der zunehmende Trend, strenge Real-Name-Richtlinien online anzuwenden. Die Authentifizierungsanforderung auf der Grundlage offizieller ID-Dokumente verhindert, dass Transgender ihren neuen Namen und ihre neue Identität verwenden. Für viele von ihnen, insbesondere für diejenigen, die in repressiven Ländern leben, ist es schwierig, die Änderung ihres Namens und ihrer Geschlechtsmerkmale zu erreichen. Infolgedessen werden ihre Konten nach einigen Monaten der Nutzung regelmäßig gelöscht, wodurch alle ihre Inhalte und Kontakte verloren gehen. Da die Wahrscheinlichkeit, ihre Konten abzurufen, gering ist, werden ihre Freiheiten im Internet erheblich eingeschränkt.

Es gibt keinen sicheren Online-Raum

Selbst wenn LGBTQ+ Menschen die Social Media-Giganten verlassen, können sie sich nicht unbedingt auf eine sicherere Plattform im Internet verlassen. Grindr, die größte Social-Networking-App für Homosexuelle, Bi, Trans und Queer-Personen, wurde von ägyptischen Behörden benutzt, um LGBTQ+-Personen aufzuspüren und zu verfolgen. Mit gefälschten Profilen ist die Polizei in der Lage, Beweise zu sammeln, zu verhaften, zu foltern und wegen illegalen Sexualverhaltens zu verfolgen. Dies führte zu einer abschreckenden Wirkung auf die Gemeinschaft und schüchterte die Menschen ein, neue Begegnungen neue Bekanntschaften zu schließen.

Andere gefährliche Praktiken setzen auf Outing von LGBTQ+ Menschen online. So wurde beispielsweise in Paraguay ein Twitter-Account eingerichtet, um die sexuelle Orientierung der Menschen zu enthüllen, indem Inhalte wie z.B. Nacktbilder, die auf Grindr veröffentlicht wurden, extrahiert und öffentlich veröffentlicht werden. Trotz vieler Beschwerden gegen das Konto verbreitete es die Inhalte sechs Wochen lang, bevor die Plattform sie schließlich löschte. Die Schäden für die Opfer sind langfristig und irreparabel. Dies sind insbesondere die Fälle in Ländern, in denen es keine Gesetze zur Bekämpfung von Hassverbrechen gibt oder in denen diese Gesetze nicht vollständig umgesetzt werden, was zur Straffreiheit für die homophobe und transphobe Gewalt von staatlichen und nichtstaatlichen Akteuren führt.

Technologie ist nicht neutral

Die Art und Weise, wie diese Dienste und Apps mit einem schlechten Sicherheitsniveau erstellt werden, spiegelt ihre westlich orientierte, heteronormative und geschlechtsspezifische Natur wider. Dies gefährdet zusätzlich bereits gefährdete LGBTQ+-Gemeinschaften, wenn sie sich global entwickeln und viral werden, insbesondere im globalen Süden. Technologien, insbesondere neue, können zur Diskriminierung missbraucht werden. So wurde beispielsweise ein Gesichtserkennungssystem trainiert, um homosexuelle Menschen anhand ihrer Gesichtszüge zu erkennen. Nicht nur der Zweck dieser Technologie ist zweifelhaft, sondern sie ist auch gefährlich, wenn sie vergrößert wird und in die Hände repressiver Regierungen gelangt.

Das Hauptproblem ist, dass die Communities nicht in die Produktionsprozesse einbezogen werden. Es ist schwierig, Anreize für gewinnorientierte Unternehmen zu schaffen, ihre Dienstleistungen an die spezifischen Bedürfnisse anzupassen und sie gleichzeitig frei und für alle zugänglich zu halten. Marginalisierte Gruppen können sich in der Regel keine zusätzlichen Premium-Sicherheitsmerkmale leisten. Darüber hinaus bleibt die Entwicklergemeinschaft in der Mehrheit weiß, im mittleren Alter und heterosexuell, mit wenig Verständnis für die lokalen Realitäten und Gefahren in anderen Regionen der Welt. Die Ermutigung von LGBTQ+ Menschen mit unterschiedlichem regionalen Hintergrund, dieser Gemeinschaft beizutreten, würde das Angebot an gemeinschaftsgeführten, kostenlosen, offenen und sicheren Diensten sinnvoll verbessern. Es bleibt noch viel zu tun, um die Unternehmen dazu zu bringen, mit den betroffenen Gemeinschaften zusammenzuarbeiten, um Instrumente zu entwickeln, die datenschutzfreundlich und integrativ sind.

