Marina Weisband ĂŒber #DSGVO:
"Das Schlimmste ist aber, dass soziale Netzwerke mit dezentraler Datenspeicherung, zum Beispiel #Diaspora, rechtlich enorme Probleme mit der DSGVO und dem Recht auf Löschung bekommen, weil ihre Daten gar nicht von einer Instanz verwaltet werden. Das ist aber genau die Art von Dienst, in den ich so groĂe Hoffnung gesetzt hatte. Denn soziale Netzwerke haben immer einen Drang zum Monopol - wo alle sind, will man selbst auch sein - und nur dezentrale Speicherung verhindert Machtkonzentration."
Kolumne - Vor wem soll mich die DSGVO schĂŒtzen?

"Das Schlimmste ist aber, dass soziale Netzwerke mit dezentraler Datenspeicherung, zum Beispiel #Diaspora, rechtlich enorme Probleme mit der DSGVO und dem Recht auf Löschung bekommen, weil ihre Daten gar nicht von einer Instanz verwaltet werden. Das ist aber genau die Art von Dienst, in den ich so groĂe Hoffnung gesetzt hatte. Denn soziale Netzwerke haben immer einen Drang zum Monopol - wo alle sind, will man selbst auch sein - und nur dezentrale Speicherung verhindert Machtkonzentration."
Kolumne - Vor wem soll mich die DSGVO schĂŒtzen?

Der Staat verspreche, uns durch die Datenschutz-Grundverordnung vor Unternehmen Facebook und Google zu schĂŒtzen, sagt Marina Weisband in ihrer Kolumne. Doch die sozialen Netzwerke wĂŒrden im Zweifel profitieren. Vor allem aber vor dem Staat selbst mĂŒssten Nutzer ihr Daten schĂŒtzen.
show all 34 comments
Bei den ganzen Netzwerken die im Fediverse / Föderation mit einander kommunizieren, klingt es fĂŒr fĂŒr mich komisch, wenn sie von einer zentralisierung der Solzialen Netzwerke schreibt. Ich finde, da ist in den letzten Monaten viel Bewegung drin.
Löschfunktion und Signaturen gibt es bei Hubzilla zumindest.
Löschfunktion und Signaturen gibt es bei Hubzilla zumindest.
Ich lese es so, dass sie vom Gegenteil schreibt. Im Detail finde ich es auch nicht so wichtig, wichtig finde ich, dass da ĂŒberhaupt mal sowas auf den Tisch packt.
Zu viel wĂŒrde ich Marina Weisband auch nicht unterstellen: Ich schĂ€tze, sie ist weder auf Diaspora noch im Fediverse vertreten, und obwohl sie sich doch "in den letzten Monaten, wie die meisten meiner KollegInnen, mehr oder weniger panisch mit der DSGVO rumgeschlagen" hat, findet sich auf ihrer eigenen Seite keine DatenschutzerklĂ€rung.
Startseite
by Marina Weisband on Marina Weisband
Startseite
by Marina Weisband on Marina Weisband
Gegen die Polizei oder den Staat im Allgemeinen wird sie kaum eine Handhabe haben.
Technische Mittel helfen nicht gegen soziale Probleme.
Wir haben in den letzten Legilaturperioden oft genug gesehen, dass staatliche Machschaften nicht legal oder in einer Grauzone waren - und was ist passiert? Diese Machenschaften wurden legalisiert und Gesetze extra dafĂŒr angepasst oder geschaffen. Der letzte Höhepunkt sind wohl die neuen Polizeigesetze in den LĂ€ndern.
Und so wird das Spiel auch weitergehen. Ich sehe die DSVGO erstmal positiv, hat aber nichts direkt mit der Staatsgewalt zu tun.
Technische Mittel helfen nicht gegen soziale Probleme.
Wir haben in den letzten Legilaturperioden oft genug gesehen, dass staatliche Machschaften nicht legal oder in einer Grauzone waren - und was ist passiert? Diese Machenschaften wurden legalisiert und Gesetze extra dafĂŒr angepasst oder geschaffen. Der letzte Höhepunkt sind wohl die neuen Polizeigesetze in den LĂ€ndern.
Und so wird das Spiel auch weitergehen. Ich sehe die DSVGO erstmal positiv, hat aber nichts direkt mit der Staatsgewalt zu tun.
Ich konnte mich in den letzten Wochen mit einigen Leuten darĂŒber austauschen, wie förderierte Systeme von der #DSGV betroffen sind. Grundtenor war, dass es uns schwer fallen dĂŒrfte, als Betreiber eines solchen Systems alle Aspkete der Verordnung berĂŒcksichtigen zu können. Alleine schon die Einbettung eines YouTube-Videos eines Postings auf einem, sagen wir mal, japanischem System, dass dann nach Europa durchgereicht wird, ist problematisch. Mit meinem Rootserver kann ich die Verabntwortung.auch nicht zum Hoster wegdelwgieren.
Das Problem verstehe ich nicht. Dass ein Server in Japan steht, ist ja erst mal egal, es geht um die Einbettung des YouTube-Videos. Eine solche Möglichkeit kann ich ja rechtskonform ankĂŒndigen, fertig ist die Laube. Zur Not untersage ich Einbettungen, dann bin ich weit raus aus solchen Geschichten. Und ist die Angst, dass die eigenen User die Betreiber verklagen? Die Datenschutzbeauftragten werden sicher was besseres vorhaben also solche Seiten hochgehen zu lassen.
In der Tat könnte das ein saftiges Problem werden bzw. ist es schon. Den durch das DSVGO wird nicht nur Facebook, Google & Co. angreifbar, sondern auch all die kleineren und gröĂeren Projekte.
Die Frage ist wie man dem begegnen kann. In meinen Augen wird man wohl um ein vollkommenes Redesign bzw. etwas ganz neues nicht wirklich herum kommen. Den die Federation sowie die dazu passende Serversoftware passt mit dem DSVGO so wie sie jetzt gestaltet ist und funktioniert nicht zusammen.
Die Frage ist wie man dem begegnen kann. In meinen Augen wird man wohl um ein vollkommenes Redesign bzw. etwas ganz neues nicht wirklich herum kommen. Den die Federation sowie die dazu passende Serversoftware passt mit dem DSVGO so wie sie jetzt gestaltet ist und funktioniert nicht zusammen.
Eigentlich klappt es schon ganz gut: Innerhalb von Hubzilla löscht sich alles auf anderen Servern gut weg, wenn ich auf meiner Instanz etwas lösche. DarĂŒber hinaus wird der Nutzer nicht umhinkommen, Server, auf denen er meint, dass er etwas gelöscht haben möchte etc. direkt zu kontaktieren.
So wie hier geunkt wird, wÀre allerdings quasi jeder Tweet, den ich auf meinem Rechner/ meiner App lese, eine Kopie des Originals, der keine direkte EinverstÀndniserklÀrung unterliegt. Da wird einfach nachzubessern sein, da könnte geklagt werden, aber vor Gericht wird man erklÀren können, dass hier ein normales Vorgehen innerhalb des Internets vorliegt, ohne das es gar nicht existieren könnte.
So wie hier geunkt wird, wