Die ORF-Website will die "Einwilligung" in die Übertragung personenbezogener Verhaltensdaten an 46 Drittparteien, viele davon reine Datenhandelsfirmen.
Nicht cool, dass viele Medien-Websites sowas machen. Gar nicht cool, wenn der öffentlich-rechtliche Rundfunk das macht.
Die Gestaltung der "Einwilligung" ist unklar und manipulativ. Es geht nicht um "Cookies", sondern um Datenübertragung an Dritte. Es gibt nicht mal einen gleichwertigen "Ablehnen" Button. Allein das macht die Einwilligung ungültig. Ohne diese ist die Datenverarbeitung nicht legal.
Aber selbst wenn ein "Ablehnen" Button vorhanden wäre, wäre die Datenübertragung nicht legal.
Die EU-Datenschutzbehörden haben das Pseudo-Einwilligungssystem "TCF", das auch auf der ORF-Website genutzt wird, vor zwei Wochen für unrechtmäßig erklärt: netzpolitik.org/2022/datenschu…
Leider machen viele Medien ähnliches. Das unterminiert Glaubwürdigkeit und Vertrauen in Datenschutz und Informationstechnologie insgesamt.
Auch abseits der Frage ob legal sollten öffentlich-rechtliche Websites jedenfalls keine personenbezogenen Daten für Online-Werbung nutzen.
Nur damit da kein Missverständnis entsteht. Der ORF will nicht nur die "Einwilligung", sondern initiiert während des Website-Besuchs tatsächlich exzessive personenbezogene Datenverarbeitungen von Datensammelfirmen, hier zB durch Google, Adform, MediaMath, Xandr, PubMatic, OpenX.
Man kanns auch deutlicher formulieren:
Der ORF verkauft Daten von Website-BesucherInnen.
Finde übrigens, ORF-JournalistInnen müssen das nicht verteidigen oder beschweigen, sondern können das durchaus auch thematisieren oder kritisieren. Das muss öffentlich-rechtlich drin sein.
Möchte hinzufügen, ich halte öffentlich-rechtliche Medien heute für so wichtig wie seit 1945 nicht mehr, und finde, der ORF muss von Radio und TV massiv in den digitalen Raum (dürfen).
Derartige Datenpraktiken unterminieren das komplett. Ein digitaler ORF muss anders agieren.
Ich untersuche seit Jahren, wie Websites und Apps personenbezogene Daten an Drittfirmen schicken, die Profile über hunderte Millionen von Menschen sammeln.
Unlängst hab ich das im obigen Auszug beobachtete "ID syncing" untersucht:
Dabei hilft eine Website Drittfirmen dabei, Identifikationscodes auszutauschen, die auf mich verweisen, um mich danach über das Web hinweg besser profilieren zu können.
Allein das rechtfertigt m.E. die Formulierung, dass hier Daten über Website-BesucherInnen verkauft werden.
Andere Drittfirmen haben während des Aufrufs nicht nur Identifikationscodes erhalten, die auf mich verweisen, sondern auch Informationen über die besuchte Website. Machen sie das über hundertausende Seiten hinweg, können damit Profile über Millionen von Menschen gesammelt werden.
Wenn schon Werbung, dann hätte der öffentlich-rechtliche ORF schon vor Jahren einen höheren Millionenbetrag in die Hand nehmen müssen, um Online-Werbelösungen zu entwickeln, die nicht andauernd personenbezogene Daten über Website-BesucherInnen an Dutzende Firmen hinausschicken.
Auch andere österreichische Medien-Websites fragen BesucherInnen um Pseudo-Einwilligung für die laufende Übertragung exzessiver personenbezogener Verhaltensdaten an unzählige Drittparteien, darunter an viele Datenhandelsfirmen.
Ich hab mir das kurz bei ein paar Medien angesehen.
krone.at fragt um Pseudo-Einwilligung für die Übertragung von Daten an "nur" 41 Drittfirmen, allerdings dürfte das nicht stimmen, denn schon auf den ersten Blick hat https://t.co/1Z7dp4Ogsl Daten an Cxense/Piano übertragen, eine Datenfirma, die nicht angeführt ist.
Selbst eine Übertragung an einige wenige Datenfirmen wie Google, Oracle, The Trade Desk, OpenX, Magnite oder MediaMath führt potenziell zu weitreichenden Verhaltensprofilen über Millionen.
Eine *informierte* Einwilligung für 40, 200 oder 800 dieser Datenfirmen ist unmöglich.
