Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

October 24 2013

Etappensieg für “Europe versus Facebook”

Die Gruppe Europe versus Facebook hat heute eine Mitteilung veröffentlicht, die von einem ersten Erfolg in einer Klage gegen die irische Datenschutzbehörde (DPC) berichtet. Die Behörde hatte auf vorherige Anzeigen der Gruppe gegen Facebook und Google nur geantwortet, dass deren Datenübertragungen legal seien und keine weiteren Schritte unternommen. Die Anzeigen bezogen sich darauf, dass die Unternehmen nach Bekanntwerden der Überwachung durch die NSA weiterhin Daten in die USA übermittelten. Das widerspricht laut den Mitgliedern dem “Safe Harbor”-Prinzip, da man annehmen müsse, dass dort kein angemessener Datenschutz mehr gewährleistet ist. Unter dem Vorwand, die Anzeigen seien nicht ernstzunehmen, ist die DPC untätig geblieben, wie wir bereits berichtet haben. Daraufhin klagte Europe versus Facebook die Behörde selbst an, mit ihrer Ignoranz die Verletzung von Bürgerrechten in Kauf zu nehmen.

Nun hat der irische High Court die Klage zugelassen und sie der DPC zugestellt, die sich nun verantworten muss. Damit ist zwar noch nicht absehbar, wie das Verfahren ausgehen wird, aber zumindest der Anfang wurde gemacht.

Finanziert wird die Klage gegen die DPC als auch die gegen Facebook über Crowdfunding. Die offiziell angestrebte Summe von 300.000 Euro scheint hoch, ist jedoch für den Fall bestimmt, dass ein Urteil gegen Facebook angefechtet werden muss, was mit horrenden Kosten verbunden wäre.

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 25 2013

Irland: Datenschutzbehörde sieht keine Probleme bei Datenweitergabe an die USA

Das Safe-Harbor-Abkommen sieht vor, dass amerikanische Unternehmen Daten von europäischen Bürgern nur dann auf amerikanischen Server speichern dürfen, wenn dort „angemessene“ Datenschutzbestimmungen gelten. Unternehmen, für die diese Regelung gelten, sind unter anderem Facebook, Apple und Google. Nach den Enthüllungen um die Abhörpraktiken amerikanischer Geheimdienst sind nun aber leise Zweifel angebracht, ob diese Bedingung tatsächlich erfüllt ist. Europe-v-facebook.org hat aus diesem Grund bereits vor einem Monat zwei Anzeigen gegen irische Tochterunternehmen von Facebook und Google bei der irischen Datenschutzbehörde eingebracht. Diese hat nun aber entschieden, dass die Datentransfers vollkommen legal seien und sieht von weiteren Ermittlungen ab.

Die irischen Tochterunternehmen von Facebook und Google sind für die Daten von europäischen Bürgern verantwortlich und senden diese zur Weiterverarbeitung an die Server der Mutterkonzerne in die USA. Dort haben dann verschiedenste Geheimdienste, darunter die NSA, Zugriff auf diese Daten. Es kann also eigentlich nicht davon die Rege sein, dass ein “angemessenes” Datenschutzniveau besteht, wie es Artikel 25 der Richtlinie 95/46/EG verlangt.

Die irische Datenschutzbehörde hat europe-v-facebook.com nun aber in einem Schreiben mitgeteilt, dass sie PRISM im Einklang mit dem Safe-Harbor-Abkommen sehe. Die Behörde begründet ihre Entscheidung damit, dass die EU-Kommission bei der Erstellung des Safe-Harbor-Abkommens, „vorausgesehen hat und auf die Frage eingegangen ist, dass personenbezogene Daten für Zwecke der Strafverfolgung verwendet werden“, wie unwatched.org berichtet.

Max Schrems, Gründer von europe-v-facebook.org, äußert dementsprechendes Unverständnis für die Entscheidung der irischen Datenschutzbehörde:

“Die irische Behörde sagt ernsthaft, dass die EU vor 13 Jahren das amerikanische PRISM-Programm vorausgesehen und akzeptiert hat, als sie die ‚Safe Harbor‘ Entscheidung gefällt hat. Damit sagt die Behörde auch, dass das PRISM Programm einem angemessenen Datenschutz nach EU-Recht entspricht.”

Seltsam mutet die Entscheidung der irischen Datenschutzbehörde aber auch deshalb an, da die Datenschutzbeauftragten des Bundes in Deutschland erst gestern die Aussetzung des Safe-Hafe-Abkommens gefordert haben, da eben kein ausreichender Datenschutz bei der Auslieferung der Daten gegeben sei.

Schließlich fordert die Konferenz die Europäische Kommission auf, ihre Entscheidungen zu Safe Harbor und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren.