Ein gutes Beispiel ist die Grindr-Initiative des EDRi-Mitglieds ARTICLE 19, die die Möglichkeit bietet, das Erscheinungsbild der App zu ändern und eine Passwortsicherheitssperre zum besseren Schutz der LGBTQ+-Benutzer hinzuzufügen.

 

Dieser Artikel basiert auf einem Interview mit Eduardo Carrillo, dem digitalen LGBTQI+ Aktivisten in Paraguay und Projektleiter bei TEDIC. TEDIC wendet bei seiner Arbeit zu digitalen Rechten eine geschlechtsspezifische Perspektive an und führt Unterstützungsaktivitäten für die lokale LGBTQ+-Gemeinschaft durch, um die Diskriminierung, der sie ausgesetzt ist, zu mildern.

In diesem Artikel verwenden wir den Begriff LGBTQ+, um Lesben, Schwule, Bisexuelle, Transsexuelle, Queers und alle anderen Geschlechtsidentitäten und sexuellen Orientierungen zu bezeichnen, die nicht dem Heterosexuellen und dem Cisgender entsprechen (wenn die Geschlechtsidentität einer Person dem bei der Geburt zugewiesenen Geschlecht entspricht).

Frauenrechte online: Tipps für ein sichereres digitales Leben (08.03.2019)

Wie Sie unser Konto auf Facebook abrufen können: Online-Zensur der LGBTQI-Community (02.05.2018)

App-Sicherheitsmängel können zusätzliche Risiken für LGBTQI Communities mit sich bringen (17.12.2018)

Nein, die aktualisierte Sexualpolitik von Facebook verbietet es nicht, über deine sexuelle Orientierung zu diskutieren (06.12.2018).

Entwurf für die Durchsuchung (25.4.2018)

Beitrag von Chloe Berthélémy, EDRi

 

Die ersten DSGVO-Bußgelder in Rumänien

Von ApTI

Die rumänische Datenschutzbehörde (DPA) hat kürzlich die ersten drei Geldbußen bekannt gegeben, die in Rumänien aufgrund der Durchsetzung der EU-Verordnung zum allgemeinen Datenschutz (GDPR) verhängt wurden.

Am 27. Juni 2019 wurde eine rumänische Bank mit einer Geldstrafe von rund 130 000 Euro (613 912 RON) belegt, weil sie zu viele personenbezogene Daten wie die nationale Identifikationsnummer und die Postanschrift der Zahlungsaussteller an die Zahlungsempfänger weitergegeben hatte. Nach Angaben des rumänischen DPA waren zwischen Februar und Dezember 2018 337 042 Personen betroffen.

Das rumänische DPA stützte seine Entscheidung auf Artikel 5 Absatz 1 Buchstabe c) der GDPR über die Datenminimierung und erwähnte auch Erwägung 78. Unzureichende technische und organisatorische Maßnahmen und die Unfähigkeit, Prozesse zu entwerfen, die die gesammelten personenbezogenen Daten auf das erforderliche Minimum reduzieren, führten dazu, dass keine angemessenen Garantien zum Schutz der Daten von Personen integriert wurden.

Es könnte diskutiert werden, warum die DPA die Bank nicht wegen Verstoßes gegen Artikel 5 Absatz 1 Buchstabe b) über die Zweckbindung und Artikel 5 Absatz 1 Buchstabe f) über die Integrität und Vertraulichkeit der Daten bestraft hat. Die nationale Identifikationsnummer und die Adresse von Personen wurden zu internen Identifikationszwecken erhoben, nicht um diese Informationen an Dritte weiterzugeben. Die Bank hat es versäumt, die Sicherheit und Vertraulichkeit der Daten zu gewährleisten, indem sie sie den Begünstigten der Zahlungen offenbart und die personenbezogenen Daten von Einzelpersonen einer potenziellen unbefugten oder rechtswidrigen Verarbeitung aussetzt.

