EU Datenschutz

EDRi-gram 17.2, 28. Januar 2019 – Datenschutztag-Spezial

Deutsche Übersetzung der englischsprachigen Originalbeiträge von Lutz Martiny.

  1. Panoptykon reicht Beschwerden gegen Google und IAB ein
  2. Österreichische Post an einem Datenskandal beteiligt
  3. Period Tracker Apps – wohin gehen Ihre Daten?
  4. noyb reicht acht strategische Beschwerden zum „Zugangsrecht“ ein.

Panoptykon reicht Beschwerden gegen Google und IAB ein

von der Panoptykon Stiftung

Am Internationalen Tag des Datenschutzes, dem 28. Januar 2019, reichte das EDRi-Mitglied Panoptykon Beschwerden gegen Google und das Interactive Advertising Bureau (IAB) gemäß der Allgemeinen Datenschutzverordnung (GDPR) bei der Polnischen Datenschutzbehörde (DPA) ein. Die Beschwerden beziehen sich auf das Funktionieren des Ökosystems der Online-Verhaltenswerbung (OBA).

Im Mittelpunkt der Beschwerden steht die Rolle von Google und IAB als Organisationen, die Standards für andere am OBA-Markt beteiligte Akteure setzen. Sie sollten daher als für die Verarbeitung Verantwortliche für GDPR-Verletzungen verantwortlich behandelt werden.

Die von Panoptykon angeführten Argumente basieren auf Beschwerden über dasselbe Thema von EDRi-Mitglied Open Rights Group (ORG) und Brave sowie auf Beweisen aus einem Bericht von Johnny Ryan. Die wichtigsten Fakten und Beobachtungen der Beschwerden sind:

  • Daten, die von Unternehmen innerhalb des OBA-Ökosystems geteilt werden, sind für die zielgerichtete Schaltung von Anzeigen nicht erforderlich;
  • Unternehmen, die Daten austauschen, haben keine Kontrolle über die weitere Nutzung durch eine potenziell unbegrenzte Anzahl anderer Akteure, die Zugang zu Echtzeit-Bietersoftware haben;
  • Benutzer haben keinen Zugriff auf ihre Daten und keine Werkzeuge, um deren weitere Verwendung durch eine (potenziell unbegrenzte) Anzahl von Akteuren zu kontrollieren;
  • Diese Problemfälle sind nicht zufällig, denn sie sind auf die Gestaltung des OBA-Ökosystems zurückzuführen – mangelnde Transparenz und das Konzept der Ausschreibung, das per Definition zu einer „Übertragung“ von Daten führt.

Vor diesen Beschwerden führte Panoptykon eine eigene Untersuchung des OBA-Ökosystems in Polen durch, die die Behauptungen von ORG und Brave in ihren Beschwerden sowie die Aussage von Johnny Ryan bestätigte. Zwischen Mai und Dezember 2018 stellte Panoptykon eine Reihe von Datenzugriffsanfragen an verschiedene am OBA-Ökosystem beteiligte Akteure (darunter Google und führende Datenbroker), um zu prüfen, ob die Nutzer in der Lage sind, ihre Marketingprofile zu überprüfen und zu korrigieren.

In den meisten Fällen weigerten sich die Unternehmen, den Nutzern personenbezogene Daten zur Verfügung zu stellen, da sie angeblich Schwierigkeiten bei der Identifizierung hatten. Dieses Argument – von Schlüsselpersonen des OBA-Ökosystems – bestätigt, dass es als obskur konzipiert wurde. Key Identifier, die von Data Brokern verwendet werden, um Benutzer und Zielanzeigen zu identifizieren, werden den betroffenen Personen nicht mitgeteilt. Es handelt sich um eine „catch 22“-Situation, die nicht mit den GDPR-Anforderungen (insbesondere dem Grundsatz der Transparenz) vereinbar ist.

Zusammen mit seinen Beschwerden veröffentlichte Panoptykon einen Bericht, der seine Untersuchung des OBA-Ökosystems zusammenfasst, der Interviews mit wichtigen Akteuren auf dem polnischen Markt und Beweise, die durch das Senden von Datenzugriffsanfragen gesammelt wurden, umfasste.

