Nach Schrems II frage ich mich, inwieweit wir alle jetzt auch hinsichtlich lieb gewonnener (US-) Dienste, wie den gängigen Browsern Chrome, Mozilla, bei Routenplaner wie Google Maps und anderem Hilfreichen wie Google Übersetzer usw. umdenken müssen. Der LfDI aus BW empfiehlt mittlerweile zum Beispiel Suchmaschinen aus eigenen landen wie MetaGer…
(schaust du https://www.baden-wuerttemberg.datenschutz.de/faq-suchmaschinen/)
Was ändert ihr? Welche US-Dienste lasst ihr weg und welche Alternativen nutzt ihr zum Beispiel beim Browser? Und hat sich mal einer Gedanken über Microsoft Office gemacht? Insb. Outlook scheint mir verdächtig… Es wird ja immer gesagt, nur Metadaten aus technischen Gründen würden gesammelt… Möglich wäre ja sicher mehr…
Es gibt ja jede Menge Alternativen: duckduckgo, deepl, openstreetmap, firefox, brave, jitsi etc. - und nicht erst seit Schrems II. Wenn man auf bestimmte Produkte nicht gänzlich verzichten möchte, kann man meist aber auch mit einfachen Maßnahmen schon viel erreichen (z. B. beim Schließen des Browsers die Cookies löschen, Telemetrie-Übermittlungen ausschalten und natürlich nicht das Browser-Profil irgendwo hin synchronisieren oder während der Chrome-Nutzung bei Goolge anmelden).
Man kann auch mehrere Browser installieren und für verschiedene Zwecke andere Browser nutzen - einen nur für Banking, einen für Mail und einen für normale Recherche.
Und wenn wir alle uns die Zeit nehmen und beim Cookie-Banner den meist nicht vorhandenen Ablehn-Button suchen (also meistens über Einstellungen und Speichern gehen) und damit die Ablehn-Rate erhöhen, können wir vielleicht auch ein Zeichen setzen.
Ja, auch searx.me, Startpage und LibreOffice sind nutzbare Alternativen.
Bei Brausern achte ich darauf, dass sie nicht selbstständig nach Hause telefonieren, der User-Agent angepasst werden kann, Cookies und Javascript deaktiviert und für ausgewählte Webseiten aktiviert werden können. Was die sog. Standard-Browser und auch Brave von der Nutzung grundsätzlich auschließt. Ebenso lehne ich es ab, irgendwelche Addons zu installieren, damit ein Mindeststandard erfüllt wird. Das liegt vorwiegend daran, dass mir Lust und Zeit fehlen, die Addons auf ihre Aktivitäten zu prüfen.
Nischenbrauser sind zB otter-browser mit dem Motto “Controlled by the user, not vice versa”, der im Wesentlichen stabil läuft (dieses Forum funktioniert wegen diverser JS-Fehler nur lesend); Falkon erfüllt die genannten Bedingungen, lädt bei eingeschaltetem Javascript keine Drittanbieter-Scripte - mit Vorteil- und Nachteil, dass einige Seiten nicht wie vorgesehen funktionieren. Für Linux-User sind vielleicht noch Epiphany und Konqueror interessant.
Eine Vielzahl von Informationen, die beim Besuch einer Website ausgelesen werden können, zeigt browserspy.dk an.
Das würde voraussetzen, dass Cookie-Auswahl und gesetzte Cookies in irgendeiner Form ausgewertet werden. Ist bekannt, ob und wie solche Auswertungen stattfinden? Ich neige eher dazu, solche Seiten umgehend zu verlassen. Und wenn das viele Nutzer tun, dürften die Auswirkungen ohne Weiteres in den Besucherstatistiken sichtbar werden. Ob das zum Umdenken anregt, steht auf einem anderen Blatt. Es könnte irrigerweise zu einer größeren oder anderen Nutzererlebnisoptimierungsidiotie führen.
Aktuell wird fast kein Mainstream-Anbieter die Anforderung “geeignete Garantien” erfüllen (bzw. seine zusätzlichen Garantien wären nicht automatisch geeignet), weil es “drauf ankommt”, ob eine Garantie geeignet ist. Nämlich ob die Kritikpunkte an der Rechtspraxis in den USA (und vergleichbaren Ländern) für die konkrete Verarbeitung zutreffen würden; und die nötige Eignung der Absicherungsmechanismen hängt auch von der Sensibilität der Daten bzw. dem Umfang der Verarbeitung ab, die man diesen Risiken bzw. Restrisiken aussetzt. Pauschal (“DSGVO-konform”) lässt sich das nicht sagen.
Bei einigen Diensten kommt hinzu, dass sie neben der Drittlandabsicherung Defizite in anderen Bereichen aufweisen, indem sie sich z. B. mit eigenwilliger Vertragsformulierung als Auftragsverarbeiter disqualifizieren oder eine auffallend ignorante Vorstellung haben, was personenbeziehbare Daten sind bzw. dass die Kunden Bedenken haben könnten, die Zulässigkeit ihrer immer funktionsreicheren Produkte einzufangen.
D., der gerade gegen Windmühlen kämpft und wenig Bewegung erkennen kann. Da dreht sich nix. Trotz Wind.
Ja nee, das siehst Du ganz falsch: “Die im Anhang aufgeführten Standardvertragsklauseln gelten als geeignete Garantien…” weiß Art.1 Abs.1 des Durchführungsbeschlusses (EU) 2021/914 über Standardvertragsklauseln [langer Name]. Also pauschal DSGVO-konform.