Am 2. Juli 2019 folgte eine weitere Geldstrafe von ca. 15 000 Euro (71 028 RON). Sie wurde einer Hoteleinheit verhängt, weil sie die Sicherheit der persönlichen Daten ihrer Kunden verletzt hat. Eine Liste mit Informationen über 46 Gäste, die im Hotel frühstückten, wurde von einem Unbefugten fotografiert und online veröffentlicht. Das Hotel reichte eine Verletzung der Datensicherheit bei der DPA ein, und nach der Untersuchung verhängte die DPA gegen das Hotel eine Geldstrafe gemäß Artikel 24 des GDPR, da es keine angemessenen technischen und organisatorischen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten getroffen hatte. Das Hotel hat keine Maßnahmen ergriffen, um die Sicherheit der Daten gegen unbeabsichtigte oder illegale Weitergabe und unbefugte Verarbeitung zu gewährleisten. Die Entscheidung der DPA erinnert an Erwägungsgrund 75, in dem das Risiko und die Art der Schäden im Zusammenhang mit der Verarbeitung personenbezogener Daten erwähnt werden.

Eine dritte Geldbuße gegen GDPR wurde am 12. Juli 2019 angekündigt. Es wurde auf eine Website angewendet, die aufgrund unzulässiger Sicherheitsmaßnahmen nach einer Plattformmigration den öffentlichen Zugriff über zwei Links zu einer Liste von Dateien erlaubte, einschließlich Details zu mehreren Geschäftskontakten, darunter Vorname, Nachname, Postanschrift, E-Mail, Telefon, Arbeitsplatz und Transaktionsdetails. Das Unternehmen wurde mit einer Geldstrafe von 3.000 Euro belegt.

Die erste GDPR-Buße (04.07.2019)

Die zweite GDPR-Buße (nur auf Rumänisch, 08.07.2019)

Die dritte GDPR-Buße (nur auf Rumänisch, 12.07.2019)

Beitrag von Valentina Pavel, EDRi-Mitglied ApTI, Rumänien

 

Neue Datenschutzallianz in Russland, Mittel- und Osteuropa geplant

Von EDRi

Vertreter der Zivilgesellschaft aus Russland und Mittel- und Osteuropa haben sich zusammengeschlossen, um eine neue interregionale NGO zu gründen, die den Datenschutz in den an die EU angrenzenden Ländern fördert.

An der Initiative sind auch Aktivisten aus den postsowjetischen Ländern, dem Balkan und den Beitrittskandidatenländern beteiligt. Eines der Hauptziele ist der Aufbau von Koalitionen und Kampagnen in Ländern mit schwachem oder nicht vorhandenem Datenschutz. Das Projekt entstand aus einem dreitägigen regionalen Datenschutzworkshop, der Anfang 2019 im Zentrum der Nordic Non-violence Study Group (NORNONS) in Schweden stattfand. Der Workshop war sich einig, dass das öffentliche Bewusstsein für den Datenschutz in den vertretenen Ländern auf einem gefährlich niedrigen Niveau liegt, und kam zu dem Schluss, dass eine bessere Zusammenarbeit zwischen den Anwälten eine Lösung ist.

Seit vielen Jahren besteht ein dringender Bedarf an einer solchen Allianz. Ein riesiger Bogen von Ländern von Russland über Westasien bis auf den Balkan wurde von internationalen NGOs und zwischenstaatlichen Organisationen (IGOs), die sich mit Privatsphäre und Überwachung befassen, weitgehend übersehen.

Die Initiative wurde von Simon Davies, dem Gründer des EDRi-Mitglieds Privacy International und der Big Brother Awards, einberufen. Er warnte davor, dass die staatliche Überwachung und der Missbrauch personenbezogener Daten in vielen dieser Länder an der Tagesordnung sei:

„Es gibt eine Dringlichkeit für unser Projekt. Die Bürger von Orten wie Aserbaidschan, Kasachstan, Kirgisistan, Turkmenistan und Armenien sind einer massiven Verletzung der Privatsphäre ausgesetzt, und wir haben wenig Wissen darüber, was dort vor sich geht. Viele dieser Länder haben keine Sichtbarkeit in internationalen Netzwerken. Die meisten haben wenig echte Zivilgesellschaft, und ihre Regierungen betreiben eine zügellose Überwachung. Wo es ein Datenschutzrecht gibt, ist es in der Regel eine Illusion. Diese Situation gilt auch in Russland.“

Es wurde eine Arbeitsgruppe mit Anwälten aus Russland, Serbien, Georgien, der Ukraine und Weißrussland gebildet, der auch Danilo Krivokapić von der EDRi-Mitgliedsorganisation SHARE in Serbien angehört. Die Rolle dieser Gruppe besteht darin, die Rechtsgrundlage der Initiative zu steuern und eine formelle Verfassung zu verabschieden.

