Rufposten

Tracking bei Shops und Markenherstellern

Allgemein
Wir veröffentlichen eine Musterbeschwerde gegen Facebook-Tracker – und ein Leser reicht Datenschutzbeschwerde gegen ZEIT-ONLINE ein

Allgemein
Der große Scrollytelling-Tool-Test

Scrollytelling

Eine rechtliche Lücke bei der Einbindung von Facebook-Trackern lädt die Behörden ein: DSGVO Art. 26. Eileen Henderson, Gap in the fence on Black Knowe Head - geograph.org.uk - 550211, CC BY-SA 2.0

Das Universalmittel gegen Facebook-Tracking?

Der große Tool-Test für Videostories und Social-Media-Videos

Spenden im ersten Halbjahr 2020

Ich habe ja erst im letzten Jahr die Möglichkeit eingeführt, für den Rufposten zu spenden. Zeit für eine erste Bilanz und einen Halbjahresüberblick. Spendeneinnahmen Januar-Juni 2020 Spenden mit Dauerauftrag 36€ Einzelspenden 10€ Gesamtsumme 46€ Vielen Dank an die Spender! Es ist nicht viel, aber trotzdem eine wichtige Geste. Rückblick und Ausblick Mein Ziel ist, mehr journalistische Aufklärung im Bereich Datenschutz und Tracking zu leisten. Ich konnte bereits 2019 und auch 2020 einige wenige Geschichten wie die Tiktok-Recherche oder den Trackingskandal beim Blutspendedienst an klassische Medien verkaufen. Die durchschnittlichen Honorare für überregionale Tageszeitungen könnt ihr hier nachschlagen, sie liegen für einen Beitrag in der Länge der Blutspende-Geschichte bei ca. 250€, wobei man in Einzelfällen auch mal das doppelte bekommen kann. Recherchiert man wie bei bei Tiktok zehn Tage, kann man natürlich nicht mehr davon leben. Hinzu kommt, dass man bei klassischen Medien für ein sehr breites Publikum runterbrechen und erklären muss. Deshalb habe ich investigative Recherchen meistens auch zusätzlich mit vielen technischen Details in meinem Blog oder in Social Media veröffentlicht. Dort gab es in den ersten sechs Monaten 2020 viele kleine Artikel: Zum Beispiel habe ich Träcktor ins Leben gerufen, ein DSGVO-Beschwerde-Generator. Es gab eine kritische Recherche zu Microsoft Teams und einen großen Hintergrundartikel zum Tracking bei Shops und Markenherstellern. Es gab ein Videotutorial zur Installation von Nextcloud für gemeinsame Textarbeit und Gastartikel für Netzpolitik, z.B. zu den aktuellen Entwicklungen beim Tracking auf Nachrichtenseiten. In Planung und in Arbeit sind viele weitere investigative Recherchen, aber auch ein paar Artikel und

Datenschutz bei Microsoft Teams?

Wie T-Online gestern berichtete, hat sich der Chefjurist von Microsoft Deutschland empört geäußert, weil der Datenschutzbeauftragte von Berlin in einem Vermerk angedeutet habe, dass Microsofts Videokonferenzsysteme womöglich nicht ganz sauber sind (Update: Der „Vermerk“ wurde am 18. Mai von der Berliner Behörde entfernt). Recht hat er! Besser sind ein paar handfeste Belege, dass das nicht ganz sauber ist! Beginnen wir mit der Datenschutzerklärung von Teams, auf die sich gerade viele Schulen und Unternehmen verlassen müssen. Aber Moment mal, wo ist die denn? Es gibt keine. Nur die generische, allgemeine Datenschutzerklärung, die wenig brauchbar ist. Update: Wir haben eine gefunden! Dank für den Hinweis eines Lesers. Warum wird sie nicht an den passenden Orten angezeigt? Die DSGVO erfordert, dass Daten in nachvollziehbarer Weise verarbeitet werden. Dies muss präzise dargestellt werden, eine generische Darstellung ist zu unklar: Man kann alles und nichts herauslesen, zum Beispiel dass Microsoft Videodaten mit KI analysiert und dann für Forschung verwendet. Hm? Dazu stellt auch die Stiftung Warentest nüchtern fest: „Die Texte (…) lassen keine ernsthafte Befassung mit der europäischen Datenschutzgrundverordnung (DSGVO) erkennen.“ UPDATE zum folgenden Absatz (21.5.2020):Microsoft hat die genannten Tracker in der Webanwendung offenbar entfernt. In der App sind sie weiterhin. Bei Mitschnitt und Analyse der App-/Webdaten dann eine unschöne Überraschung: Microsoft sendet User-IDs (z.B. d_cid) in die Adobe Experience Cloud, an die Adobe-Tochter Marketo, an Google Ads und Scorecardresearch. Diese Daten sehen aus wie Remarketing-Tags: Die erste Nutzung von App und Website wird also mit Cookies oder Parametern in diese Netzwerke gemeldet, wo sie