(Beitrag des EDRi-Mitglieds Panoptykon Foundation, Polen)

Österreichische Post an einem Datenskandal beteiligt

von Epicenter.works

Nach einem Medienbericht aus der Medienstelle „Addendum“ ist die Österreichische Post wegen ihrer Datenerhebungs- und Vertriebsaktivitäten in der Öffentlichkeit unter Beschuss. Die Österreichische Post ist bekannt dafür, dass sie nicht nur ihre Hauptaufgabe der Postzustellung wahrnimmt, sondern auch Adressen von Österreichern an Unternehmen und Parteien zur Werbung verkauft. In dem Medienbericht heißt es, dass nicht nur Adressen verkauft werden, sondern auch sensible Daten von 2,2 Millionen Österreichern.

Das Datenblatt der Post enthält Name, Adresse, Alter und Geschlecht einer Person, aber auch mehr als 40 weitere Datensätze, von denen einige sehr sensible Arten von personenbezogenen Daten sind. Einer dieser Datenpunkte ist die Bevorzugung einer politischen Partei, die eine „besondere Kategorie von Daten“ ist und daher eine ausdrückliche Zustimmung zur Verarbeitung erfordert. Die Post antwortete auf den öffentlichen Aufschrei, indem sie erklärte, dass die Daten, die sie über die politische Präferenz sammelt, nur eine geschätzte Wahrscheinlichkeit seien, die ähnlich wie bei Umfragen zu Wahlen generiert werde.

Aufgrund fehlender ausdrücklicher Einwilligung sind wir der Meinung, dass dies als Verstoß gegen die Allgemeine Datenschutzverordnung (GDPR) anzusehen ist. Um öffentlichen Druck aufzubauen, stellte das EDRi-Mitglied epicenter.works ein Formular zur Verfügung, mit dem Einzelpersonen einfach Zugang zu ihren Daten beantragen können. Innerhalb einer Woche wurde das Formular fast 2000 Mal heruntergeladen und an den Datenschutzbeauftragten der Österreichischen Post AG geschickt, was zu einer breiten Medienberichterstattung durch nationale und internationale Nachrichtendienste führte.

Wenige Tage nachdem die Post das absolute Vertrauen in die Rechtmäßigkeit dieser Art der Datenerhebung behauptet hatte, änderte sie ihre Strategie in die entgegengesetzte Richtung und erklärte, dass sie beabsichtige, diese Datensätze zu löschen und sie nicht weiter an ihre Kunden zu verkaufen.

Weitere Untersuchungen durch die Österreichische Datenschutzbehörde (DPA), müssen in diesem und anderen ähnlichen Fällen unverzüglich tätig werden. Sobald das Ergebnis unserer Datenzugriffsanforderungen vorliegt, können weitere Aktionen gestartet werden. Aufgrund des gefährlichen Präzedenzfalls, der mit der politischen Profilerstellung in großem Umfang zusammenhängen könnte, ist die Arbeit des DPA zur Überwachung der Umsetzung der GDPR von entscheidender Bedeutung. Wenn sie einen starken Präzedenzfall für diesen Fall schaffen würden, würden andere Unternehmen davon abgehalten, ähnliche Fälle von Datenverwertung in Zukunft zu behalten oder zu starten.

(Beitrag von Iwona Laub, EDRi-Mitglied Epicenter.works, Österreich)

Period Tracker Apps – wohin gehen Ihre Daten?

von Bits der Freiheit

Immer mehr Frauen verwenden einen Perioden-Tracker: eine App, die Ihren Menstruationszyklus verfolgt. Diese Apps behandeln jedoch nicht immer die intimen Daten, die Sie mit ihnen teilen, sorgfältig.

Eine App, die Sie darüber informiert, wann Sie mit Ihrer Periode rechnen müssen oder wann Sie fruchtbar sind, kann nützlich sein, um z.B. vorherzusagen, wann Sie mit den Nebenwirkungen rechnen können, die für viele Frauen mit Ihrer Periode verbunden sind. An sich ist es nichts Neues, den Überblick über Ihren Zyklus zu behalten: Markierungen in Ihr Tagebuch oder in Ihren Kalender zu setzen, war schon immer eine einfache Möglichkeit, Ihren Zyklus zu berücksichtigen. Aber der Austausch von Daten über die Funktionsweise des Körpers mit einer App ist riskanter.

Es scheint einen ziemlich großen Markt für Period-Tracker-Anwendungen zu geben. Vom „Ladytimer Maandstonden Cyclus Kalender“ bis zum „Magic Teen Girl Period Tracker“, von „Vrouwenkalender“ bis „Flo“ – alles sauber aufgereiht in verschiedenen Rosatönen im Appstore. „Femtech“ gilt als ein wachsender Markt, der in den letzten Jahren von verschiedenen Start-ups Milliardeninvestitionen getätigt hat. Werden diese Apps entwickelt, um Frauen mehr Einblick in die Funktionsweise ihres Körpers zu geben oder um dieses Bedürfnis zu monetarisieren?

