datenschutz

Alle wollen Datenschutz. Niemand will Datenschutz.

Facebook mit oder ohne Werbung? Lästig, aber nicht relevant.

Facebook hat die Möglichkeit, ein Abo abzuschließen und damit seine Dienste werbefrei zu nutzen, eingeführt. Das ist eine weitere Lästigkeit in der Wahrnehmung der Userinnen und User, und kein echter Schritt zu mehr Datenschutz.

Trumps DMs und Entwürfe auf Twitter

Aus dem Trump-Prozess geht hervor: Twitter löscht nicht, DMs sind nicht wirklich privat und es existiert immer irgendwo ein Archiv von Dingen, von denen man nicht will, dass es existiert. Eigentlich nichts Neues, aber eine gute Erinnerung.

Ironie und KI bei Zoom

Zoom gleich doppelt: Einerseits will der Konzern, der die letzten Jahre Remote-Work propagiert hat, seine Angestellten zurück im Office haben, andererseits räumt er sich weitreichende Rechte in Bezug auf Nutzungsdaten zur Training einer KI ein.

Threads in der EU: Viel Spaß in der Bibliothek

In diesem Beitrag geht es nicht um Bibliotheken, sondern um John Grubers bemerkenswerte Dissonanz in puncto Datenschutz, den er bei Apple als Hui, in der EU jedoch als Pfui ansieht. Und dabei Facebooks Threads schützt und stützt. Was ist da passiert?!

Spark +AI: Au weia!

Readdle hat seinem E-Mailclient Spark eine OpenAI-Integration verpasst, die das Abarbeiten von E-Mails durch automatisiertes Erstellen von Entwürfen beschleunigen soll. Die Betonung liegt auf dem Soll, denn das Ist ist bei näherer Betrachtung der Erwartung diametral entgegengesetzt und potentiell gefährlich.

1,2 Mrd. Strafe für Facebook

Nach 10 Jahren des Prozessierens von Max Schrems gegen Facebook und die irische Datenschutzbehörde ist die Strafe für die unerlaubte Übermittlung von Daten in die USA nun mit 1,2 Mrd. Euro festgelegt worden.

E-Mail-Zugangsdaten in der Microsoft-Cloud

Microsoft Outlook synchronisiert offenbar per default E-Mail-, Kalender- und Kontaktdaten in die Microsoft Cloud. Und die ist es, die dann die Arbeit macht.

Datenschutz lebensfremd?

Datenschutz ist lebensfremd, meint die FAZ. Wolfie Christl entgegnet, dass er nur dort lebensfremd sei, wo rechtliche Bewertungen unrechtmäßigen Praktiken hilflos entgegenstehen.

Signal, Threema oder Telegram!

Und da ist der erste Fall, in dem auf Vorrat gespeicherte Kommunikationsdaten - Facebook hat Nachrichten im Klartext an die Behörden liefern können - eine junge Frau in Bezug auf ihre Abtreibung (Stichwort Roe vs. Wade) belasten.

Facebook sammelt ultra-sensitive Daten. Moment!

Facebook hat eine dystopische Analyse- und Werbemaschinerie erschaffen. Dass sie aber von Unternehmen aktiv und gegen die Nutzungsbedingungen verstoßend eingesetzt wird, ist nicht die Schuld von Facebook. Ungut, wenn ein Artikel diesen Eindruck vermittelt.

Nachfolger für Privacy Shield?

Auf der einen Seite lässt eine Überschrift wie „Nachfolger für Privacy Shield: EU und USA einigen sich im Grundsatz auf neues Datenschutzabkommen“ endlich Hoffnung auf ein Ende dieses datenschutztechnischen und…

Kinder sind unerschlossenes Einkommen

Man stelle sich ein Unternehmen vor, dass seine die Privatsphäre ignorierende Technologie und die zugehörigen Ressourcen gegen Kinder richtet: Facebook formed a special team to study children and ponder ways…

Ray-Ban Stories

Es vergeht kein Tag, an dem die Dystopie nicht noch mehr Wahrheit wird: Ray Ban hat sich tatsächlich überreden lassen, sein Label für „Stories“, eine Facebook-Datenbrille, herzugeben, mit der Fotos…

NeuralHash schon in iOS 14.3.

NeuralHash ist der Algorithmus, der auf Apple-Betriebssystemen clientseitig Bilder auf Kinderpornografie scannen wird, und offenbar recht leicht ausgetrickst werden kann. Kryptografie-Experte Bruce Schneier dazu: "This was a bad idea from the start, and Apple never seemed to consider the adversarial context of the system as a whole, and not just the cryptography." Der Scan-Algorithmus ist nicht erst in Version 15 von iOS vorhanden; man hat den Algorithmus bereits in iOS 14.3 gefunden.

People are really mad [at Apple]

Was ich Enttäuschung genannt habe, nennt Matthew Green Wut. Apple ist mit seinem Zugang des „Wir scannen deine Fotos auf deinem Device, leb damit!“ einen Schritt zu weit gegangen. Doch…

Apples Fehler: Policy statt Unmöglichkeit

Ben Thompson beleuchtet in einem Beitrag, wie sehr sich Apple mit der Ankündigung, Bildanalysen am jeweiligen Device eines Users durchzuführen und von dort weg auf mögliche Problemfälle zu reagieren, in…

Dammbruch bei Apple

Apple will Kinder schützen. Deshalb hat der Konzern ein aus drei Elementen bestehendes System gebaut, das die Möglichkeiten von Verschlüsselung dramatisch reduziert, ein Einfallstor für zukünftige Begehrlichkeiten bildet und in…

Personalisierte Werbung? Eher nicht.