Eine Cloud- und Office-Lösung für Journalisten

Eine eigene datenschutzfreundliche Cloud, um gemeinsam auch an vertraulichen Dokumenten zu arbeiten: das geht für ein paar Euro im Monat. Dieses Tutorial zeigt, wie man in zehn Minuten einen Hoster mit Nextcloud eingerichtet hat. Viele Redakteurinnen und Redakteure arbeiten online gemeinsam und gleichzeitig an ihren Texten. Das geschieht oft mit Google Docs oder Microsoft 365. Beide Onlinedienste sind beim Datenschutz so intransparent, dass sie z.B. an hessischen Schulen bereits verboten sind. Neben Problemen mit DSGVO und Beschäftigtendatenschutz gibt es zudem keine Garantien, dass die Texte nicht von fremden Personen gelesen werden können, wie die Freedom of the Press Foundation kürzlich ausführte (Newsrooms, let’s talk about Office 365). Für Texte, die ohnehin veröffentlicht werden sollen, ist das (rein vom Standpunkt der Berufsethik) kein Problem. Aber wenn man in den Onlinesuites auch Daten zur Recherche und zu Informanten speichert, dann sind Anbieter wie Google oder Microsoft die falsche Wahl. Erschreckend, dass manche großen Medienhäuser bereits für alle Mitarbeiter standardmäßig die zweifelhaften Onlineanbieter nutzen. Doch jetzt kommt die gute Nachricht: Die bereits lange als selbstgehostete Cloud bekannte deutsche Software Nextcloud wird seit Januar 2020 mit einer Office-Lösung ausgeliefert (genauer gesagt eine Light-Variante des lettischen Onlyoffice). Seitdem kann man nicht nur Dateien austauschen, sondern auch gemeinsam Text- und Tabellendokumente editieren. Die kostenlose Software basiert wie WordPress auf PHP und ist daher auf eigenen Websites einfach zu installieren. Daher kann sie für viele kleine und große Redaktionen, aber auch für einzelne Journalisten genutzt werden. Video-Tutorial Da viele Journalisten und Journalistinnen kein eigenes Webhosting mehr besitzen,

Privacy Analysis of Tiktok’s App and Website

I did a detailed privacy check of the app TikTok and its corresponding website. Multiple law infringements, trust, transparency and data protection breaches were found. I provide all technical and legal details in this article. For a less technical view, read the article at Süddeutsche Zeitung (in german). I used mitmproxy as my setup in order to re-route all app traffic for analysis. One can see in the video how the device information, usage time and list of watched videos are being sent to Appsflyer and Facebook. It is hard to believe that this is covered by „legitimate interest“ and transparency: the search terms that I entered are being forwarded to Facebook: The transfers to the two companies are clearly conflicting with the GDPR: Facebook cannot comply with article 14 regarding the rights to deletion of information etc. for this data. The data transfer to Appsflyer also lacks transparency as it is unknown to which of its more than 4500 partners the data might get transferred down the line. Bytedance’s answer to this: „We won’t show you the contracts.“ Did they even read article 26 of the GDPR? Most importantly, fundamental rights are being violated since Personally Identifying Information (PII) is transferred to a server under the control of a company residing in an unsecure, non-european country. The location of the server is irrelevant – what is important is the location of the company deciding about the data, according to Malte Engeler. Bytedance’s headquarter is located in Beijing, China. I