Es ist interessant, sich anzusehen, welche Art von Daten diese Apps sammeln. Die App öffnet sich in der Regel mit einer Kalenderübersicht. In der Übersicht können Sie das Datum Ihrer letzten Periode eingeben. Darüber hinaus können Sie täglich protokollieren, wie Sie sich fühlen (glücklich, unglücklich, verärgert) und ob Sie Blutverlust haben. Aber für die meisten dieser Apps ist es noch nicht zu Ende. Hattest du Sex? Und wenn ja, mit oder ohne Schutz? Mit sich selbst oder mit einer anderen Person? Wie würdest du den Orgasmus bewerten? Hattest du Bauchschmerzen? War dein Stuhlgang normal? Hattest du Lust auf Sex? Empfindliche Brüste? Ein Akne-Problem? Hast du Alkohol getrunken? Übung? Hast du dich gesund ernährt?

Für eine Reihe dieser Fragen ist es verständlich, warum es nützlich sein könnte, sie zu beantworten, wenn die App lernen will, vorherzusagen, in welcher Phase Ihres Zyklus Sie sich befinden. Aber viele dieser Fragen sind sehr intim. Und all diese sensiblen Daten scheinen oft im Besitz des Unternehmens hinter der App zu landen. Die logische Frage ist dann: Was genau macht ein Unternehmen mit all den Daten, die Sie übergeben? Hast du da etwas zu sagen? Behandeln sie es vorsichtig? Werden die Daten an Dritte weitergegeben?

Nach Durchsicht einer Reihe von Datenschutzerklärungen scheint es, dass eine der am häufigsten genutzten Apps in den Niederlanden, „Menstruatie Kalender“, Facebook die Erlaubnis gibt, In-App-Werbung zu schalten. Es ist nicht klar, welche Informationen Facebook über dich aus der App sammelt, um dir Werbung zu zeigen. Erhält Facebook beispielsweise Informationen darüber, wann du deine Periode hast?

Eine weitere häufig verwendete App in den Niederlanden ist „Clue“. Es ist das einzige, das wir gefunden haben, das eine umfassende und leicht lesbare Datenschutzerklärung hat. Sie können die App nutzen, ohne ein Konto zu erstellen, wobei die Daten ausschließlich lokal auf Ihrem Handy gespeichert werden. Wenn Sie sich für die Einrichtung eines Kontos entscheiden, stimmen Sie ausdrücklich der Weitergabe Ihrer Daten an das Unternehmen zu. In diesem Fall wird es auf sicheren Servern gespeichert. Mit Ihrer Zustimmung wird es auch für die akademische Forschung zur Gesundheit von Frauen verwendet.

Das kann man von vielen anderen Apps nicht sagen. Ihre Datenschutzerklärungen sind oft lang und schwer zu lesen und erfordern gute Kenntnisse zwischen den Zeilen, um zu verstehen, dass Daten mit „Partnern“ ausgetauscht werden. Es ist möglich, dass die Sensibilität Ihrer Brüste an sich für einen Werbetreibenden nicht sehr interessant ist, aber durch die Verfolgung Ihres Zyklus erhalten die Apps automatisch Informationen über den möglichen Beginn einer der interessantesten Perioden Ihres Lebens für Vermarkter: der Mutterschaft.

Das extremste Beispiel ist Glow, das Unternehmen hinter der Period Tracker App „Eve“. Ihre App ist auf den potenziellen Kinderwunsch ausgerichtet. Der Slogan des Unternehmens ist so einfach wie nie zuvor: „Frauen haben eine 40% höhere Wahrscheinlichkeit zu schwanger zu werden, wenn sie Glow als Fertilitäts-Tracker verwenden“. Neben Eve hat Glow drei weitere Apps: einen Ovulations- und Fruchtbarkeitstracker, einen Baby-Tracker und einen Schwangerschaftstracker. Die Apps verlinken auf die Glow-Community, ein Netzwerk von Foren, in denen Hunderte von Frauen ihre Erfahrungen austauschen und sich gegenseitig Tipps geben.

Aber das ist nicht das Einzige, was Glow bietet. Sie können keine Glow-Webseite oder -App verwenden, ohne das „Fruchtbarkeitsprogramm“ angezeigt zu bekommen. Für 1200-7000 Euro können Sie sich für verschiedene Fruchtbarkeitsprogramme anmelden. Zu teuer? Sie sind in der Lage, einen günstigen Kredit durch eine Partnerschaft mit einer Bank aufzunehmen. Und am Ende ist das Einfrieren der Eier, wenn man Anfang 30 ist, die wirtschaftlichste Option, so die Website.

Es stellte sich heraus, dass Glow ein Unternehmen ist, das Fruchtbarkeitsprodukte verkauft. Es hat eine Reihe von Apps entwickelt, um subtil (und manchmal auch nicht so subtil) mehr weibliche Kunden anzuziehen. Als Verbraucher denken Sie, dass Sie eine App verwenden, um Ihren Zyklus zu verfolgen, aber in der Zwischenzeit werden Sie ständig über alle Möglichkeiten des Einfrierens Ihrer Eier, die Kosten der Schwangerschaft in einem höheren Alter und Ihre begrenzten fruchtbaren Jahre informiert. Bevor Sie es wissen, liegen Sie im Alter von 30 Jahren wach und fragen sich, ob es „wirtschaftlicher“ wäre, Ihre Eier einzufrieren.

Diese Apps geben Aufschluss über einen scheinbaren Vertrag, dem wir immer öfter zustimmen müssen. Im Gegenzug für die Nutzung einer App, die unser Leben ein wenig einfacher macht, müssen wir viele persönliche Informationen preisgeben, ohne genau zu wissen, was damit passiert. Die Tatsache, dass es sich bei diesen Apps um intime Informationen handelt, bedeutet nicht, dass die Autoren sorgfältiger damit umgehen. Im Gegenteil: Sie erhöht den Marktwert dieser Daten.

Bevor Sie also eine dieser Apps herunterladen oder Ihrer Tochter raten, eine herunterzuladen, denken Sie noch einmal nach. Nehmen Sie sich die Zeit, die Datenschutzerklärung einer App zu lesen, um genau zu wissen, was das Unternehmen mit Ihren Daten macht. Aber es gibt auch eine Verantwortung für die Aufsichtsbehörde, wie z.B. die Autoriteit Persoonsgegevens in den Niederlanden, sicherzustellen, dass Unternehmen Ihre vertraulichen Daten nicht missbrauchen.

Verwenden Sie eine dieser Apps und möchten Sie wissen, welche Daten das Unternehmen über Sie gesammelt hat, oder möchten Sie diese Daten löschen lassen? Sie können ganz einfach eine Anfrage erstellen, die Sie mit Meine Daten richtig gemacht per Post oder E-Mail senden können.

(Beitrag des EDRi-Mitglieds Bits of Freedom; übersetzt aus dem Niederländischen von Freiwilligem Axel Leering)

noyb reicht acht strategische Beschwerden zum „Zugangsrecht“ ein.

von noyb

Ein Test des EDRi-Mitglieds noyb, einer europäischen gemeinnützigen Organisation zur Durchsetzung der Privatsphäre, zeigt strukturelle Verletzungen der meisten Streaming-Dienste. In mehr als zehn Testfällen konnte noyb Verstöße gegen Artikel 15 der Allgemeinen Datenschutzverordnung (GDPR) in vielen Formen und Formen durch Unternehmen wie Amazon, Apple, DAZN, Spotify oder Netflix feststellen. Am 18. Januar 2019 reichte noyb eine Reihe von zehn strategischen Beschwerden gegen acht Unternehmen ein.

Mit der neuen GDPR erhalten die Nutzer ein „Zugangsrecht“. Den Nutzern wird das Recht eingeräumt, eine Kopie aller Rohdaten, die ein Unternehmen über sie besitzt, sowie zusätzliche Informationen über die Quellen und Empfänger der Daten, den Zweck, zu dem die Daten verarbeitet werden, oder Informationen über die Länder, in denen die Daten gespeichert sind und wie lange sie gespeichert sind, zu erhalten. Dieses „Recht auf Zugang“ ist in Artikel 15 des GDPR und Artikel 8 Absatz 2 der Charta der Grundrechte der Europäischen Union verankert.

noyb hat acht Online-Streaming-Dienste aus acht Ländern auf die Probe gestellt – aber kein Service wurde vollständig erfüllt. In acht von acht Fällen hat noyb formelle Beschwerden bei den zuständigen Datenschutzbehörden eingereicht.

