Der @henningtillmann hat da 👇 gezeigt, dass die @CSU die Besucher ihrer Negative-Campaigning-Website u.a. an Facebook verpetzt. Ohne (erforderliche!) Rechtsgrundlage, natürlich.
Hier nun ein Thread, warum so etwas trotz Nachbesserung Problematisch ist, los geht's! 1/x
Da Verarbeitungen personenbezogener Daten grundsätzlich einer Rechtsgrundlage nach Artikel 6 Absatz 1 Unterabsatz 1 oder bei besonderen Kategorien personenbezogener Daten wie politischer Meinungen DS-GVO nach Artikel 9 Absatz 2 DS-GVO bedürfen, hat die CSU … 2/x
… schnell nachgebessert.
Ob CSU oder nicht, ist auch egal, die Fehler machen viele:
Nachgebessert? Naja, sie hat es versucht. Facebook ist nicht mehr dabei, und mit einem „Cookie Banner“ versuchen sie, vermutlich eine Einwilligung einzuholen. Siehe Beispiele ab 2. Screenshot 3/x
… Dummerweise geht dabei allerhand schief. Die „Einwilligung“ die angeblich eingeholt wird, ist nicht wirksam. Denn sie erfolgt nicht informiert. Betroffene Personen erfahren da nicht, in was sie einwilligen. Einwilligungen müssen zu allen einwilligungsbedürftigen … 4/x
… Verarbeitungen eingeholt werden, nach DS-GVO (in nicht notwendige Cookies nach ePrivacy-RL und TMG zusätzlich, das lasse ich mal außen vor). Über die Verarbeitungen wird im Banner aber nicht informiert, betroffene Personen können keine bewusste Entscheidung treffen. 5/x
Also, es ist keine informierte Einwilligung. Außerdem wird Nudging betrieben, „zulassen“ ist optisch deutlich hervorgehoben, damit ist die Einwilligung nicht mehr freiwillig, es ist keine „unmissverständlich abgegebene Willensbekundung“ der betroffenen Personen, sondern … 6/x
… nur ein „geh fort, blöder Banner, möglichst schnell“.
Außerdem handelt es sich um Verarbeitungen politischer Meinungen (insbesondere bei der Sammlung der Daten der Unterstützer), die nach Artikel 9 Absatz 1 grundsätzlich untersagt sind. Dementsprechend sind die … 7/x
… Anforderungen an die Einwilligung nach Artikel 9 Absatz 2 Buchstabe a enger auszulegen.
Aber viel interessanter ist m.E. immer, was tatsächlich passiert, schauen wir mal! 👇
Folgendes wird mit einem frischen Browser an Microsoft unter browser.events.data.microsoft.com/OneCollector/1… geschickt … 8/x
Also, Microsoft erhält ein paar eindeutige Identifizierungsmerkmale, die aufgerufene Adresse und die Bildschirmauflösung. Diese Daten gehen in die USA. 👇
Wenn die betroffene Person aber mal vorher mit anderen Microsoft-Diensten in Berührung kam oder gar mit einem … 9/x
… Microsoft-Konto angemeldet ist, dann werden mittels Cookies (MC1, MS0) weitere Informarmationen an Microsoft übermittelt – mit denen Microsoft die tatsächliche eindeutige Identität der Personen herausfinden kann.
Warum ist es fĂĽr die Wahlwerbung einer Partei in Bayern 10/x
… erforderlich, dass Informationen darüber, wer exakt wann mit welcher Bildschirmauflösung die Wahlwerbung gesehen hat?
Verarbeitungen personenbezogener Daten müssen stets rechtmäßig und für die betroffene Person nachvollziehbar sein (Art. 5 Absatz 1 Buchstabe a DS-GVO), … 11/x
… sie müssen für den Zweck erforderlich sein (dort Buchstabe b), außerdem angemessen und für den Zweck notwendig (Buchstabe c). Sie dürfen nicht länger als nötig gespeichert werden (Buchstabe e).
Ist es notwendig, dass eine Partei ihre Anhänger in die USA verpetzt? … 12/x
Aber was geschieht denn da mit den Daten? Hmmm … die Datenschutzinformationen sagen das da unten 👇 dazu.