Nick Heer stellt nach einem zitierten Resümee über Apples Tracking-Popup, aus dem hervorgeht, dass gerade einmal 25% aller User Tracking erlauben, zusammenfassend fest: The online advertising industry has been telling us…

Daten von Nifty-Tests wandern nach China

China sammelt, ganz offen und ohne ein Geheimnis daraus zu machen, weltweit Erbgutdaten schwangerer Frauen. Das Erbgut aller, die einen sogenannten „Nifty“-Test gemacht haben, könnte bereits in einer chinesischen, dem…

Schweiz verschiebt staatliche Daten in die Cloud

Die Schweiz verschiebt staatliche Daten in die Cloud der chinesischen Alibaba 🇨🇳 und der US-amerikanischen Riesen Amazon 🇺🇸, IBM 🇺🇸, Oracle 🇺🇸 und Microsoft 🇺🇸. Rechenzentren in der Schweiz betreiben…

WhatsApp wird weiterhin genutzt.

Ich habe es befürchtet: WhatsApp wird weiterhin genutzt. Trotz Datenschutzbedenken.

Die monatelange Kontroverse um die neuen Datenschutz-Regeln bei WhatsApp hat für Facebooks Chatdienst bisher nur geringe Folgen in Deutschland. [...] 79 Prozent [der Befragten gaben] an, dass sie die App auf ihrem Smartphone haben und sie auch nutzen. Gut die Hälfte der WhatsApp-Nutzer […] stimmte demnach den Mitte Mai in Kraft getretenen neuen Bestimmungen bereits zu.

heise.de

Wenn eine App mit dieser Userbase einmal etabliert ist, wird die Migration zu einem anderen System enorm schwierig, weil man eben nicht nur sich selbst, sondern auch alle Kontakte zum Wechsel motivieren muss.

Schert die DSGVO eigentlich irgendwen, den sie scheren sollte?.

Ein sehr ernüchternder Artikel zum Thema Durchsetzung und Status DSGVO.

Die Datenschutz-Grundverordnung (DSGVO) sei zu ihrem Start vor drei Jahren als "Big Bang" wahrgenommen worden […] Die Botschaft aus Europa sei gewesen: "Wir meinen das ernst." Jeder sollte sich daran halten. Von diesem Ansatz sei aber wenig übriggeblieben. […] Die Internetgrößen im Silicon Valley hätten sich damals die Frage gestellt: "Wird das durchgesetzt?" Sie seien letztlich zum Schluss gekommen, dass sie nicht viel zu befürchten hätten und die Geschichte [gibt] ihnen mittlerweile größtenteils recht.

DSGVO: Das stürmisch gestartete "Pferd wird langsam totgeritten"

Obwohl ich der grundsätzlichen Idee des Schutzes von Daten wahrlich nicht abgeneigt bin, das aktuelle Nicht-Umsetzungsregime und die bereits daraus hervorgegangenen, teilweise massiven Erschwernisse und Einschränkungen, vor allem, wenn man mit Produktivsystemen arbeiten und unwilligen bzw. uneinsichtigen Kunden, Partnern und Freunden datenschutzfreundliche Alternativen schmackhaft machen will, haben bis dato minimalste Erfolge bei gigantischer Frustration, die am Ende im Beibehalt diverser, wenig datenschutzfreundlicher Dienste und Services einhergeht, erzielt.

Am Ende checken wir unsere Gmail-Konten, teilen Daten in OneDrive oder in der Dropbox, nutzen Google Analytics, Twitter, Instagram, WhatsApp und Spark und haben ganz vielen Standardvertragsklauseln zugestimmt, die so tun als ob nichts wäre, während unsere Daten munter außerhalb der EU verarbeitet werden.

Viel rechtlicher Lärm um nichts? Schert die DSGVO eigentlich irgendwen, den sie scheren sollte? Und Lotus Notes, ernsthaft?

App der Shop Apotheke gibt Gesundheitsdaten an Facebook weiter.

Mobilsicher berichtet: Die App der Shop Apotheke gibt sensible Gesundheitsdaten an Unternehmen weiter, die sie nicht erhalten sollten.

Die E-Mail-Adresse sowie der Vor- und Nachname […] wurde nicht nur an den Anbieter der App gesendet, sondern auch an den Drittanbieter Leanplum Inc. Dieser erfasste außerdem den Namen des Medikamentes, das wir in der App gesucht hatten. Damit können Rückschlüsse über Ihre Gesundheit gezogen und Ihrer Person zugeordnet werden. Wir bewerten dieses Verhalten als sehr kritisch.

Die Drittanbieter Facebook Inc. und Algolia Inc. erhielten ebenfalls den gesuchten Medikamenten-Namen. Facebook Inc. erfasste zusätzlich noch die Werbe-ID, über die sich die anderen Informationen einem bestehenden Personenprofil zuordnen lassen. Auch mit dieser Kombination an Daten können Drittanbieter Rückschlüsse über Ihre Gesundheit ziehen.

Widerlich. Ich hoffe, Shop Apotheke verbessert das umgehend. Wobei ich sagen muss: es gibt Personen, die auf die oben zusammengefasste Mitteilung mit einem Schulterzucken und einem "Aha. Na und?" reagiert haben. Sie haben vom Thema Datenschutz nichts verstanden, aber sie ziehen uns trotzdem mit. Als Einzelkämpfer schaffen wir das nämlich auch nicht mehr.

Datensicherheit: Cloud oder NAS?.

Im Blog von Boxcryptor habe ich einen Beitrag gefunden, in dem die Datensicherheit von Cloudspeichern mit der eines lokal installierten NAS verglichen wird. Es ist natürlich klar, dass der Anbieter einer Verschlüsselungslösung für Cloudspeicher tendenziös vergleichen wird, aber diesen Punkt unterschreibe ich zu 100 Prozent:

Eine sicher verschlüsselte Cloud […] ist […] ein virtueller Speicherort, der physikalisch von hochspezialisierten Anbietern verwaltet wird. Hier kümmern sich Expertenteams rund um die Uhr um Datensicherung, Backups und Verfügbarkeit. Ein einzelne[s] selbsternannte[s] Computer-Genie mit einem NAS (oder einem Fileserver) kann das auch bei größtem Bemühen nicht leisten.