„Alle großen Anbieter haben sich sogar an einem „strukturellen Verstoß“ gegen das Gesetz beteiligt.“ sagte Max Schrems, Direktor von noyb.

Während viele kleinere Unternehmen manuell auf GDPR-Anfragen reagieren, haben größere Dienste wie YouTube, Apple, Spotify oder Amazon automatisierte Systeme aufgebaut, die behaupten, die relevanten Informationen bereitzustellen. Im Test lieferte keines dieser Systeme dem Anwender alle relevanten Daten.

„Viele Dienste richten automatisierte Systeme ein, um auf Zugriffsanfragen zu reagieren, aber sie liefern oft nicht einmal die Daten, auf die jeder Benutzer ein Recht hat. In den meisten Fällen erhielten die Benutzer nur die Rohdaten, aber z.B. keine Informationen darüber, an wen diese Daten weitergegeben wurden. Dies führt zu strukturellen Verletzungen der Nutzerrechte, da diese Systeme so aufgebaut sind, dass sie die relevanten Informationen zurückhalten“, sagt Schrems.

Während alle anderen Streaming-Dienste auf die Aufforderung der Nutzer, zumindest auf ihre Daten zuzugreifen, reagiert haben, haben der britische Sport-Streaming-Dienst DAZN und der deutsche Musik-Streaming-Dienst SoundCloud die Anfrage einfach ignoriert. Den eingegangenen Antworten fehlten jedoch Hintergrundinformationen, wie z.B. die Quellen und Empfänger der Daten oder die Dauer der Speicherung („Aufbewahrungsfrist“). In vielen Fällen wurden die Rohdaten in kryptischen Formaten bereitgestellt, was es für einen durchschnittlichen Benutzer extrem schwierig oder gar unmöglich machte, die Informationen zu verstehen. In vielen Fällen fehlten auch bestimmte Arten von Rohdaten.

noyb hat bei der Österreichischen Datenschutzbehörde (dsb.gv.at) Beschwerden gegen acht Unternehmen im Namen von zehn Nutzern eingereicht. Die österreichische Behörde muss mit den zuständigen Behörden in der Hauptniederlassung jedes Streaming-Dienstes zusammenarbeiten. Da GDPR 20 Millionen Euro oder 4% des weltweiten Umsatzes als Strafe vorsieht, könnte die theoretische Höchststrafe für die zehn Beschwerden 18,8 Milliarden Euro betragen.

Das Recht auf Zugang ist ein Eckpfeiler des Datenschutzrahmens. Nur wenn sich die Nutzer ein Bild davon machen können, wie und warum ihre Daten gespeichert oder weitergegeben werden, können sie Verstöße gegen GDPR realistisch aufdecken und somit Maßnahmen ergreifen. Jeder Nutzer hat das Recht, eine Kopie seiner Daten zu erhalten und zusätzliche Informationen zu erhalten. Normalerweise können Benutzer ein Formular ausfüllen oder eine E-Mail an die meisten Dienste senden. noyb hat die Links und Formulare für die wichtigsten Streaming-Dienste auf seiner Webseite für jedermann zusammengestellt.

Artikel 80 der GDPR sieht vor, dass die betroffenen Personen durch einen gemeinnützigen Verein vertreten werden können, da einzelne Nutzer in der Regel nicht in der Lage sind, die entsprechenden Rechtsbehelfe einzureichen. In diesem Fall werden alle zehn Nutzer durch die gemeinnützige Organisation noyb vertreten.

„noyb soll die neuen Regeln sinnvoll durchsetzen, so dass die Vorteile tatsächlich die Nutzer erreichen“, sagte Schrems.

noyb.eu wird von über 3100 einzelnen Fördermitgliedern und Sponsoren finanziert. Um den Kampf gegen Datenschutzverletzungen langfristig zu finanzieren, sucht der Verein weitere Fördermitglieder. „1995 hat die EU bereits Datenschutzgesetze erlassen, die von den großen Unternehmen jedoch einfach ignoriert wurden. Wir müssen nun sicherstellen, dass sich dies bei GDPR nicht wiederholt – bisher scheinen viele Unternehmen nur oberflächlich konform zu sein“, sagte Schrems.

(Beitrag des EDRi-Mitglieds noyb, Österreich)

0 Kommentare zu “EDRi-gram 17.2, 28. Januar 2019 – Datenschutztag-Spezial

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.