Wie sollen Medien glaubwürdig sein, die nervige, manipulative und wie nun endlich auch von EU-Behörden bestätigt - unrechtmäßige - Pseudo-Einwilligungsbanner dazu missbrauchen, um exzessive Datensammelei zu ermöglichen, die m.E. schon seit der DSGVO-Einführung 2018 illegal war?
Das gilt umso mehr für den öffentlich-rechtlichen ORF.
Das Pseudo-Einwilligungssystem TCF der Datenlobby IAB war und ist ein großangelegter Schwindel, ein Trick zur Umgehung von Gesetzen, und sollte auf Augenhöhe mit Skandalen wie VW #Dieselgate oder #CumEx diskutiert werden.
Mit der von allen EU-Datenschutzbehörden getragenen Entscheidung gegen das Cookiebanner-TCF muss die unkontrollierte Datenschleuerei nun echt ein Ende haben.
Fürs Fachpublikum: Die 2/6-Monatsfristen gelten nur für IAB Europe. Die Nutzung des TCF für Websites ist *jetzt* illegal.
Kleine persönliche Bemerkung:
Ich hatte den Thread nicht vor. Aber hab heut ORF Wetter geschaut, und dann kam mal wieder dieses depperte Popup und ich weiss halt, was sich dahinter versteckt, und es geht mir echt am Oasch, dass sogar der ORF bei dem Scheiss immer noch mitmacht.
Wiener Zeitung leider auch ein Desaster. Immerhin gibts einen Ablehnen-Knopf, aber "Einwilligung" in exzessive personenbezogene Datenverarbeitung durch gleich 704 Firmen?
Eine "informierte" Einwilligung in Tracking und Profiling durch hunderte Datenfirmen ist unmöglich.
Wer sind die Firmen, denen die Wiener Zeitung (und andere Medien) zur "Einwilligung" in Tracking und Profiling verhelfen will?
Zum Beispiel russische und chinesische Datenfirmen.
Aber keine Angst, es sind auch hunderte zwielichtige Datenhandelsfirmen aus Europa/USA dabei 🙄
Wer auf "Cookies zulassen" klickt, gibt zB angeblich die Einwilligung zum Tracking durch eine chinesische Firma, die Verbraucherdaten mit Socialmedia/Mediennutzung verknüpft, oder durch die Sberbank-Tochter Rutarget/Segmento.
Wobei letzteres passt in AT eigentlich auch wieder 😬
Das ist m.E. alles seit 2018 illegal.
Dass es noch immer passiert, liegt an der Datenlobbyorganisation IAB, die mit dem sogenannten "TCF" ein Pseudo-Einwilligungssystem geschaffen hat, das diese Praktiken jahrelang DSGVO-konform hat erscheinen lassen, während sie das nicht sind.
Das TCF war und ist ein einziger Schwindel, und ist noch dazu an den ganzen supernervigen Cookiebannern schuld.
Vor 2 Wochen wurde es von der belgischen Datenschutzbehörde (in Abstimmung mit allen EU-Datenschutzbehörden) endlich für unrechtmäßig erklärt: iccl.ie/news/gdpr-enfo…
Das TCF verstößt gegen die DSGVO-Artikel 5, 6, 12, 13, 14, 24, 25, 32 und 44-49.
Die Entscheidung richtet sich unmittelbar gegen IAB Europe, stellt aber klar, dass Websites, die das TCF nutzen, genauso dafür verantwortlich sind. Detaillierte Analyse hier:
IAB Europe muss als Organisation innerhalb von 2 Monaten einen Plan vorlegen, wie das TCF innerhalb von 6 Monaten rechtskonform umgestaltet wird. Nach Einschätzung vieler ist das unmöglich.
Für Websites von Medien (und andere) ist der Einsatz des TCF *ab sofort* unrechtmäßig.
Websites, insbesondere von Medien, und ganz besonders der öffentlich-rechtliche ORF, müssen das *jetzt* stoppen.
Weg mit dem TCF-Pseudo-Einwilligungssystem, mit dem Cookiebanner-Spam und mit der damit verbundenen illegalen exzessiven Datensammelei durch unzählige Drittfirmen.
Ich hoffe, die österreichische Datenschutzbehörde folgt bald den belgischen, niederländischen und dänischen KollegInnen mit einer klaren Aufforderung und spricht bald, allerspätestens in 5,5 Monaten, empfindliche Strafen samt unmittelbar zu vollziehender Verarbeitungsverbote aus.
Website-BetreiberInnen hatten 4 bzw 6 Jahre Zeit, andere Formen der Online-Werbung zu entwickeln, sorry.