Cloud vs. NAS: Wo sind meine Daten sicherer?

Alle - alle! - Probleme, die ich in meinem Umfeld in Bezug auf die Sicherheit (aber auch in Bezug auf die Verfügbarkeit) von Daten miterlebt habe, resultierten aus dem Faktor "selbsternannes Computer-Genie". Alles wirkt so leicht, alles so schlüssig, bis es dann nicht mehr leicht und schlüssig ist.

Ah ja: Leute, die ihren Mailserver selbst betreiben, ebensowenig die Kriterien "Expertenteam" und "rund um die Uhr" erfüllen, und trotzdem "Datenschutz" rufen... Weiß man da schon etwas?

Microsoft scannt private Chats auf illegale Inhalte.

Mit dem Introtext des Artikels ist schon alles gesagt. Natürlich geht es wieder um "mögliche Fälle von Kindesmissbrauch und auf verbotene Terrorinhalte".

Microsoft scannt Bilder und Videos in privaten Chats auf Skype und Linkedin auf illegale Inhalte. Dass er damit neue EU-Regeln verletzt, ignoriert der Softwarekonzern.

Skype-Chats auf Terrorverdacht durchleuchtet

Das sozusagen als Erinnerung für diejenigen, die immer noch Skype nutzen bzw. davon ausgehen, dass ihre Inhalte, wenn unverschlüsselt irgendwo hochgeladen, nicht gescannt werden.

Spark und das unangenehme Thema Datenschutz

Da freue ich mich über Spark, seine tollen Funktionen (später lesen, erinnen, später versenden, usw.) und das hervorragende Erscheinungsbild, dann weist mich Philipp auf diverse Artikel zum Thema Spark und…

Überwachungstechnologie für… passende Playlists?.

Wie konnte das an mir vorbeigehen? Spotify hat ein Patent eingereicht, um seinen Kundinnen und Kunden kontinuierlich zuzuhören und, neben anderen Dingen, den emotionalen Status, das Geschlecht oder das Alter aus den Gesprächen zu ermitteln. - Ich vermute, um passende Playlists anzubieten. 🙄 Zu solchen Plänen fällt mir immer nur der Titel eines TED-Talks von Zeynep Tufekci ein: We're building a dystopia just to make people click on ads.

deletefacebook.com.

Durch Zufall bin ich wieder auf die Seite deletefacebook.com gestoßen. Während wir hier die Pandemie hinter uns bringen, liefert jeder Besuch, jedes Like, jedes angesehene Video, schlicht und einfach jegliche Interaktion mit Facebook dem Werberiesen mehr und mehr Material über uns, das er - aggregiert, ausgewertet und dem Profil unseres digitalen Zwillings hinzugefügt - verkaufen kann. Das Motto lautet also: Wir verlassen Facebook. Und dass euch auf Facebook ohnehin nur noch fad ist, ist Tatsache.

Datenschutz Gmail vs. Hey

Mit der Überschrift „Google reads your email more than you do“ punktet der E-Mail-Dienst Hey ohnehin schon bei mir. Der direkte Vergleich ist… Augen öffnend. If they can sell it,…

Zu den WhatsApp-Aktualisierungen

Bei WhatsApp dürfte nach den angekündigten Änderungen der AGB und der damit ausgelösten Abwanderungswelle zu anderen Messengern (vor allem dürften viele von WhatsApp zu Signal wechseln), wohl der Hut brennen.…

Wer ist Schuld an der App-Skepsis?

Wenn ich lese, wie die banale Verwaltung von Daten auf große Skepsis stößt, dann frage ich mich, ob wir, also diejenigen, die den Datenschutz eingemahnt und auf die Gefahren von…

MS Teams für E-Learning ist ein Problem…

Ein erstaunlich gradliniges Interview in der SZ mit Anwalt Peter Hense zum Thema Microsoft Teams (und, allgemein: Microsoft-Produkte) in Schulen und Unternehmen im Lichte der jüngsten EuGH-Entscheidung. Der für mich…

Nur Verschlüsselung schützt

Der hamburgische Beauftragte für Datenschutz ist nach dem Privacy-Shield-Urteil des EuGH der Meinung, dass auch die auf Standardvertragsklauseln basierende Datenübermittlung in Drittstaaten konsequenterweise ungültig sein muss. Wenn die Ungültigkeit des…

„Privacy Shield“ unwirksam

Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, sofern in den Drittländern – und dazu gehören die USA nun einmal – kein angemessenes Datenschutzniveau herrscht. Ob ein solches…

Schwachstelle Client-IP in E-Mail-Headern?.

Lee Holmes "entdeckt" die Client-IP des E-Mails-Senders und veröffentlicht einen Blogbeitrag, der das als problematische Schwachstelle bezeichnet. In den Kommentaren wäscht man ihm ordentlich den Kopf für die Entdeckung des Offensichtlichen und Gewollten. Aber... als Erinnerung, dass die IP des Geräts, von dem aus man seine E-Mails abschickt, in E-Mails vorhanden ist, taugt der Beitrag allemal. Dann halt also #awareness.

COVID-19, Tag 15: „Phase der neuen Normalität“

Freitag, 27. März 2020, Tag 15 der Maßnahmen gegen die Verbreitung des Coronavirus. Es war nur eine Frage der Zeit, bis die aktuell durch das Virus begründeten, „notwendigen Maßnahmen“ zu…

Menstruations-Apps geben Daten an Facebook weiter.

Privacy International hat populäre Menstruations-Apps (diverse Period Tracker, Maya, MIA, Mobapp, My Period Tracker, Ovulation Calculator und Mi Calendario) unter die Lupe genommen und kommt zu einem katastrophalen Ergebnis.

