Weil auf der ganzen Netzwelt so viel passiert, und wir nicht alles gleichzeitig verarbeiten, verarzten und verkommentieren können, empfehlen wir hin und wieder ein paar Artikel aus der Netzwelt, mit Lob, mit Kritik und auch Ergänzungen. Einfach und simpel Meta.
Google […] made it nearly impossible for users to keep their location private
Oftmal das spannenste an amerikanischen Gerichtsverfahren sind die Nebenfunde in den Dokumenten, welche die eine oder andere Partei dazu offenlegen muss. Aktuell zum Beispiel anlässlich einer Klage, welche der Bundesstaat Arizona letztes Jahr wegen den Datensammel-Aktivitäten von Google angestrengt hat. Einige der Dokumente deuten darauf hin, dass
Google continued collecting location data even when users turned off various location-sharing settings, made popular privacy settings harder to find, and even pressured LG and other phone makers into hiding settings precisely because users liked them
und dass Google (ähnlich wie Facebook welches wegen denselben Praktiken schon länger kritisiert wird)
Google uses a variety of avenues to collect user location data, according to the documents, including WiFi and even third-party apps not affiliated with Google, forcing users to share their data in order to use those apps or, in some cases, even connect their phones to WiFi.
Defacto scheint es kaum möglich zu sein, Location Data innerhalb Android-Apps zu nutzen ohne diese Information auch mit Google zu teilen.
(Falls der Link im Artikel nicht geht, finden sich die Dokumente auch auf Twitter)
noyb setzt dem Cookie-Banner-Wahnsinn ein Ende
Wer kennt sie nicht, die Cookie-Banner welche mit allerlei Tricks versuchen, User zum Akzeptieren sämtlicher Cookies zu bringen obwohl das kaum jemand will? Gemäss DSGVO müssten Cookie-Banner eine klare ja/nein-Antwort erlauben, davon sind europäische Webseiten kilometerweit entfernt.
noyb, die Initiative von Netzaktivist Max Schrems, möchte diesen missbräuchlichen Bannern nun ein Ende setzen. Dazu wurde eine Software entwickelt welche rechtswidrige Cookie-Banner automatisch erkennt und entsprechende Beschwerden generiert.
Das juristische Team von noyb prüft jede Website, während das System automatisch eine DSGVO-Beschwerde generiert. Unternehmen erhalten einen formlosen Beschwerdeentwurf per E-Mail und bekommen sogar eine Schritt-für-Schritt-Anleitung (PDF), wie sie ihre Softwareeinstellungen ändern können. Wenn ein Unternehmen seine Einstellungen nicht innerhalb eines Monats ändert, wird noyb die Beschwerde bei der zuständigen Behörde einbringen, die ein Bußgeld von bis zu 20 Millionen Euro verhängen kann.
Auch wenn das Vorgehen vermutlich zuerst mal die zuständigen Behörden mit Beschwerden überfluten wird, besteht doch Hoffnung, dass sich die Funktionalität von Cookie-Bannern in den nächsten Monaten verbessern wird.
Das Consent-Theater
Auch empfehlen wir Cory Doctorow kurzweiliges Lesestück zu obiger Thematik. Zuerst nimmt der Autor Facebook auf die Schippe. Das grösste soziale Netzwerk unkt seit jeher gegen die von der EU geplante Datenportabilität und zwar ironischerweise mit Verweis auf den Datenschutz, die User können nicht ihre Nachrichten bei Migration zu einer anderen Plattform “mitnehmen”, weil dies die Privatsphäre von anderen betreffe, die dem nicht zustimmten. Facebook hingegen habe immer “Consent” für die Datenverarbeitung eingeholt bei den NutzerInnen. Daraufhin fragt Doctorow legitimerweise: Haben wir WIRKLICH irgendwelchen von Facebooks bekannten Praktiken explizit, im vollen Wissen und Bewusstsein je mal zugestimmt?
Der Trick der Big Tech-Firmen: Sie holen Zustimmung mit einer pauschalen Cookiebox (ein Freipass für alles) ein, während der Besucher sich bereits schon auf der Site befindet und sich durchscrollt. Das Framing der Cookie-Boxen ist so banal und oft irreführend, dass wir uns aufregen überhaupt gefragt zu werden. Doctorow nennt das Beispiel eines Gastgebers, der ein Glas Wein anbietet. Der Gast würde – das Glas in der Hand haltend – nicht um Zustimmung fragen, ob er den Wein wirklich trinken würde. Doch mit diesem einmalig erlaubten “Consent” erlauben sich Tech-Firmen hinterher alle möglichen Spielchen.