Niemand außer der Datenindustrie will, dass bei der Nutzung von Websites+Apps dauernd unkontrolliert Daten an 1000 Firmen gehen, die damit personenbezogene Profile erstellen.
Jeder Tag an dem die DSGVO hier nicht durchgesetzt wird:
- verletzt die Rechte fast der ganzen Bevölkerung
- benachteiligt Firmen/Organisationen, die sich an die DSGVO halten
- nervt alle mit sinnlosen Cookiebannern
- unterminiert Vertrauen in DSGVO u generell in Digitalisierung
Besonders tragisch beim Journalismus. Jeder Besuch fast jedes Qualitätsmediums beginnt mit systematischer Irreführung. Man hat sich lange blind diesen Praktiken unterworfen, nicht easy da rauszukommen ja. Hier brauchts ergänzend wohl politische Initiative.
Google's "infamous 'Web & App Activity' controls for paid users of Google Workspace" is "split up into two settings" …HOWEVER, "Google is taking advantage of this settings split to re-enable some tracking features, even if users have previously opted out" arstechnica.com/gadgets/2022/0…
"The crux of those earlier privacy lawsuits was that having privacy settings bizarrely split across two switches was unnecessarily confusing. Now, with Search History, privacy settings are split across three switches" 🤡
"Regarding the promise to not use data from 'Workspace core services', Google's statement doesn't cover Google Search ... which is the primary vector for Google ads and data for Google ads. That's right—the 'Search History' setting from Google doesn't cover Google Search history"
In a few cases, it is perhaps possible to discuss the 'value' of personal data in itself, e.g. data sets to train and validate ML models.
In many cases, however, the value an organization can extract from data depends on its capacity to directly or indirectly apply it to people.
I think, the value an organization can extract from personal data depends on its direct or indirect control over a sociotechnical system's capacity to *act on* individuals and groups, to decide about how to treat people, target them, mediate their choices or behaviors etc.
The most direct form of such a capacity to act on people based on personal data is the 'customer relationship', e.g. with loyalty program members, magazine subscribers, bank customers ...or users who registered at an online service, downloaded an app or bought a networked device.
I want to share some more details about what we found in our investigation into gambling data that are highly relevant to GDPR enforcement and privacy regulation at large.
For example, this is how companies share personal data with each other during a bunch of 'cookie syncs'.
I guess rarely anyone has ever analyzed the data flows during only a few 'cookie syncs' at such a level of detail.
It's not about 'cookies' but about an ongoing exchange of personal identifiers that many data companies use to recognize, track and follow everyone across websites.
The chart shows data transmissions we observed during only a few visits to skycasino.com, which initiated requests to the adtech firm MediaMath, which shared the ID it uses to recognize a user with many other firms and initiated further personal data processing by them.
We observed that a Sky Bet gambling site transmitted extensive personal data on gambling activities to FB, Google, Microsoft, Adobe and to the TransUnion subsidiaries Signal and Iovation.
When asked about it under the GDPR, they mostly failed to disclose what data they process.
For example, when a user deposited cash at Sky Bet, the website immediately informed FB, Google, Microsoft, Adobe, MediaMath and Signal (TransUnion) about the exact amount deposited.
Several third-party data companies including Google and FB received data on almost every click.
In total, we observed 2,154 data transmissions to 44 third-party companies during only 37 visits to Sky Bet gambling sites.
The TransUnion subsidiary Signal created an extensive digital profile about a person who was a heavy Sky Bet user and lost a lot.
The online gambling industry can exploit data in the most harmful way, by monitoring and manipulating the behaviours of vulnerable people.
🆕 We examined how a major UK gambling firm tracks and profiles players, and how it shares sensitive data with many other data companies ⬇️
We've been working on it for more than a year, probably the most detailed investigation into data flows in the online gambling industry to date, commissioned by @cleanupgambling
"A major betting company harvested troves of data from a suicidal gambling addict to target his weaknesses and predict his losses ... [and] to groom the high-value gambler that they wanted to win back"
Google/FB vs. 1000s of small firms in surveillance advertising is like 2 giant retailers selling toxic food and abusing their monopoly power vs. 1000s of small firms selling toxic food.
Helping the small firms to better sell toxic food so the giants lose power is not a solution.
Yep going after the small firms' toxic food sales may further increase the power of the giants selling toxic food.
But that doesn't mean going after the small firms is bad. It just means that, at the same time, going after the giants' toxic food sales and power is required, too.
Of course, small toxic food is a part of big toxic foods' supply chain.
Now imagine a new law would make it more difficult to handle toxic food for everyone. What should big toxic food do?