Intimate details of the private lives of millions of users across the world are shared with Facebook and other third parties without those users’ free, unambiguous and informed or explicit consent, in the case of special-category (sensitive) personal data, such as data relating to a user's health or sex life.

Es lohnt sich ganz besonders, den Artikel zu lesen, denn das Ausmaß, mit dem teilweise höchst private Daten mit Facebook (und anderen Werbepartnern!) geteilt werden, ist gigantisch. Immerhin, es lohnt sich für die Apps kommerziell, diese Daten weiterzuleiten, schlichtweg, weil der Werbewert einer schwangeren Frau so dermaßen hoch ist!

Before you start, MIA wants to know if you intend to use the app as a regular period tracker, or if you are trying to get pregnant and using it to maximise your chances. […] The moment you click on the icon to let the app know you are trying to get pregnant, you are immediately targeted with an ad for a premium version to of the app to help you conceive. The information is also shared with Facebook. […] The data of pregnant women is particularly valuable to advertisers: expecting parents are consumers who are likely to change to their purchasing habits. In the US for instance, an average person’s data is worth $0.10, while a pregnant woman’s will be $1.50.

Und es ist widerlich, was da abgeht; wirklich widerlich. Ich würde niemals einem Unternehmen meine Daten anvertrauen, das schon initial so problematisch damit umgeht, denn so eine Unternehmenskultur ist tief verwurzelt und wird sich nicht so schnell ändern, auch wenn das Unternehmen Besserung verspricht (siehe Artikel). "Einmal das Vertrauen gebrochen, nie wieder genutzt," sollte die Devise sein.

Jedenfalls bin ich froh, aber auch erstaunt, dass die Wienerin (!) über die Datenweitergabe berichtet hat. Gut so, großes Lob! Und hier habe ich ein Video vom Guardian gefunden, dass sich mit dem Thema "How period apps are making other people rich" beschäftigt. - Das ist alles eine gute Sache und alle, die es betrifft, sollten sich sehr genau damit beschäftigen, wem sie welche Daten anvertrauen.

Private Fotos ungeschützt.

Wer die URL von Fotos oder Videos auf Facebook oder Instagram kennt, kann sich diese Medien ansehen, auch wenn sie gelöscht oder in einer als privat markierten Story genutzt wurden.

The hack […] requires only a rudimentary understanding of HTML and a browser. […] A user simply inspects the images and videos that are being loaded on the page and then pulls out the source URL. This public URL can then be shared with people who are not logged in to Instagram or do not follow that private user.

Private Instagram Posts Aren’t Exactly Private

Einmaleins des "Wie schütze ich Mediendateien?". Lächerlich. Oder, wie es im Jahr 2019 eher dargestellt und verstanden wird: 🤦‍♂️.

Backblaze eröffnet Rechenzentrum in der EU

Backblaze Online-Backup

Backblaze, der Onlinebackupservice, den ich – neben Arq – für sichere Backups unter macOS empfehle, hat nun (endlich) ein Rechenzentrum in der EU eröffnet. Q: Does this mean that my…

Facebook fügt Bildern Trackingdaten hinzu.

Facebook - und so fängt mittlerweile jeder Artikel an, in dem es unschöne Überwachungs- und Trackingmaßnahmen geht - stattet Bilder mit Trackingdaten aus.

The take from this is that they can potentially track photos outside of their own platform with a disturbing level of precision about who originally uploaded the photo (and much more).

Edin Jusupovic, Twitter

Ich vermute, hier geht es eigentlich darum, zB den Re-Upload von problematischem Material schneller zu erkennen. Aber Facebook wäre nicht Facebook, gäbe es für solche Daten keinen Dual-Use.

Creepy Zoom-Software.

Jonathan Leitschuh hat eine gravierende Sicherheitslücke in Zoom (einer Skype-Alternative) gefunden. Mit dem Anklicken eines einfachen Links kann die Kamera eines Mac aktiviert werden. Schlimmer noch:

Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a localhost web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day. Yep, no joke. This vulnerability leverages the amazingly simple Zoom feature where you can just send anyone a meeting link (for example https://zoom.us/j/492468757) and when they open that link in their browser their Zoom client is magically opened on their local machine.

Zum Glück gibt Jonathan Leitschuh im Artikel auch gleich genaue Anweisung, wie der lokale Server entfernt werden kann. - Warum muss Software für Audio- und Videoübertragung immer so dermaßen creepy sein? Und wer hat Zoom vor wenigen Tagen wegen eines Meetings installiert? Ja, wer?! Genau!

Aktualisierung am 11. Juli 2019
Sogar Apple hat sich eingeschaltet und ein Silent Update ausgespielt, um den von Zoom installierten Server zu entfernen. Das ist in Wirklichkeit gleichzusetzen mit Malware-Removal.

Track This.

Track This ist eine Website, die 100 Tabs im Browser öffnet, um Trackingfirmen mit widersprüchlichen Interessensgebieten zu füttern. Zur Auswahl stehen die Persönlichkeiten Hypebeast, Filthy Rich, Doomsday und Influencer. Wer also seinen Browser nicht datenschutzfreundlich konfiguriert hat, kann zumindest damit bei Trackern für Verwirrung sorgen.

myaccount.google.com/purchases

Ich will hier nicht nur Facebook als so ziemlich das deklarierte Gegenteil von Datenschutz nennen, auch Google steht dieser Qualität um nichts nach. Wer Gmail nutzt, so der aktuelle Anlassfall,…

Produktscanner für bei Facebook hochgeladene Fotos

Aus einem Patent wurde bekannt, dass Facebook hochgeladene Fotos scannen, die darin abgebildeten Produkte erkennen, und diese Informationen verwerten will. If a Facebook user snaps a selfie sipping a unicorn…

YouTube-Tracking in WordPress verhindern

Jedes in WordPress (und anderen Systemen, die Embeds unterstützen) eingebettete YouTube-Video setzt Tracking Cookies. Man fügt eine YouTube-URL in den Editor ein und WordPress kümmert sich automatisch um die Einbettung…

IBMs AI lernt bei… Flickr

IBM hat seine AI mit öffentlich zugänglichen Fotos auf Flickr trainiert. IBM […] drew upon a collection of 100 million images published with Creative Commons licenses that Flickr’s owner, Yahoo,…

Facebook Research-App.