Sprich: Die Daten werden für einen unbestimmten Zeitraum zur Profilbildung und für Werbezwecke verwendet und in die USA übermittelt. Kein genauer Zweck und Info … 13/x
… und wie schon geschrieben: USA! Nach Artikel 44 ff. DS-GVO ist die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation (zB in USA) grundsätzlich unzulässig, Details erspare ich Euch hier, wer will siehe dort: baden-wuerttemberg.datenschutz.de/wp-content/upl…
14/x
Ach, und zur Einwilligung. Reicht es nicht aus, wenn in der „Datenschutzerklärung“ – korrekter: Datenschutzinformationen nach Artikel 13 DS-GVO – steht, was passiert?
Nein.
Diese Infos sind keine Rechtsgrundlage (siehe oben). Sondern eine ZUSĂ„TZLICHE Pflicht. 15/x
Also, Fazit:
Schon bei grober Draufsicht verpetzt die CSU ihre Anhänger u.a. an Google, Microsoft und andere Unternehmen.
Grundsätze für die Verarbeitung personenbezogener Daten aus Artikel 5 DS-GVO werden nicht eingehalten (Transparenz, Zweckbindung, Datenminimierung, […] 16/x
Speicherbegrenzung); es fehlt eine Rechtsgrundlage nach Artikel 6 bzw. eher 9 DS-GVO, da die Einwilligung nicht informiert erfolgte und damit nicht wirksam ist; es wird eine unzulässige Übermittlung in die USA durchgeführt.
Und es ist fraglich, ob die CSU ihrer … 17/x
Rechenschaftspflicht aus Artikel 5 Absatz 2 DS-GVO gerecht werden kann, denn: kann sie genau darlegen, was Google, Microsoft und so weiter mit den Daten machen? Ich denke nicht – und in den Datenschutzinformationen wird das nur oberflächlich beschrieben.
18/x
Aber, aber, ABER! „Wo ist denn da das Problem?“ werden einige einwenden.
Das Gesetz – sollte eine Law-and-Order-Partei einhalten. „OK, aber praktisch?“
Erinnert Ihr Euch an Cambridge Analytica und die zielgerichteten demokratiegefährdenden Kampagnen im US-Wahlkampf?
ENDE 19/19
Ach, und damit wir auch noch was politisches dazu sagen: siehe da, derzeit noch von 2017 … wen-waehlen.de/btw17/parteien… ;-)
Oder noch mal Kurzfassung, weil einige gefragt haben:
Wer „Cookies zulassen“ wählt und z.B. in MS365 oder u.U. auch Windows angemeldet ist, über den verrät die @CSU an Microsoft, wann und wie er die Kampagnen-Seite aufgerufen hat. Ganz exakt welche Person.
Laptop und Lederhose!
Angegebener Zweck: „Bereitstellen von interessenrelevanten Informationen für die Nutzer auf Basis ihres Verhaltens“ und „Profiling“.
Es geht also nicht um harmlose „Kekse“ – sondern das ermöglicht letztendlich auch politische Manipulation – siehe Cambridge Analytica.
Ich halte das nicht nur für rechtswidrig (siehe den ganzen Thread oben 👆), sondern eben auch für politisch sehr SEHR gefährlich und potentiell Demokratiezerstörend.
Dabei unterstelle ich der @CSU nicht Absicht, sondern Unkenntnis ĂĽber das, was da alles im Hintergrund passiert.
… und in diesem Falle hat die @CSU nachgebessert, mit der ursprünglichen Facebook-Einbindung die @henningtillmann geschildert hat
Gastronomie in Zeiten, in denen nach Corona geöffnet werden darf. Stuttgart Innenstadt.
Beim Palast der Republik nebenan war es ĂĽbrigens gerammelt voll.