Moderator der Initiative ist der ehemalige Bürgerbeauftragte von Georgien, Ucha Nanuashvili. Auch er glaubt, dass die neue NGO eine dringend benötigte Lücke im Datenschutzaktivismus schließen wird:

„Meiner Meinung nach brauchen Regionen außerhalb der EU diese Initiative. Die Privatsphäre ist ein Thema, das immer mehr an Bedeutung gewinnt, und doch gibt es nur sehr wenig regionale Zusammenarbeit und Vertretung. Gerade in den ehemaligen Sowjetstaaten besteht dringender Bedarf an einer Initiative, die Anwälte und Experten in einem starken Bündnis zusammenführt.“

Die Finanzierung des Projekts erfolgte durch den Public Voice Fund des Electronic Privacy Information Center (EPIC). EPIC-Präsident Marc Rotenberg begrüßte die Initiative und sagte, er glaube, dass sie „wesentlich“ zur globalen Datenschutzbewegung beitragen werde:

„Wir sind uns seit einiger Zeit bewusst, dass es in diesen Regionen eine gefährliche Lücke beim Datenschutz gibt. Wir schätzen die gute Arbeit von NGOs und Akademikern bei der Umsetzung dieser wichtigen Zusammenarbeit.“

Die Arbeitsgruppe hofft, die NGO im Oktober in Albanien offiziell zu gründen. Die Gruppe prüft derzeit mehrere Optionen für einen Namen. Jeder, der daran interessiert ist, die Arbeit der Initiative zu unterstützen oder mehr Informationen zu wünschen, kann sich an Simon Davies unter simon privacysurgeon org wenden.

Die Nordische Studiengruppe für Gewaltfreiheit

SHARE-Stiftung

Der EPIC Public Voice Fonds

Massenüberwachung in Russland

Ucha Nanuashvili, Georgisches Menschenrechtszentrum

 

Gebotsabgabe in Echtzeit: Die Versteigerung Ihrer Aufmerksamkeit

Von Andreea Belu

Die Digitalisierung des Marketings hat zu neuen Branchenpraktiken und Geschäftsmodellen geführt. Einige dieser neuen Systeme haben sich zu einer entscheidenden Bedrohung für die Freiheiten der Menschen entwickelt. Besonders alarmierend ist das Real Time Bidding (RTB).

Wenn Sie eine Website besuchen, stoßen Sie häufig auf Inhalte, die vom Eigentümer/Autor der Website veröffentlicht wurden, sowie auf externe Anzeigen. Da eine bestimmte Art von Inhalten ein bestimmtes Publikum anzieht, kann der Website-Besitzer einen Teil des Raums auf seiner Website an Werbetreibende verkaufen, die diese Leser erreichen wollen.

In den früheren Jahren des Webs waren Anzeigen kontextabhängig, und die Website verkaufte ihre Werbefläche an einen bestimmten Werbetreibenden im Feld. Beispielsweise würden sich Anzeigen auf einer Website über Autos typischerweise auf Autos beziehen. Später wurden die Anzeigen personalisierter, und sie konzentrieren sich nun auf den einzigartigen Website-Leser. Sie sind zu „programmatischer Werbung“ geworden. Die Website verkauft immer noch ihren Platz, aber jetzt verkauft sie ihn an Werbeplattformen, „Ad Exchanges“. Anzeigenbörsen sind digitale Marktplätze, die Publisher (wie Websites) mit Werbetreibenden verbinden, indem sie die Aufmerksamkeit, die Sie, der Nutzer, dieser Website schenken, meistbietend versteigern, . Dieser automatisierte Auktionsprozess wird als Real Time Bidding (RTB) bezeichnet.

Wie funktioniert das Bieten in Echtzeit?

Stellen Sie sich Auktionen, Börsen, Händler, Großbildschirme, Lärm, Grafiken, Prozentsätze vor. Ebenso erleichtern RTB-Systeme die Versteigerung von Werbeflächen auf Websites an den höchstbietenden Werbetreibenden. Wie funktioniert es?

Eine Website vermietet ihre Werbefläche an einen (oder mehrere) Werbebörsen. Im Handumdrehen erstellt die Anzeigenbörse eine „Gebotsanfrage“, die Informationen von der Website enthalten kann: Was Sie auf der Website, auf der Sie sich befinden, lesen, sehen oder hören, die Kategorien, in die dieser Inhalt eingeht, Ihre eindeutige pseudonyme ID, die ID Ihres Profils aus dem System des Anzeigenkunden, Ihren Standort, Ihren Gerätetyp (Smartphone oder Laptop), Ihr Betriebssystem, Browser, Ihre IP-Adresse usw.