Und wieder eine Widerwärtigkeit, und man braucht gar nicht mehr zu raten, welche Firma dahintersteckt: Facebook pays teens to install VPN that spies on them.

Facebook has been secretly paying people to install a “Facebook Research” VPN that lets the company suck in all of a user’s phone and web activity, similar to Facebook’s Onavo Protect app that Apple banned in June and that was removed in August. Facebook sidesteps the App Store and rewards teenagers and adults to download the Research app and give it root access to network traffic […] so the social network can decrypt and analyze their phone activity.

Wenn man sich durchliest, was da eigentlich passiert, was übertragen wird und wie die Facebook Research-App alle Schutzmechanismen, die das iOS-System mit sich bringt, umgeht, dann ist das Irrsinn. Aber ja, es gibt ein paar Dollar Entschädigung dafür.

John Gruber hat folgenden Schlusssatz in seinem Blogpost über die Facebook Research-App:

What apps you’re using, all of your network data, your location — Facebook takes all of it with this app. […] No regular developer would get away with this. […] I keep saying Facebook is a criminal enterprise, and I’m not exaggerating. Sometimes a bully needs to be punched in the face, not just told to knock it off.

Und ich bin da ganz seiner Meinung.

Kein Social Media-Konto haben bringt auch nichts.

Nun endlich auch bestätigt: Man braucht nicht einmal ein Konto auf Twitter oder Facebook zu haben, um von von den Social Media-Diensten so behandelt zu werden wie wenn man eines hätte. Die Aktionen und Interaktionen von Freunden - man braucht ihrer lediglich acht - reichen aus, um mit 95% Wahrscheinlichkeit sagen zu können, was man gepostet hätte:

Even if you’ve never posted to either platform, it just takes between eight and nine of your friends to build a profile of your likes, interests and personality on social media. […] You alone don’t control your privacy on social media platforms. Your friends have a say too.

Aral Balkan hat diesen Beitrag auf Twitter so passend kommentiert:

Facebook is like a cigarette. When you smoke it, you don’t just harm yourself, you harm those around you also with your secondhand smoke.

Ich habe mich schon 2014 darüber aufgeregt, wie jemand, den ich entfernt kenne, die hinterlistigen Facebook-Fragen beantwortet und meine Daten preisgegeben hat. Aber das sind Personen, die auch ihre Adressbücher hochladen (was, nur so nebenbei, nur theoretisch rückgängig gemacht werden kann) und sich nichts dabei denken. Diese Informationsweitergabe war direkt (und der Dummheit der Person geschuldet). Was aber oben beschrieben ist, erfolgt indirekt und führt trotzdem zum Erfolg - für Twitter, Facebook und wohl auch etliche andere Social Media-Plattformen.

Es ist wirklich widerlich, wenn ich mir wieder einmal verdeutliche, seit wie vielen Jahren ich hier darauf hinweise, welche Datenmengen Social Media-Plattformen aus unseren Leben absaugen und das in Relation zu den täglichen (!) Mitteilungen auf Facebook, Twitter, usw. stelle, in denen mir offenkundig Präferenzen von Menschen, die ich kenne, gezeigt werden. ("X interessiert sich für...", "Y hat Z kommentiert...", usw.) Niemand auf diesem Planeten würde so eine Totalüberwachung akzeptieren, wenn sie nicht so dermaßen abstrakt wäre, sondern direkt und unmittelbar. - Gleichzeitig befürchte ich aber, dass eben dieses Verhalten der großen Plattformen mittlerweile als ganz normal angesehen und nicht einmal mehr hinterfragt, geschweige denn überhaupt zum Thema gemacht wird.

securitycheckli.st.

Die securitycheckli.st ist eine ziemlich gute Quelle für Software- und Verhaltenshinweise zum Thema Online-Security. Mir gefällt, dass die Tipps kommentiert sind und es interessante "Mehr zum Thema"-Links für jedes einzelne Kapitel gibt. - Eigentlich erinnert mich diese Liste an eine Hochglanzversion einer Cryptoparty. Schade, dass die nicht mehr so populär sind wie früher.

Grundsätzliche Skepsis ist angebracht

Kate O’Neill bleibt skeptisch und spielt mit der Idee, dass die #10YearChallenge eine gezielte Aktion von Facebook sein könnte, um den Gesichtserkennungsalgorithmus auf das Thema „Altern“ hin zu trainieren. (Facebook…

WhatsApp-Historie des Vorbesitzers einer Telefonnummer.

WhatsApp identifiziert seine Nutzer über ihre jeweilige Telefonnummer. Blöd, wenn jemand eine neue Nummer erhält und die WhatsApp-Historie des vorherigen Besitzers dieser Nummer einsehen kann.

logged into whatsapp with a new phone number today and the message history from the previous number's owner was right there?! this doesn't seem right.

Abby Fuller auf Twitter

Beunruhigend für euch; mir egal, da ich Signal nutze. Im zugehörigen Twitter-Thread wird übrigens vermutet, dass Nachrichten, die an den alten Besitzer der Nummer gegangen sind, aber von ihm/ihr noch nicht empfangen wurden, nun aus der Warteschlange ins neue Konto gespült werden. In jedem Fall beunruhigend. Für euch.