Ich frage mich nun: solche Schließungen in bester Lage macht man natürlich nicht freiwillig – aber offensichtlich ist es nicht so nötig bisherige eventuelle Einnahmeverluste auszugleichen, um eine Öffnung dennoch sicherzustellen […]
@mame82@HonkHase@LoeweHeinz@gnirbel@AllenRe97883617@BergerPhilipp@patrick_hennig@_lucaApp […] Also kann man nicht behaupten, dass die Nutzung einer App damit einhergeht, dass es los gehe „mit der Nachverfolgbarkeit, wer welche religiösen Einrichtungen besucht hat“, im Sinne von „da ist ein signifikantes Risiko, dass jeder Kirchgänger nachverfolgt wird“. […]
Wer kennt jemanden, der 100 Millionen € Spielgeld übrig hat? Dann gründen wir ein Blockchain-KI-Gesundheits-Datenschutz-BigData-Krypto-Startup, stecken 5 Mio in repräsentative Büros, 20 Mio in Lobbyisten, 5 Mio investieren wir in Politiker (einschliesslich Bespaßung), […]
[…] für 3 Mio holen wir billige Programmierer und Designer, die aus freien Bibliotheken und mit Photoshop Demos zusammenbasteln, 10 Mio stecken wir in den Wasserkopf, 5 Mio sonstige laufende Kosten, für 30 kaufen wir irgendeine Firma mit ein paar namhaften Kunden auf, […]
[…] der Rest ist für unsere Mühen (ächz!). Von den Lobbyisten lassen wir irgendwelche Minister belabern, denen wir für 500 Mio € irgendeinen Scheiss Verkaufen. Das Zeug dafür kaufen wir wiederum woanders ein, dass wir selbst nur Frickelkram-Pfusch haben merkt ja keiner, […]
Habe mir den Datenbank-Code der Corona-Warn-App angeschaut. An den paar Zeilen kann man beispielhaft zeigen, was bei vielen Datenbank-Projekten nicht ganz optimal läuft. Ein Thread über Datenbank-Sicherheit, #SQL, die Corona-App und #PostgreSQL. #CoronaWarnApp#cwa 1/x
Kurzzusammenfassung: Die Datenbank-Berechtigungen sind viel zu weitgehend, ein erfolgreicher Angreifer könnte auf alle Daten zugreifen, löschen usw. Außerdem werden Datum und Zeit als Zahl gespeichert, unschön, denn es gibt einen TIMESTAMP-Datentyp! Und was ist mit der ID? 2/x
Bei den Berechtigungen könnte man einwenden: ein Angreifer darf nicht so weit kommen; aber das passiert leider immer wieder, und man kann sich mit einfachen Methoden schützen. Sieht auf den ersten Blick kompliziert aus, ist aber ganz simpel. Kommentare Willkommen! Also los: 3/x
2/x „die umfrage ist genauso sinnlos, wie der ganze Datenschutzquatsch. Wir verwalten uns zu tode.“ – diese Meinung war die Ausnahme. Bei der Umfrage haben sich über 80 % der baden-württembergischen Gemeinden beteiligt, nur 12 % haben trotz mehrfacher Aufforderung nicht reagiert.
3/x Zur IT-Sicherheit: „Alle Datenträger befinden sich in mit Schlüsseln abschließbaren Räumen“ ist eine interessante Antwort auf die Frage nach Festplatten-Verschlüsselung, ebenso „Rekonstruktion der Daten nach Auflösung des RAID ist quasi ausgeschlossen“ baden-wuerttemberg.datenschutz.de/gemeinden-umfr…
„Warum sind diese Botschaften auf fruchtbaren Boden gefallen?“ fragt #Haseloff bei #AnneWill bzgl. der #AfD und der #LTW19. Nun, da stellt sich ja erst mal die Frage: welche Botschaften? Und da sieht man: lauter trivialer Mist, den jeder Dorfdepp nachplappern kann. 1/x
2/14: „Die bösen Ausländer“ kann jeder kreischen. Trivial. „Die bösen Politiker (außer uns)“ auch. Leute beschimpfen, die eh keiner mag: super-trivial. Kann alles jeder Dorfdepp. „Die blöde Greta will uns unseren Diesel wegnehmen“: Simpel, ebenso „Schaut mal, das hässliche Weib!“
3/14 „Die wollen uns zensieren, wir dürfen unsere Meinung nicht sagen!!!!“ ist genauso einfach. „Die Medien mögen uns nicht“ ist schnell gesagt – aber warum sollten die Medien auch Politiker mögen, die nur unterkomplexes Zeug nachplappern und sonst keine Konzepte haben?