Die Kollegen vom jetzt-Magazin haben heute mitgeteilt, dass Facebook die Sichtbarkeit der Beiträge auf der Plattform für zwei Wochen drosselt – angeblich wegen Clickbait. Auch der Chefredakteur von Buzzfeed bestätigte ähnliche Sperraktionen durch den Konzern. In den Redaktionen wird der Verdacht geäußert, dass es sich jeweils um Strafaktionen für kritische Berichte handelt. Das wäre eine neue Qualität der Machtausübung durch die Firma aus Kalifornien. Überraschend kommt so eine Unverschämtheit keineswegs, aber es ist eine gute Gelegenheit (wenn auch nicht die erste), grundsätzlich darüber nachzudenken, wie Journalisten auf die Dauerprobleme mit Facebook reagieren sollen. In diesem längeren Kommentar versuche ich, das Problem medienethisch zu beleuchten und mache einen Vorschlag zum Handeln. 1. Facebook ist schon lange eine Problemfirma Im Jahr 2007 berichtete Heise und andere Nachrichtenseiten, dass das „Online-Sozialnetz Facebook“ dem Protest von 50.000 Nutzern nachgegeben habe. Man hatte nämlich begonnen, die Einkäufe von Nutzern auch außerhalb des Portals zu tracken und dann deren Freunden diese Einkäufe ungefragt mitzuteilen („Facebook Beacons“). Die Statements von damals kommen einem bekannt vor: Zuerst bestritt man das Verhalten, dann gab man es zu, stellte die Rechtsverletzung aber so dar, als sei es für die User praktisch. Erst nach einem Gerichtsprozess entschuldigte man sich bei den Usern und stellte auf Opt-In um. Facebook musste 9,5 Millionen Dollar zahlen. Und dann fand ein Sicherheitsforscher heraus, dass die Daten auch bei Deaktivierung des Features weiter gesammelt wurden. Das war der Auftakt zu endlosen weiteren Skandalen. Wikipedia listet in einem Artikel fast hundert Kritikpunkte. Es gibt eine eigene Seite,

Zeit-Online hat mittlerweile das umstrittene Tracking-Tool „Facebook Pixel“ aus seiner Website entfernt. Montag Nachmittag war der Tracker nicht mehr in die Website eingebunden. Erst letzte Woche hatte ein Zeit-Leser eine Datenschutzbeschwerde gegen den Verlag eingereicht, die mit einer Textvorlage und Anleitung von Mike Kuketz und mir (Matthias Eberl) erstellt wurde. Mit dem Entfernen des Trackers hat die Zeit aber erst einen sehr kleinen Schritt zu einem datenschutzfreundlichen Webangebot getan. Über eingebundene Werbeanzeigen von Facebook Ads (brandlift.php) gehen weiterhin personenbezogene Daten an Facebook, obwohl dafür die Rechtsgrundlage in gleicher Weise fehlt. Zahlreiche andere Werbetracker dürften ebenfalls rechtlich problematisch sein. Die seit einem Jahr an den Verlag gerichtete Kritik, darunter auch die Auszeichnung mit dem Negativ-Preis „Big Brother Award“ durch die Datenschutzorganisation Digitalcourage, hatte den Verlag nicht zum Handeln bewegt. Durch die Datenschutzbeschwerde droht dem Verlag auch weiterhin ein Bußgeld in fünf- bis sechsstelliger Höhe. Eine Sprecherin der Zeit-Verlagsgruppe erklärte, das Interview mit dem Leser sei dem Verlag zwar bekannt, die Entfernung von Facebook Pixel sei aber kurzfristig wegen des EuGH-Urteils gefallen. Ebenfalls heute wurde bekannt, dass die Verbraucherzentrale gegen insgesamt acht Medienunternehmen mit Abmahnungen wegen unerlaubtem Tracking vorgeht: Verbraucherschützer mahnen erste Medien ab.

