[This thread was originally published at Mastodon and Twitter] In 2021 german publishers and shops widely started to use a cookieless tracking technology. It’s based on your e-mail and login information, so you should know about it. Especially as you are even tracked without login. How identity providers workIdentity Providers are basically recording your login and sharing this information with other pages. Here GMX sends your login ID „tpid“ to Adition which shares its own cookie with several ad tech companies using a classic cookie matching. In this case only with your consent. Publishers like Spiegel Online, BILD and SPORT1 track households based on the IP address (with consent). The ID in the screenshot is stable against deleting cookies, changing browsers and devices. It probably gets long term persistence by logins from other household members. Not all pages are asking for consent. Here you can see gutefrage.net working together with Berlin based startup Zeotap to send the hashed e-mail from a login to Google, Xandr, Mediamath, Adition and The Trade Desk. Regarding privacy, everything is lost now. In this video Zeotap founder Daniel Herr explains a interesting part of his business model: Selling behavioural data from marketplaces like Autoscout24 to automotive brands like BMW. Publishers using Zeotap are getting paid for this insights, writes BVDW. https://www.youtube.com/watch?v=mrZ0HLd0LsI&t=81s Here we can see how the hashed e-mail from your autoscout login is transferred to Zeotap without your consent. This data is probably part of the automotive interest data that Zeotap is trying to

Wollte hier endlich mal eine Geschichte raushauen, die ich für den SWR recherchiert habe, die aber am Ende nie veröffentlicht wurde. Es geht um „Deutschlands führenden Vokabeltrainer“, Phase6, den über eine Million Personen nutzen, darunter viele Kinder. Vermutlich über eine Agentur hatte man für Retargeting Pubmatic und Mathtag in die Website eingebunden, die dann die Cookies der Kinder zur Versteigerung von Anzeigen mit 20-30 anderen Anbieter austauschten (Cookie-Matching). Pubmatic kann mit den Daten machen, was es will. Richtig doof auch, dass Facebook die Nutzung des Vokabeltrainers live verfolgen konnte, weil FB’s Pixel in die Seite integriert war. Diese Daten bleiben dauerhaft bei FB, man kann sie nicht einsehen und nicht löschen. Auch Werbetracker von Google und Microsoft waren integriert. Google erhielt von Phase6 die feste Login-ID der Kids, so dass diese Besuche dauerhaft zu einem Profil gebündelt werden konnten, selbst wenn die Cookies gelöscht werden. Ciao, anonyme Youtube-Nutzung, das Kind hat leider Vokabeln gelernt 🤷‍♂️ Moment mal, braucht man für Werbetracking nicht eine Einwilligung? 🤔💡Lösung bei Phase6 (Juristen gut festhalten):Man ging grundsätzlich von gegebener Einwilligung aus, die aber „schwebend unwirksam“ war:https://www.phase-6.de/magazin/rubriken/medien-und-digitalisierung/dsgvo-inhalt-und-neuerungen-bei-phase6/ Mit dieser schwebenden Schrödinger-Einwilligung ließ sich der Vokabeltrainer aber wunderbar und endlos benutzen. Aber es kam noch dreister: Wollte man doch die Eltern fragen, bekamen die eine Tafel vorgelegt … … hier willigten die Eltern also ahnungslos in die Nutzung von „anonymen Daten“ zur „Produktverbesserung“ ein, während in Wahrheit „personenbezogene Daten“ für die „Werbevermarktung“ verarbeitet wurden. Das ist Betrug, oder? Auf der Seite gab es auch einen Cookie-Banner. Ja,