Von ihrer Seite aus informieren die Werbetreibenden die Anzeigenbörse darüber, wen sie erreichen wollen. Manchmal liefern sie detaillierte Kundensegmente. Diese Kategorien wurden durch die Kombination der Daten der Werbetreibenden über (potenzielle) Kunden und der von Datenvermittlern wie Cambridge Analytica, Experian, Acxiom oder Oracle erstellten persönlichen Profile ermittelt. Die Anzeigenbörse hat nun ein komplexes Profil von Ihnen, bestehend aus Informationen von der Website, die die Werbefläche bereitstellt, und Informationen von dem Werbetreibenden, der die Werbefläche anfordert. Wenn eine Angebotsanfrage mit dem gewünschten Kundensegment des Werbetreibenden übereinstimmt, beginnt eine Demand Side Platform (DSP), die im Auftrag von Tausenden von Werbetreibenden handelt, mit der Abgabe von Angeboten für die Werbefläche der Website. Das höchste Gebot gewinnt, platziert seine Anzeige vor einem bestimmten Website-Besucher, und der Rest ist Geschichte.

Jedes Mal, wenn Sie eine Website besuchen, die RTB verwendet, werden Ihre personenbezogenen Daten öffentlich an möglicherweise Tausende von Unternehmen übertragen, die bereit sind, ihre Anzeigen gezielt einzusetzen. In diesem Fall haben Sie keine Kontrolle darüber, wer Zugriff auf Ihre personenbezogenen Daten hat. Wann immer dies geschieht, haben Sie keine Möglichkeit, Einwände gegen den Handel zu erheben. Wann immer dies geschieht, kannst du dich nicht dagegen wehren, als Judenhasser, Inzest- oder Missbrauchsopfer, Ohnmächtiger oder Rechtsextremist ins Visier genommen zu werden. Wann immer dies geschieht, hast du keine Ahnung, ob du diskriminiert wirst.
Wann immer dies geschieht, haben Sie keine Ahnung, wohin Ihre Daten fließen.

EDRi’s Mitglieder klagen gegen RTB

Die Ausschreibung in Echtzeit stellt ein immenses Risiko für unsere Menschenrechte im digitalen Raum dar, insbesondere für die in der Allgemeinen Datenschutzverordnung der EU (GDPR) anerkannten Rechte. Außerdem birgt es ein hohes Risiko, diskriminiert zu werden. Aus diesen Gründen haben mehrere EDRi-Mitglieder und Beobachter in verschiedenen EU-Ländern Klagen gegen RTB erhoben und eingereicht. Privacy International, Panoptykon Foundation, Open Rights Group, Bits of Freedom, Digitale Gesellschaft, digitalcourage, La Quadrature du Net und Coalizione Italiana per le Libertà e i Diritti civili nehmen an einer breit angelegten Kampagne teil, die die Ad-Tech-Branche auffordert, #StopSpyingOnUs.

Unterstützen Sie die Bemühungen im Kampf für Ihre Rechte und verbreiten Sie die Nachricht!

Mehr erfahren:

Privacy International: kompletter Zeitplan der Beschwerden

GDPR today: Ad Tech GDPR Beschwerde wird auf vier weitere europäische Regulierungsbehörden ausgedehnt

Liberties.eu: Verhindern Sie den Missbrauch Ihrer Daten durch die Online-Werbebranche – Nehmen Sie an der Kampagne #StopSpyingOnUs teil

Auf Vimeo: Die Adtech-Krise und Desinformation – Dr. Johnny Ryan

EDRi Blogpost-Serie: Ihre Privatsphäre, Sicherheit und Freiheit im Internet sind gefährdet (14.09.2016)

 

E-Commerce-Review: Technologie ist die Lösung. Was ist das Problem?