Greater Change-App

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.Mehr erfahren Video laden YouTube immer entsperren Crowdfunding-Promovideo für die Greater Change-App

Mutter pfeift auf die Privatsphäre der Tochter

Ein Mädchen findet heraus, dass ihre Mutter seit Jahren eine Kolumne zum Thema Mutterschaft betreibt und darin Persönliches über sie bloggt. Sie bittet die Mutter, die alten Bilder und Posts…

Facebook-Partner sind als Erweiterung des Sozialen Netzwerks zu verstehen. So auch seine User..

Facebook entschuldigt sich mal wieder und spielt weiterhin mit den Daten seiner Userinnen und User.

Facebook allowed Microsoft’s Bing search engine to see the names of virtually all Facebook users’ friends without consent, the records show, and gave Netflix and Spotify the ability to read Facebook users’ private messages. [It] permitted Amazon to obtain users’ names and contact information through their friends, and it let Yahoo view streams of friends’ posts as recently as this summer, despite public statements that it had stopped that type of sharing years earlier.

Ich weiß nicht, ob das alles noch absichtlich geschieht oder ob hinter dem Deckmantel des High-Tech-Unternehmens in Wirklichkeit nicht sehr viel falsch läuft. Das rasante Wachstum des Werbekonzerns muss ja zwangsläufig zu Problemen im Code führen. Aber das ist nur Spekulation und soll nicht weiter wichtig sein. Was allerdings wichtig ist, und nicht nur das, sondern interessant, bedenklich und fast schon beeindruckend, ist die Rechtfertigung für den Zugriff auf diese Daten, die externe Firmen als Plugins, Module und Erweiterungen des Core-Produkts ansieht.

With most of the partnerships […] the F.T.C. agreement did not require the social network to secure users’ consent before sharing data because Facebook considered the partners extensions of itself

Ich kann es nicht oft genug sagen, verlasst Facebook oder seid euch zumindest darüber bewusst, was ihr tut. Die Bequemlichkeit, ein paar Leute zu erreichen, die man sonst nicht so leicht erreicht, steht in keiner Relation zum Ausmaß dessen, was mit den Daten, die so generiert werden, geschieht. Mir ist klar, dass die Reichweite diverser ach so interessanter Posts auf Facebook deutlich höher ist als außerhalb, aber auch hier bewirkt das Posten auf Facebook eine Sogwirkung dorthin. Aber was tut man nicht alles für ein Like.

Ein Blog kostet ein paar Euro im Monat (oder gar nichts, wenn man keine eigene Domain braucht). Die Leserschaft eines Blogs, einmal etabliert, ist treu. Und wer nicht genug zu sagen hat, um einen Blog damit zu füllen, der hat in Wirklichkeit auch nicht genug zu sagen, um auf Facebook zu posten. Denn die oben genannte und von Facebook vorgebrachte Rechtfertigung gilt nicht nur rückwärtig betrachtet für das Verständnis der Datenweitergabe. Sie gilt auch als Programm für die eigenen Nutzerinnen und Nutzer: Alle, die auf Facebook posten, müssen als Extension, also als Erweiterung des sozialen Netzwerks verstanden werden. Sie arbeiten ja auch dafür.

23andMe stellt Daten zur Verfügung.

23andMe, das ist die Firma, die Gentests um 99 USD anbietet, ist mit GlaxoSmithKline eine Partnerschaft eingegangen und stellt dem Pharma-Riesen Daten von mehr als 5 Millionen Menschen zur Verfügung. Also das kommt jetzt natürlich sehr überraschend.
Einfach mal so private Daten weitergeben scheint ja gerade en vogue zu sein. Wobei ich mehr und mehr der noch aus Zeiten von CryptoPartys stammenden Denkrichtung etwas abgewinnen kann, dass Daten, welche den eigenen Rechner unverschlüsselt verlassen, grundsätzlich nicht mehr als "privat" gedacht werden dürfen.

„Dropbox hat uns Zugriff gewährt“. Moment, wie bitte?!.

Drei Wissenschaftler haben im Harvard Business Review einen Beitrag über die Effektivität der Zusammenarbeit von Teams auf Dropbox veröffentlicht. So weit, so gut, wenn ich diesen Absatz nicht ungläubig hätte zwei Mal lesen müssen:
Dropbox gave us access to project-folder-related data, which we aggregated and anonymized, for all the scientists using its platform over the period from May 2015 to May 2017 — a group that represented 1,000 universities. This included information on a user’s total number of folders, folder structure, and shared folder access, but we and Dropbox employees could view no personally identifiable information. What we did see was every Dropbox folder associated with a given researcher, along with whom they’d shared the folder with, how often the folder was accessed by anyone associated with it […] and how users split their time among different projects represented by the folders—a wide variety of specific touchpoints. We also had reliable data on seniority levels of users […] Overall, we analyzed data for roughly 400,000 unique users working on about 500,000 separate projects.
Wow. Dropbox hat offenbar Daten an Wissenschaftler weitergegeben. Sie, die Wissenschaftler - und nicht Dropbox! - haben die Daten anonymisiert. Und was heißt in diesem Zusammenhang überhaupt "anonymisiert"? Wenn ich an meine Ordnerstruktur oder die Ordner, die ich mit Dritten teile, denke, so lässt sich daraus einiges ableiten. Und dann sind es 400.000 (!) Nutzer, von denen man das Dienstalter kennt1? Meine Güte, das ist der gleiche Mist, den auch Facebook schon verbockt hat! Abgesehen davon, dass mir keine Klausel in den Dropbox-Nutzungsbedingungen bekannt wäre, die so etwas zulässt, bin ich nun noch mehr als zuvor davon überzeugt, dass Tools wie Boxcryptor und Cryptomator nicht nur zur Beruhigung dienen, sondern für die Sicherheit meiner Daten absolut notwendig sind. Und notwendig wird auch die eigene Nextcloud-Installation, denn was Dropbox (und wahrscheinlich sind Google Drive, OneDrive, usw. nicht besser) offenbar mit meinen Daten ohne explizite Einwilligung tun kann, geht zu weit.