Doctorow nimmt auch das Cookie-Theater des GDPR auseinander.
“The GDPR’s rule boils down to this: Before you can collect or retain data from users, you must first obtain their informed, opt-in consent for every use you intend to make of that data.
If you want to collect my data and sell it to a data broker who has 400 customers who plan on making 6,000 uses of it, you are supposed to show me 6,000 dialog boxes (all of which default to “no”) in which you plainly and simply explain each of those 6,000 uses.“
Doch mehr noch kritisiert er, dass die EU vor allem die DSGVO nicht richtig durchsetzen möchte, obwohl der europäische Gerichtshof diese Dialogboxen als illegal erklärte hatte. NOYB will dem ja glücklicherweise ein Ende setzen (siehe Empfehlung oben).
So oder so:
If I wanted to figure out what the rules should be for managing information with overlapping claims like address-book entries and message-board posts, I wouldn’t start by first piling up trillions of these inside the silos of privacy-invading consent-theater impresarios with billions of dollars and a longstanding culture of both demolishing consent (when it’s them taking our data) and reifying it (when it’s us taking their data).
But if we’re going to let the platforms continue to treat our data as theirs thanks to the fiction of consent while we figure this stuff out, it feels like a serious goal to also give them the ultimate say over how we negotiate those rules among ourselves.
Eine wirkliche Lösung bietet Doctorow jedoch nicht an, wie er selber auch zugibt: was wirklich als persönliche Daten gilt, bleibt kompliziert.
Collective data rights can stop big tech from obliterating privacy
Konkreter und konstruktiver als Doctorow wird der Autor dieses Lesestücks mit seiner Kritik an der DSGVP (GDPR) und zugehörigen Lösungsansätzen. Er kritisiert konkret wie die EU zu sehr auf “Consent”-Findung ausgestaltet ist und sich an den Rechten/Pflichten von Individuen orientiert. Das hemme das politische Durchsetzungsmomentum des Datenschutzes. Man muss grösser denken, es brauche “collective data rights”. GDPR würde die Beschwerdelast einzelnen Personen auferlegen, Big Tech-Firmen könnten sich mit “Differential Privacy”-Konzepten (man denke an Google) einfach rauswinden auf der individuellen Ebene.
Das alleine schränke die Geschäftsmodelle jener Konzerne (die uns in Kategorien einsortieren und daraus Schlüsse ziehen) jedoch nicht ein. Man denke an die jüngsten Änderungen von Browserherstellern beim Cookie-Tracking (wieder Google, wir erinnern uns an FloC). Der Autor plädiert für mehr rechtliche Möglichkeiten für “collective action”, also Gruppen und Organisationen. Er fordert Gesetze nach dem Vorbild von Frankreich, also eine “Digital Republic Bill”. Mit Forderungen von Open Source, konkreten Beweispflichten auf Seiten der HerstellerInnen und Möglichkeiten für Advovacy-Organisationen gegen die algorithmische Verarbeitung von Daten als Ganzes insgesamt vorzugehen.
“Laure Lucchesi, the director of Etalab, a French government office in charge of overseeing the bill, says that the law’s focus on algorithmic accountability was ahead of its time. Other laws, like the European General Data Protection Regulation (GDPR), focus too heavily on individual consent and privacy. But both the data and the algorithms need to be regulated.“
Eine Antwort
Spannende “Lese-Empfehlung” 🙂
Am Ende des Tages bleibt ja die Frage zu beantworten “Warum entsteht diese Komplexität?”
a. sicherlich ist die GDPR nicht perfekt, aber die grösste gemeinsame Schnittmenge zum Zeitpunkt der Erarbeitung gewesen
b. die Durchsetzung der GDPR, die auch politische Aspekte beinhaltet
c. der Lifestyle, der Kosten verlagert/versteckt ((Leasing, Flat-Rates, …) damit die Entscheidungsfindung leichter wird
Ob sich die Komplexität wirklich nennenswert reduzieren lässt, wenn nur an einem Teil der Gründe “gedreht” wird, bleibt für mich offen (auch wenn ich mir diese dringend) wünsche.
Thorsten Ziercke