„Ich finde es frech, dass Zeit Online meine Daten an Facebook gibt, obwohl ich zahle“

Alexander S. ist Informatiker und hat seit 2017 die Zeit abonniert. Gestern hat er eine Datenschutzbeschwerde gegen Zeit Online eingereicht, weil diese über einen in die Seite integrierten Facebook-Tracker sein Leseverhalten an Facebook sendet. Die Behörden weisen schon länger darauf hin, dass das Marketing-Tool rechtswidrig ist, aber viele Verlagen ändern nichts, möglicherweise auch deshalb, weil Verfahren und Urteile dazu noch ausstehen. Alexander S. nutzte für seine Beschwerde eine Textvorlage und Anleitung, die wir heute veröffentlicht haben. Darin sind auch die juristischen Details aufgeführt, mit denen der Tracker gegen die DSGVO verstößt. Alexander, du hast gerade mit Hilfe unserer Vorlage eine Datenschutzbeschwerde gegen die Zeit abgeschickt. Alexander: Ja, ich wollte das schon lange machen, es hat sich nur etwas hingezogen, bis ich dazugekommen bin. Aber dann ging es eigentlich sehr fix, wenn man sich einmal hingesetzt hat. Warum willst du nicht, dass wir deinen vollen Namen nennen? Alexander: Weil ich mein Zeit-Abo behalten möchte. Ich will, dass sie das mit dem Facebook-Tracker ändern, aber ich möchte keinen Stress mit dem Verlag, nicht dass sie mir noch das Abo kündigen. Das klingt so, als wärst du eigentlich ein großer Fan der Zeitung. Alexander: Ja, eigentlich schon. Wenn man wie ich mit Kind weniger Zeit für Nachrichten hat, ist so ein Wochenzeitungsformat schön und sehr praktisch. Zudem mag ich die Zeit einfach für die politische Ausrichtung, ich sehe sie eher links und es ist schwierig gute Zeitungen zu finden, die in diesem politischen Spektrum schreiben. Ich finde auch die Artikel immer sehr gut

Facebook-Tracker erkennen und dagegen vorgehen

Meine Methode zum Artikel Für meine Analyse zum Facebook-Tracker bei deutschen Medienseiten habe ich alle Einbettungen von Facebook als Tracker gewertet, die Cookies mit *.facebook.com austauschen. Dann ist die Möglichkeit gegeben, dass Leser personenbezogen erkannt werden. Grundsätzlich arbeiten Browser so, dass sie entweder keine oder alle Cookies an eine Website schicken. Es ist also nicht möglich, dass eine Seite die Weitergabe begrenzt, so dass nur anonyme Cookies an Facebook gesendet werden können. Insgesamt 12 verschiedene Tools konnte ich unterscheiden, nicht bei allen konnte ich herausfinden, warum der Verlag sie eigentlich eingebunden hat. Cookie-Banner, die auf den Facebook-Tracker nur hinweisen und ihn nicht bereits bei Aufruf der Seite verhindern, wurden ignoriert (sie sind technisch und juristisch nicht wirksam). Nicht immer erscheinen die Tracker beim ersten Aufruf und auf jeder Seite, es scheint statistische und auch wöchentliche Änderungen bei den Einbettungen zu geben. So prüft man Und so kann man mit Firefox oder Chrome relativ einfach selbst prüfen, ob eine Seite den Facebook-Tracker enthält: Firefox: Im Menü Web-Entwickler/Netzwerkanalyse aufrufen (Oder Strg-Shift-E) Eine Seite aufrufen (oder mit Strg-F5 neu laden) Im Suchfeld („Adressen durchsuchen“) „facebook“ eingeben Wenn Inhalte von facebook.com erscheinen und in der Spalte Cookies eine Zahl steht, hatte Facebook Zugriff auf die Cookies. Chrome: Im Menü More Tools/Developer Tools aufrufen (Oder Ctrl-Shift-I), dann den Tab Netzwerkanalyse Eine Seite aufrufen (oder mit Strg-F5 neu laden) Im Suchfeld (‚Filter‘) „Facebook“ eingeben Wenn Inhalte von facebook.com erscheinen und in der Spalte Cookies eine Zahl steht, hatte Facebook Zugriff auf die Cookies. Hinweise und Beschwerden