Das weitere Vorgehen von europe-v-facebook.org ist bisher noch nicht klar. Wie unwatched.org schreibt, handele es sich nämlich nur um ein “informelles Schreiben” der irischen Datenschutzbehörde. Ob also überhaupt eine Berufung möglich ist, muss noch geklärt werden. Max Schrems hat aber bereits einen möglichen Plan:

“Wenn es keine Möglichkeit gibt, in Irland zu berufen, wäre es für uns sogar besser, den Fall PRISM direkt vor den Europäischen Gerichtshof für Menschenrechte zubringen – sofern wir dafür ausreichend Geld aufbringen”

Aus diesem Grund bereits auf der Plattform crowd4privacy um Spenden gebeten um den Kampf für besseren Datenschutz in Europa fortzusetzen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 21 2011

Datenschutzbericht zu Facebook veröffentlicht

Billy Hawkes, der irische Data Protection Commissioner (DPC), hat heute seinen 148-Seiten starken Bericht zum Zustand des Datenschutzes bei Facebook veröffentlicht. Da Facebook Ireland für die Nutzer außerhalb Nordamerikas zuständig ist, wurde dem Dokument seit einiger Zeit mit besonderer Spannung entgegen gesehen. Ein Blick in den Bericht lohnt sich übrigens auch für den, der vom Umfang abgeschreckt ist: Die Forderungen des DPC sind auch beim Überfliegen schnell gefunden und in Tabellen mitsamt dem jeweiligen Zugeständnis durch Facebook aufbereitet (siehe S. 5-20).

Ein erstes Ergebnis: Zum einen hat Facebook im Zuge des Verfahrens bereits einige Punkte verbessert. Beispielsweise wurde die Forderung nach einem Manual für das Direkt-Marketing umgehend erfüllt, nachdem der Data Protection Commissioner festgestellt hatte, dass es einigen Mitarbeitern in dieser Sparte an Verständnis für die Datenschutz-Vorschriften fehlt.

Zu noch offenen Kritikpunkten hat sich die Firma verpflichtet, innerhalb der nächsten sechs Monate Verbesserungen durchzuführen, die dann im Juli 2012 überprüft werden sollen. Unter anderem wird der Prozess des Datenzugriffs durch die Nutzer vereinfacht; im Januar 2012 soll zudem die Einwilligung in die Gesichtserkennung nachgefragt werden. Nutzerdaten – sowohl von Facebook-Mitgliedern als auch von Nicht-Mitgliedern, die über die “Social Plugins” auf anderen Websites trotzdem Daten an Facebook übermittelt haben – werden schneller als bisher gelöscht, anonymisiert und/oder aggregiert.

Der Bericht hat zu einem ersten Jubelschrei auf Seiten von Europe vs Facebook geführt; eine Zusammenfassung der Ergebnisse ist hier zu finden. Herzlichen Glückwunsch an dieser Stelle, denn der Prozess wurde insbesondere durch die dort koordinierten Anfragen an Facebook und Anzeigen beim DPC in Gang gesetzt.

Als wesentliche Punkte sieht EvF (neben den bereits genannten) folgendes:

Facebook has to change and improve its privacy policy in many points.
Facebook will be restricted in its use of user data for targeted advertisement purposes.
Facebook will not be allowed to use user pictures for promotion of certain products without the user’s prior consent.
Users will have to be given a possibility to permanently and definitely delete data. Up until now, deleted data has been stored by Facebook for an indefinite time.
It will not be possible anymore to add a user to a group without their prior consent.
Inactive and deactivated profiles will have to be deleted if the user has not logged on for a certain longer time.
The last digits of IP-addresses stored from “Social plug-ins” will have to be deleted.
Things entered in the “search” field on Facebook will have to be deleted after 6 months.
If users click on advertisements, this data will have to be deleted after 2 years.
Data of users who did not complete the registration process on facebook.com will have to be deleted.
Users will only be able to provide applications with limited access to their friends’ data.
Facebook will have to check if the privacy policy of applications is compliant with the laws.
Facebook will have to ensure that its employees only have access to the data required for their specific task. No such system has been in place so far.

Das Statement von Facebook selbst kann man hier nachlesen.

September 29 2011

Facebook: Deine Daten gehören(!) uns. (Wirklich.)

Der Fall hat inzwischen sehr viel mediale Aufmerksamkeit bekommen: Der Österreicher Max Schrems hat erklärt, wie man Facebook dazu bringt, (alle) über einen gesammelten Daten herauszugeben. Man muss unter diesem Link als Grund für die Anfrage “Section 4 DPA” oder “Art. 12 Directive 95/46/EG” angeben und ein Foto / Scan eines gültigen Ausweisdokuments beifügen.