  1. Noch mehr Fragen dazu auf Twitter

Betreiber von Facebook-Seiten sind mitverantwortlich.

Das ist ja mal eine erfrischende Entscheidung des EuGH, wenngleich ich sie, wäre ich nicht so dermaßen befangen, als fürs Onlinemarketing nahezu katastrophal bezeichnen würde:
Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich. Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann […] sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen.
Der Datenschutz-Generator Thomas Schwenke hat auf Allfacebook einen lesenswerten und äußerst ausführlichen, mit Tipps gespickten Kommentar dazu veröffentlicht. Und auch Ritchie Pettauer hat sich auf seinem Blog superschnell zum Urteil geäußert. - Mich braucht niemand auch nur anzuschauen, wenn es um das Für und Wider einer Facebook-Fanpage geht, aber das ist eine andere Geschichte. Jedenfalls sehe ich dem Wahnsinn entspannt zu und wünsche den meisten Coffeeshops, Restaurants, Konditoreien und anderen hippen Lokalen in Wien viel Glück in der Zukunft. SSKM. Denn, ganz ehrlich, eine Restaurant-Website kostet 75 Euro/Jahr und macht, richtig konfiguriert, in Bezug auf die DSGVO oder andere, datenschutzrechtliche Bestimmungen, keinerlei Probleme. Und nein, niemand kann mir von der Unkenntnis über das auf People Farming basierenden Geschäftsmodell von Facebook erzählen. Niemand.

Gmail-Nachrichten werden doch gescannt…

Nachdem Google letztes Jahr behauptet hat, E-Mails in Gmail nicht mehr scannen zu wollen, sieht es heute schon wieder ganz anders aus: [Google’s] data collection practices also include scanning your…

USB Restricted Mode in iOS.

In iOS 11.4 wird der USB-Anschluss nach 7 Tagen deaktiviert. Ohne Passcode ist danach nur noch das Aufladen möglich. Korrektur (am 10.6.2018): Nicht iOS 11.4, sondern iOS 12. Dafür aber auch nicht 7 Tage, bis der Port deaktiviert wird, sondern - und das ist aus Security-Sicht wirklich gut - nach nur einer Stunde.
The feature essentially forces users to unlock the iPhone with the passcode when connecting it to a USB accessory every time the phone has not been unlocked for one hour. That includes the iPhone unlocking devices that companies such as Cellebrite or GrayShift make, which police departments all over the world use to hack into seized iPhones.
Also man kann von iPhone/iOS halten, was man will, aber diesen Punkt hat Apple gewonnen.

Flickr analysiert E-Mails und Fotos

SmugMug hat Flickr übernommen, soweit so gut. Da sich SmugMug immer ein wenig einsam angefühlt hat, habe ich heute meinen (stillgelegten) Account bei Flickr reaktiviert und ein paar Bilder hochgeladen.…

Wo ELGA-Daten, da Begehrlichkeiten

ELGA-Daten für die Forschung. Die rationalen Argumente sind eindeutig, nachvollziehbar und ausgewogen. In ihnen wird der Bevölkerung mehr oder weniger klar eine datensparsame, datenschützende und zweckgebundene Nutzung ihrer Gesundheitsdaten versprochen.…

Auch private Nachrichten….

Ziemlich wahrscheinlich sind bei dem ganzen Cambridge Analytics-Desaster auch private Nachrichten und nicht nur quasi-öffentliche Statusupdates übermittelt worden.
For the users who did install the app, potentially their entire mailbox history was uploaded. Those users, however, would have been explicitly notified – through a simple clickthrough panel listing all the permissions they were handing over – that they were granting mailbox access.
LOL.

Cloudflare DNS (1.1.1.1).

Cloudflare betreibt seit gestern einen für alle zugänglichen DNS-Service (1.1.1.1 und 1.0.0.1), bei dem besonders auf Geschwindigkeit und Datenschutz ("We will never sell your data or use it to target ads.") Wert gelegt wird. Ich habe meine DNS-Einstellungen auf allen Geräten sofort auf 1.1.1.1 bzw. 1.0.0.1 geändert. Bislang habe ich Google (8.8.8.8 und 8.8.4.4) ins Haus gelassen, denn die DNS von UPC scheinen verhältnismäßig selten aktualisiert zu werden. Google als DNS konfiguriert zu haben war aber immer ein wenig unheimlich; mit Cloudflare habe ich da schon ein deutlich besseres Gefühl.

Firefox Facebook-Container.

Die Mozilla-Foundation hat für Firefox ein Modul veröffentlicht, mit dem man Facebook isoliert benutzen kann. Das ist wirklich eine tolle Sache und macht den Schutz vor Tracking zu einer technischen (und nicht einer durch Verhaltensänderung gesteuerten) Sache. Gefällt mir. Ebenso gefällt mir das größere Bild: Google scheint wieder der wichtigste Sponsor der Mozilla-Foundation zu sein. Und die veröffentlicht nun ein Modul, mit dem der größte Konkurrent des Sponsors am Werbemarkt im Browser technisch vom Rest des Surfverhaltens isoliert werden kann. Nice.

Facebooks „People You May Know“-Funktion.