Für diesen Beitrag habe ich 130 deutsche Nachrichtenseiten und Verlagsangebote analysiert. Das Fazit: Facebook liest fast überall mit. Durch Tracking-Tools kann der Konzern in vielen Fällen erkennen, welche Artikel ein Facebook-Nutzer anklickt. Die Gesetze untersagen diese Form von Tracking, aber die Verlage stört das nicht. Bild: CC-BY 4.0 Oliver Hinzmann Facebook sammelt persönliche Daten. Sie sind der wichtigste Vermögenswert der 500-Milliarden-Dollar-Firma und die Basis seines Geschäftsmodells. Seit einiger Zeit ist bekannt, dass Facebook nicht nur Daten von Nutzern seiner sozialen Netzwerke sammelt, sondern auch über praktisch alle anderen Internetnutzer. Eine wichtige Sammelstelle dabei sind Nachrichtenseiten und Portale von Presseverlagen. Wie meine Recherche ergab, fließen von den Seiten vieler deutscher Nachrichtenmedien Nutzerdaten an Facebook ab. Der Datenkonzern kann mit seinen Software-Bausteinen Millionen Menschen in Deutschland beim Nachrichtenlesen über die Schulter schauen. Was ist das Problem 2011 gab es mal eine größere Debatte um den Facebook-Button. Die breite Öffentlichkeit erfuhr damals erstmals, dass die standardmäßige Einbindung des Buttons dazu führt, dass Facebook auch externe Seitenabrufe personenbezogen speichern und auswerten kann. Die Debatte und die folgenden Verfahren bis zum EuGH haben dazu geführt, dass der Button auf den meisten Nachrichtenseiten nicht mehr direkt eingebunden wird, sondern erst beim Anklicken eine Verbindung herstellt. Heute ist Facebook in den meisten Nachrichtenseiten auf andere Art verankert. Mit verlockenden Produkten in seinem Business-Portfolio hat der Konzern es geschafft, auf rund 75 Prozent der deutschen Medienseiten präsent zu sein. Die Facebook-Tools können meist artikelgenau und personenbezogen den deutschen Medienkonsum auswerten. Am bekanntesten ist „Facebook Pixel“, ein Bestandteil des

Tracking- und und googlefreies Smartphone

Smartphones werden heute erst vom Hersteller, dann vom Nutzer mit Werbetracking vollgestopft. Dabei sind die Alternativen immer besser und alltagstauglicher geworden. Das ist mein Setup. Seitdem ich Android benutze, hatte ich immer zwei Smartphones in der Tasche: Ein normales mit meinen Kontakten, das unterwegs meist im Flugmodus war und einige Apps aus dem Play-Store enthielt, die mir unersetzlich erschienen. Und ein anonymes Open-Source-Android für Browsing und den ganzen Rest. Das war mein Kompromiss für die Datensparsamkeit. Und mein Weg, um verhaltensbasiertes und personenbezogenes Werbetracking weitgehend zu vermeiden. Aber es war natürlich weder eine gute, noch eine ökonomische, ökologische oder massentaugliche Lösung. Seitdem aber Messenger wie Threema oder Signal ohne Google funktionieren und immer mehr gute und trackingfreie Apps existieren, hat man bessere Optionen. Dieses Wochenende habe ich nun alles was ich brauche auf ein einziges Smartphone gepackt. Ein paar Kompromisse waren nötig – aber es ist doch ein sehr datensparsame Lösung geworden. Hier ist mein Setup – wer eine ausführlichere Anleitung möchte, dem sei die Artikelserie Android ohne Google von Mike Kuketz empfohlen. Die Hardware Chinesische Hersteller fielen bei mir wegen grundsätzlichen systemisch bedingten Datenschutzbedenken aus. Habe mich deshalb für ein Samsung Galaxy S9 entschieden. Die größere Variante S9+ hätte nicht mehr gebracht: die speziellen Kamerafunktionen der Drei-Linsen-Technik lassen sich sowieso nicht mit Open-Source nutzen. Das S9 ist außerdem das einzige neuere Galaxy, für das ein aktuelles LineageOS zu Verfügung steht (siehe nächster Abschnitt). Spannende Alternative wäre noch der europäische Hersteller BQ mit seinem Mittelklasse-Smartphone Aquaris gewesen. Außerdem nutze ich