Von Kirsten Fiedler

Dies ist der zweite Artikel in unserer Serie über die zukünftigen Regeln Europas für die Vermittlerhaftung und Inhaltsmoderation. Die Einführung kannst du hier lesen.
Wenn es darum geht, illegale und „schädliche“ Online-Inhalte zu bekämpfen, gibt es einen großen Trend in der Politikgestaltung: Big Tech scheint sowohl die Ursache als auch die Lösung aller Probleme zu sein.
Die Hoffnung, dass die Technologie Probleme lösen würde, die in unseren Gesellschaften tief verwurzelt sind, ist jedoch fehl am Platz. Die Moderation von Inhalten, die Menschen online veröffentlichen, kann nur als Teillösung für viel umfassendere gesellschaftliche Probleme angesehen werden. Es könnte uns helfen, mit einigen der Symptome umzugehen, aber es wird die Ursache der Probleme nicht lösen.
Zweitens, Hypes nachzugeben und zu versuchen, „schnelle Lösungen“ für Trendthemen zu finden, die den Nachrichtenzyklus beschäftigen, ist keine gute Politikgestaltung. Eilige Politikvorschläge ermöglichen selten eine eingehende Analyse des Gesamtbildes oder die Berücksichtigung und Minderung möglicher Nebenwirkungen. Schlimmer noch, solche Vorschläge sind oft kontraproduktiv.
So ergab beispielsweise eine Studie des Oxford Internet Institute, dass das Problem der Desinformation über Twitter während der EU-Wahlen überbewertet war. Weniger als 4 % der Quellen, die während des Datenerhebungszeitraums der Forscher auf dieser Plattform zirkulieren, waren als Desinformationen zu betrachten. Insgesamt teilten die Nutzer weitaus mehr Links zu etablierten Nachrichtenagenturen als zu verdächtigen Online-Quellen.
Daher sollten sich die politischen Entscheidungsträger vor Beginn einer Überprüfung der EU-Richtlinie über den elektronischen Geschäftsverkehr fragen: Welche Probleme wollen wir angehen? Haben wir ein klares Verständnis für die Art, den Umfang und die Entwicklung dieser Probleme? Was kann getan werden, um sie effizient anzugehen? Auch wenn die Bestimmungen der Richtlinie über die Haftung von Online-Plattformen sich auch auf die Moderation der Inhalte auswirken, ist die bevorstehende Überprüfung des elektronischen Geschäftsverkehrs zu wichtig, um von dem blinden Bestreben übernommen zu werden, alle unerwünschten Online-Reden zu beseitigen.
In Europa ist die Entscheidung darüber, was illegal ist, Teil des demokratischen Prozesses in den Mitgliedstaaten. Die Definition von „schädlichen Online-Inhalten“, die nicht unbedingt illegal sind, ist viel schwieriger und es gibt keinen Prozess oder keine Befugnis dazu. Daher sollten sich die Regulierungsmaßnahmen nur auf illegale Inhalte konzentrieren. Das unklare und rutschige Terrain des Versuchs, „schädliche“ (aber legale) Inhalte zu regulieren, gefährdet unsere Demokratie, unsere Rechte und unsere Freiheiten. Bei der Überprüfung der E-Commerce-Richtlinie sollte die EU-Kommission ihrer Mitteilung über Plattformen ab 2016 folgen.

Sobald die Probleme richtig definiert sind und sich die politischen Entscheidungsträger darauf einigen, welche Art von illegalen Aktivitäten online bekämpft werden sollten, sollte jede Regulierung von Online-Plattformen und hochgeladenen Inhalten einen genaueren Blick auf die Dienste werfen, die sie zu regulieren versucht, sowie bewerten, wie sich Inhalte verbreiten und in welchem Umfang. Die Regulierung des Internets, als ob es nur aus Google und Facebook bestehen würde, wird zwangsläufig zu einem Internet führen, das nur aus Google und Facebook besteht. Leider, wie wir in der Debatte um Upload-Filter während der Urheberrechtsreform gesehen haben, konzentriert sich das politische Denken um die Sprachregulierung auf eine kleine Anzahl sehr dominanter Akteure (insbesondere Facebook, YouTube und Twitter). Dieser politische Fokus hat sich paradoxerweise als Stärkung der dominanten Marktposition bestehender Monopole erwiesen. Es wäre sehr bedauerlich, die Fehler zu wiederholen, die im Zusammenhang mit Rechtsvorschriften gemacht wurden, die so weitreichende Folgen haben wie die E-Commerce-Richtlinie der EU.

Mitteilung der Europäischen Kommission über Online-Plattformen und die Chancen und Herausforderungen des digitalen Binnenmarkts für Europa (25.05.2016)

Junk News während der EU-Parlamentswahlen (21.05.2019)

 

Deutsche Übersetzung der englischsprachigen Originalbeiträge von EDRi von Lutz Martiny

0 Kommentare zu “EDRi-gram 17.14, 17. Juli 2019

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.