Wie T-Online gestern berichtete, hat sich der Chefjurist von Microsoft Deutschland empört geäußert, weil der Datenschutzbeauftragte von Berlin in einem Vermerk angedeutet habe, dass Microsofts Videokonferenzsysteme womöglich nicht ganz sauber sind (Update: Der „Vermerk“ wurde am 18. Mai von der Berliner Behörde entfernt). Recht hat er! Besser sind ein paar handfeste Belege, dass das nicht ganz sauber ist! Beginnen wir mit der Datenschutzerklärung von Teams, auf die sich gerade viele Schulen und Unternehmen verlassen müssen. Aber Moment mal, wo ist die denn? Es gibt keine. Nur die generische, allgemeine Datenschutzerklärung, die wenig brauchbar ist. Update: Wir haben eine gefunden! Dank für den Hinweis eines Lesers. Warum wird sie nicht an den passenden Orten angezeigt? Die DSGVO erfordert, dass Daten in nachvollziehbarer Weise verarbeitet werden. Dies muss präzise dargestellt werden, eine generische Darstellung ist zu unklar: Man kann alles und nichts herauslesen, zum Beispiel dass Microsoft Videodaten mit KI analysiert und dann für Forschung verwendet. Hm? Dazu stellt auch die Stiftung Warentest nüchtern fest: „Die Texte (…) lassen keine ernst­hafte Befassung mit der europäischen Daten­schutz­grund­ver­ordnung (DSGVO) erkennen.“ UPDATE zum folgenden Absatz (21.5.2020):Microsoft hat die genannten Tracker in der Webanwendung offenbar entfernt. In der App sind sie weiterhin. Bei Mitschnitt und Analyse der App-/Webdaten dann eine unschöne Überraschung: Microsoft sendet User-IDs (z.B. d_cid) in die Adobe Experience Cloud, an die Adobe-Tochter Marketo, an Google Ads und Scorecardresearch. Diese Daten sehen aus wie Remarketing-Tags: Die erste Nutzung von App und Website wird also mit Cookies oder Parametern in diese Netzwerke gemeldet, wo sie

Eine eigene datenschutzfreundliche Cloud, um gemeinsam auch an vertraulichen Dokumenten zu arbeiten: das geht für ein paar Euro im Monat. Dieses Tutorial zeigt, wie man in zehn Minuten einen Hoster mit Nextcloud eingerichtet hat. Viele Redakteurinnen und Redakteure arbeiten online gemeinsam und gleichzeitig an ihren Texten. Das geschieht oft mit Google Docs oder Microsoft 365. Beide Onlinedienste sind beim Datenschutz so intransparent, dass sie z.B. an hessischen Schulen bereits verboten sind. Neben Problemen mit DSGVO und Beschäftigtendatenschutz gibt es zudem keine Garantien, dass die Texte nicht von fremden Personen gelesen werden können, wie die Freedom of the Press Foundation kürzlich ausführte (Newsrooms, let’s talk about Office 365). Für Texte, die ohnehin veröffentlicht werden sollen, ist das (rein vom Standpunkt der Berufsethik) kein Problem. Aber wenn man in den Onlinesuites auch Daten zur Recherche und zu Informanten speichert, dann sind Anbieter wie Google oder Microsoft die falsche Wahl. Erschreckend, dass manche großen Medienhäuser bereits für alle Mitarbeiter standardmäßig die zweifelhaften Onlineanbieter nutzen. Doch jetzt kommt die gute Nachricht: Die bereits lange als selbstgehostete Cloud bekannte deutsche Software Nextcloud wird seit Januar 2020 mit einer Office-Lösung ausgeliefert (genauer gesagt eine Light-Variante des lettischen Onlyoffice). Seitdem kann man nicht nur Dateien austauschen, sondern auch gemeinsam Text- und Tabellendokumente editieren. Die kostenlose Software basiert wie WordPress auf PHP und ist daher auf eigenen Websites einfach zu installieren. Daher kann sie für viele kleine und große Redaktionen, aber auch für einzelne Journalisten genutzt werden. Video-Tutorial Da viele Journalisten und Journalistinnen kein eigenes Webhosting mehr besitzen,

I did a detailed privacy check of the app TikTok and its corresponding website. Multiple law infringements, trust, transparency and data protection breaches were found. I provide all technical and legal details in this article. For a less technical view, read the article at Süddeutsche Zeitung (in german). I used mitmproxy as my setup in order to re-route all app traffic for analysis. One can see in the video how the device information, usage time and list of watched videos are being sent to Appsflyer and Facebook. It is hard to believe that this is covered by „legitimate interest“ and transparency: the search terms that I entered are being forwarded to Facebook: The transfers to the two companies are clearly conflicting with the GDPR: Facebook cannot comply with article 14 regarding the rights to deletion of information etc. for this data. The data transfer to Appsflyer also lacks transparency as it is unknown to which of its more than 4500 partners the data might get transferred down the line. Bytedance’s answer to this: „We won’t show you the contracts.“ Did they even read article 26 of the GDPR? Most importantly, fundamental rights are being violated since Personally Identifying Information (PII) is transferred to a server under the control of a company residing in an unsecure, non-european country. The location of the server is irrelevant – what is important is the location of the company deciding about the data, according to Malte Engeler. Bytedance’s headquarter is located in Beijing, China. I