12 3 4

rufposten: “Panoptykon Foundation:…” 26. November 2020
Panoptykon Foundation:"NEW: Our report ToTrackOrNotToTrack shows that privacy-friendly advertising is possible *without* bankrupting online publishers. But in order to promote the uptake of alternatives, EU policymakers must create a regulatory push."➡️ Read the report: https://panoptykon.org/sites/default/files/publikacje/panoptykon_to_track_or_not_to_track_final.pdf
rufposten: “🚜-✉️ Kennt sich jemand mit UX …” 25. November 2020
🚜-✉️ Kennt sich jemand mit UX aus? Mein Datenschutztool "Träcktor" bekommt neue Funktionen und langsam wird es unübersichtlich. Feebackspende (bitte nur Experten) gerne hier:https://codeberg.org/rufposten/Traecktor/issues/37Oder einfach per DM melden bei mir oder @tsmr.
rufposten: “Neues Urteil am Landgericht be…” 25. November 2020
Neues Urteil am Landgericht bestätigt Datenschutz:⚖️ kein Tracking für Analyse- und Marketingzwecke ohne Einwilligung⚖️ keine Vorauswahl (Opt-Out) erlaubt⚖️ Abwahl-Button muss als solcher gleichwertig erkennbar sein (!)⚖️ Bei Verwendung von Google Analytics ist über die gemeinsame Verantwortung nach Art. 26 DSGVO zu informieren⚖️ Bei Übertragungen in Drittländer wie USA müssen Infos zum Rechtfertigungsgrund bereitgestellt werden. Volltext:https://www.vzbv.de/pressemitteilung/tracking-cookies-nur-mit-einwilligung-erlaubt(Via […]
rufposten: “"Esoteric metrics based on ana…” 24. November 2020
"Esoteric metrics based on analyzing extensive data about employee activities has been mostly the domain of fringe software vendors. Now it's built into MS 365. A new feature to calculate 'productivity scores' turns Microsoft 365 into an full-fledged workplace surveillance tool. Showing data on individuals can be turned off, but it's activated *by default*. This […]
rufposten: “DSGVO & ePrivacy fördern offen…” 24. November 2020
DSGVO & ePrivacy fördern offenbar doch datenschutzfreundliche Alternativen: Auf der iq-digital-Konferenz gerade Ansagen u.a. von Otto und Xandr: Kontextwerbung wird 2021 wichtig. Nicht zuletzt, weil kein Consent oft bedeutet: jüngere Zielgruppe und höheres Einkommen.
rufposten: “"Bis auf Springer (…), die Süd…” 24. November 2020
"Bis auf Springer (…), die Süddeutsche Zeitung und die taz nehmen fast alle größeren Medienhäuser am Google News Showcase teil. Die taz befindet sich jedoch im Austausch mit Google zu dem Projekt, die Mutterholding der SZ nach eigenen Angaben ebenfalls."https://taz.de/Kooperation-von-Verlagen-mit-Google/!5727287/
rufposten: “Behörden: Entweder ihr nervt e…” 22. November 2020
Behörden: Entweder ihr nervt eure Leser jetzt mit Cookie-Walls zum Tracking oder es hagelt Bußgelder wegen DSGVO-Verstößen. Verlage: Warum nicht beides!? 🥳
rufposten: “@kuketzblog hat sich GrapheneO…” 17. November 2020
@kuketzblog hat sich GrapheneOS angeschaut, ein besonders sicheres Android, dass man wie andere Custom ROMs ohne Google-Dienste betreiben kann. https://www.kuketz-blog.de/grapheneos-das-android-fuer-sicherheits-und-datenschutzfreaks/
rufposten: “🚜-✉️ Träcktor Release v0.2.5 …” 16. November 2020
🚜-✉️ Träcktor Release v0.2.5 Mal wieder was aus der Reihe "Trackingblocker serverseitig" - jetzt könnt ihr was tun gegen: 🔹The Adex🔹Mappbox Intelligence (Webtrekk)🔹Trbohttps://träcktor.de/Webtrekk ist z.B. beim Pur-Abo der Zeit ohne Einwilligung aktiv. Adex findet man u.a. beim Hamburger Stadtportal. Und Trbo ist ein Personalisierungstool für Shops, aber vielleicht auch nicht jedermanns Sache 😄
rufposten: “I will never understand why pe…” 15. November 2020
I will never understand why people use medium.com as a publishing platform while on write.as or a self hosted wordpress your content and your readers are so much more under your control. Especially if you write on the future of journalism.

Tracking bei Shops und Markenherstellern

Wir veröffentlichen eine Musterbeschwerde gegen Facebook-Tracker – und ein Leser reicht Datenschutzbeschwerde gegen ZEIT-ONLINE ein

Der große Scrollytelling-Tool-Test