Schon die alten Klauseln waren genau gelesen nicht zu erfüllen. Und da die Kritikpunkte an der Rechtspraxis in den USA unverändert bestehen, ändern auch die neuen Klauseln nichts daran. Na gut, amüsant zu lesen sind sie, zB 15.1. Benachrichtigung:
Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.
Man fragt sich schon, wie eine solche Dokumentation bei Microsoft & Co aussieht. Ebenso pauschal könnte man sie Feigenblattklauseln nennen.
Vielleicht war das mißverständlich: Ich meinte nicht die alten Cookie-Banner, sondern die neuen Consent Management Platforms, die nahezu auf jeder Webseite jetzt vorgeschaltet sind. Meistens hat man die Auswahl zwischen “alles akzeptieren” und “Einstellungen”. Und unter Einstellungen muss man dann auf “speichern” klicken, weil in der Vorauswahl ja nur noch die technisch notwendigen Dinge ausgewählt sein dürfen. Daran halten sich die meisten aber auch (manchmal schaue ich da stichprobenartig mal nach).
Ja, davon las ich in einer Studie. Das neue Geschäftsmodell, das mehr verspricht als es hält. Hat sich daran wirklich etwas geändert? Personendatenwirtschaft scheint der passende Begriff.
Ich habe noch nicht verstanden, wie man eine Einwilligung in Cookie/Tracking dauerhaft dokumentiert, wenn der User mit einer dynamischen IP unterwegs ist und beim Schließen des Browsers alle Cookies löscht. Wobei mir der Sinn hinter einer Cookie-Speicherung (oder local storage) zur Ablehnung der Cookie-Speicherung (oder local storage) schon immer verborgen blieb. Speichern die CMP in der Post-Cookie-Ära längerfristig identifizierbare Daten des (unbekannten) Users? Advertising Identiers, Mobile Advertising ID? Die Infos dazu sind eher vage: Cookies und Gerätekennungen auf dem Gerät oder basierend auf einem Profil (setzt Account voraus, Speicherung serverseitig, beinhaltet inkl. Offline-Daten alle Daten, deren man habhaft werden kann). Bei vorhandenem Account kann im Nachhinein widersprochen werden?
Das sehe ich ganz richtig, weil bei Standarddatenschutzklauseln /Standardvertragsklauseln /SCC zu prüfen ist, inwieweit die Rechtspraxis im Bestimmungsland die Wirksamkeit der Klauseln einschränken könnte. Punkt 14. der neuen Klauseln gibt eine Bestätigung der Vertragsparteien ausdrücklich vor, dass das nicht der Fall sein wird. Auch bei den alten Klauseln haben die Parteien das nach Ansicht des EuGH zusätzlich zu klären, bevor SCC tragfähig wären.
Diese zusätzliche Betrachtung wurde schon als “Drittland-Folgenabschätzung” bezeichnet.
D., der in den zusätzlichen Garantien der Dienstleister, wenn sie überhaupt welche angeben, zu viele Löcher findet, was die Wirksamkeit der SCC reduziert.
Da vermutlich 80% der User die Cookies eben nicht beim Schließen des Browsers löschen, ergeben sich über Monate sehr genaue Profile über Lebens- und Konsumgewohnheiten und Gesundheitsstatus. Darüber freuen sich die Werbetreibenden natürlich. Ganz schlimm wird es dann aber erst, wenn sich jemand bei Google oder Facebook anmeldet, denn dann ist dieses Profil auch noch mit der Mail-Adresse verbindbar und somit direkt der Person zuordnbar.
Klausel 14 “Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken” und die sog. Datentransfer-Folgenabschätzung? Das gab es in ähnlicher Form in Klausel 5 und war schon damals nicht zu erfüllen. Wenn Behörden die Bekanntgabe von NSL- und FISA-Anfragen verbieten, dann ist zwar die Existenz der Anfragen bekannt, unbekannt ist jedoch, für welchen Einzelfall und welche konkrete Verarbeitung sie gelten. Begründungen wie “protect against international terrorism or clandestine intelligence activities” kann man im Sinne des Art.23 DSGVO durchaus als ausreichend rechtliche Garantie ansehen. Das Ergebnis ist salopp zusammengefasst: Kann sein, kann nicht sein, dass unser Auftragsverarbeiter / Mitverantwortlicher offenlegt - auf jeden Fall aber geschieht es im öffentlichen Interesse zur Verteidigung des Abendlandes. Um die Realität zu ergründen, müssten die Aktivitäten der Behörden auf Rechtmäßigkeit, ihre Rechtspraxis geprüft werden. Was allerdings unmöglich ist. Ich denke, unsere Ansichten gehen konform. Hatte die Ironie-Tags vergessen.
Na ja… Dann kommt es drauf an. Auf die Sensibilität der Daten. In manchen Situationen wäre die Garantie geeignet, in anderen nicht. Für gemischte Daten, unter denen sich besondere Kategorien, Geheimnisse, Verurteilungen usw. befinden können dann eher nicht geeignet.
Also weiter nach Alternativen suchen!
D., der befürchtet, dass die meisten Unterschreiber nie so weit denken werden und ihnen genügt, dass der Auftragsverarbeiter “DSGVO-konform” sagt, während er 20 Seiten Text mit der Hand abdeckt. Wahrscheinlich werden sie zufrieden sein, überhaupt irgendwas Schriftliches geboten zu bekommen.