Facebook weiß einiges über Personen, die selbst nicht auf Facebook sind; noch mehr natürlich über diejenigen, die dabei sind. Der Kern des Unheils liegt in der "People You May Know" (PYMK)-Funktion, die über den Abgleich hunderter, freiwillig hochgeladener (!) Adressbücher, Telefonnummern und E-Mailadressen Verbindungen herstellt, die einem bisweilen selbst nicht bewusst sind. Zum Beispiel:
A man who years ago donated sperm to a couple, secretly, so they could have a child—only to have Facebook recommend the child as a person he should know. He still knows the couple but is not friends with them on Facebook. A social worker whose client called her by her nickname on their second visit, because she’d shown up in his People You May Know, despite their not having exchanged contact information. A woman whose father left her family when she was six years old—and saw his then-mistress suggested to her as a Facebook friend 40 years later. An attorney who wrote: “I deleted Facebook after it recommended as PYMK a man who was defense counsel on one of my cases. We had only communicated through my work email, which is not connected to my Facebook, which convinced me Facebook was scanning my work email.”
Blöderweise gilt für die Daten, sind sie einmal hochgeladen, eine strikte Policy, die es nur denen, die die Daten hochladen, ermöglicht, sie auch wieder zu entfernen.
What if you don’t like Facebook having this data about you? All you need to do is find every person who’s ever gotten your contact information and uploaded it to Facebook, and then ask them one by one to go to Facebook’s contact management page and delete it. Just don’t miss anyone. “Once a contact is deleted, we remove it from our system—but of course it is possible that the same contact has been uploaded by someone else,” Steinfeld wrote in an email.
...und das alles für ein paar Links und ein paar Likes.

Tinder weiß eine ganze Menge.

Tinder weiß eine ganze Menge über seine Nutzer. Die wissen aber nicht, dass diese Daten für Stellenangebote, die Berechnung von Versicherungsprämien oder die Genehmigung und Höhe von Kreditraten herangezogen werden. Und sie wissen ganz sicher nicht, um welche Datenmengen es da geht.

220.000 Euro Strafe für gespeicherte Kontaktformulardaten.

Das British Pregnancy Advisory Service wurde 2014 von der britischen Datenschutzbehörde zu einer Geldstrafe von ungefähr 220.000 Euro verurteilt, nachdem die Website der Klinik gehackt wurde und tausende Kontaktdaten von um Rat suchenden Personen gestohlen wurden. Doppeltes Pech, also.
The Information Commissioner's Office (ICO), which imposed the fine, said the charity did not realise its website stored the names, addresses, dates of birth and telephone numbers of women who asked for its advice. But ignorance was no excuse, said David Smith, the ICO'S deputy commissioner and director of data protection. […] [British Pregnancy Advisory Service] also breached the Data Protection Act by keeping the details of callers for five years longer than was necessary for its purposes, the ICO said.
Es ist, vor allem jetzt, wo die Datenschutz-Grundverordnung unmittelbar bevorsteht, interessant, sich diese beiden Punkte deutlich vor Augen zu führen: (1) Unwissenheit schützt nicht und (2) Daten sind, wenn sie nicht mehr gebraucht werden, zu löschen. - Ich glaube nicht, dass auch nur irgendwer beim Einsatz eines Kontaktformularplugins darauf achtet, wie und ob die Nutzerdaten lokal am eigenen oder - horribile dictu - auf einem Drittserver gespeichert werden.

Anti-Tracking in Safari: gut, aber nicht gut genug.

Ich bin in einem Zwiespalt, was die Ankündigung der Anti-Trackingtechnologie in Apples Browser Safari angeht. Einerseits, super Sache:
Apple's browser, Safari, will use a method called intelligent tracking prevention to prevent tracking by third parties—that is, sites that are rarely visited intentionally but are incorporated on many other sites for advertising purposes—that use cookies and other techniques to track us as we move through the web. Safari will use machine learning in the browser (which means the data never leaves your computer) to learn which cookies represent a tracking threat and disarm them.
Andererseits... gibt es da diesen Teilsatz, in dem Apple implizit zwischen akzeptablen und nicht-akzeptablen Trackern unterscheidet, wobei letztere definiert sind als Skripte von "sites that are rarely visited intentionally". Genau diesen Aspekt sieht man bei The Verge als stillen Benefit für Facebook und Google.
As long as a cookie is associated with a website you’ve visited in the last 24 hours, Safari won’t change much […] That’s much less of a problem for Google and Facebook, which already dominate online ads. Most people visit Facebook or a Google service every day, and those users will never be too far outside the 24-hour window. Both services also work as a kind of permanent login, used to access sites like Twitter or WordPress without a separate password. As a result, most users stay logged in to Google and Facebook as long as they’re online. Combine that with omnipresent Like buttons, and you’ve got an easy way to see what people are doing on the web. And as long as you’re visiting Facebook once a day, Safari won’t get in the way of that tracking.
Nach wie vor bin ich der Meinung, dass diese Technologie vielen, die sich bis dato nicht mit dem Thema Tracking beschäftigt haben, helfen wird. Um mich weiterhin gegen Tracking der Großen zu schützen, bleibe ich aber bei der altbewährten erweiterten Anwendung von uBlock bzw. nutze mit Safari Better (by Ind.ie) oder 1Blocker.

Neue Firefox Datenschutz-Addons.

Hier gibt es eine interessante Liste von Firefox-Addons für den Datenschutz. Die meisten verwende ich ohnedies, aber diese beiden kannte ich nicht:
  • Decentraleyes lädt häufig genutzte Libraries und Dateien, die für gewöhnlich von Google, Microsoft, CloudFlare und anderen zentralen Diensten bereitgestellt werden, lokal herunter. Das lässt Websites nicht nur schneller laden, sondern verhindert auch die Zugriffe auf die genannten Dienste. Das Addon gibt es auch für Google Chrome.
  • Google Redirects Fixer & Tracking Remove schreibt die mit Redirects ausgestatteten Google-Links auf die korrekten URIs um.
Beide habe ich sofort installiert und damit auch in meine Beitragsserie zum Thema "Firefox sichern" aufgenommen.

Geschäftsmodell: Verkauf von Menschen

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.Mehr erfahren Video laden YouTube immer entsperren In diesem emotionalen re:publica-Talk aus 2015 präsentiert Aral Balkan verschiedene Konzepte, die zwei Jahre später in…