Sobald Facebook nachgibt, bekommst du eine CD mit deinen Daten und einem Begleitschreiben zugeschickt. Dafür hat Facebook 40 Tage Zeit, ab dem Ausfüllen des Formulars . Diese hat ein PDF mit vielen (meist aber nicht mit allen) Datensätzen, die Facebook von dir gespeichert hat. Dabei kannst du mit über 1.000 Seiten und einem Datenumfang von mehreren hundert MB rechnen.

Beim Betrachten seines Datensatzes fiel Max auf, dass er nicht vollständig war. Es fehlten unter anderem seine Beiträge auf den Seiten anderer Personen, seine “Likes”, oder zum Beispiel Infos zu Videos, die er gepostet hatte.

Dass Facebook über diese Daten verfügt, konnte Max aus der Facebook-Datenschutzrichlinie und Funktionalitäten der Seite entnehmen: Da es die Möglichkeit gibt, anderen Usern zu verbieten, einen auf bestimmten Bildern zu taggen, gehört zu Max’ vollständigem Datensatz also auch die Liste der Bilder, in denen er nicht getaggt werden möchte. Diese aber fehlte zusammen mit 19 weiteren Punkten.

Er forderte Facebook also auf, die fehlenden Daten nachzuliefern, um der Verpflichtung einer vollständigen Herausgabe der Daten nach europäischem Recht zu entsprechen. Facebook antwortete, diese Daten seien

  1. Geschäftsgeheimnis von Facebook
  2. “schwierig” zu übermitteln und
  3. geistiges Eigentum von Facebook

Das ist natürlich schon ein starkes Stück, war aber auch nicht anders zu erwarten. Die Facebook-AGBs sagen eindeutig aus “Du bist Eigentümer aller Inhalte und Informationen, die du auf Facebook postest.” – also nicht der Informationen, die Facebook sonst über dich sammelt – aber genau um diese geht es ja bei der Datenschutz-Anfrage.

Klarstellung: Section 4 DPA lässt genau diese 3 Möglichkeiten offen, einer Anfrage nicht vollständig zu entsprechen. Ich dachte, das wäre offensichtlich, weil Facebook sich ja darauf bezieht, in den Kommentaren offenbart sich aber, dass dem nicht so ist, deshalb sei es an dieser Stelle betont.

Warum aber ist Max’ Vorgehen so wichtig? Es geht hier nicht nur um Datenschutz, sondern auch grundsätzliche Verbraucherrechte. Wenn Facebook seine Nutzer jetzt dazu bringen möchte, dort ein Online-Lebens-Logbuch zu führen, dann wird Facebook nach wenigen Jahren zu einem goldenen Käfig, wenn man nicht die Möglichkeit hat, seine Daten irgendwie dort heraus zu bekommen, um zu einem anderen Anbieter zu wechseln.

Genau das zu verhindern ist aber natürlich in Facebooks Interesse. Nicht durch Zufall werden die Daten in einem für einen Import in andere Dienste denkbar ungeeigneten pdf geliefert, statt in einem maschinenlesbaren Format wie csv.

Wenn wir von “sozialen Netzwerken” reden wollen und nicht von Webseiten, bei denen wir nicht der Nutzer, sondern selbst das Produkt sind, das verkauft wird, weil wir unsere eigenen Daten zum geistigen Eigentum eines Konzerns werden lassen, dann brauchen wir eine Möglichkeit, die Dienste unkompliziert zu wechseln. Dafür braucht es gesetzliche Regelungen, weil die Konzerne es von sich aus nie ermöglichen würden – siehe z.B. Mobilfunk-, Festnetz- und DSL-Verträge – oder, wie ich es seit langem predige, soziale Netzwerke, die sowohl das Attribut “sozial”, als auch den Namen Netzwerk verdienen, und in Nutzerhand sind. Es ist ja ohnehin ein Unding, unsere gesamte Kommunikation und Lebensgeschichte ausgerechnet in die Hand eines einzelnen Konzerns zu legen, der daraus Milliarden macht.

~~~

Die Initiative Europe vs. Facebook von Max Schrems setzt sich für die Durchsetzung des europäischen Datenschutzrechts bei Facebook ein. Die Ziele sind

  • Transparenz
  • Opt-in statt Opt-out
  • Datensparsamkeit
  • und keine Informationssammlung gegen den Willen einer Person (Freundefinder, Gesichtserkennung, etc.)

Da Facebook einerseits ziemlich offensichtlich den europäischen Datenschutzgesetzen nicht entspricht, und seinen Sitz, vermutlich aus steuerlichen Gründen, in Irland hat, hat Europe-vs-Facebook die Facebook Ireland Ltd. beim irischen Data Protection Comissioner angezeigt.

Und zwar 22 Mal.
Im Interview mit Einslive hat Max viele der Punkte geschildert – dem geneigten netzpolitik.org-Leser sollten sie größtenteils bekannt sein.

Die irischen Datenschützer entschlossen sich recht bald zur Ankündigung einer Betriebsprüfung.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl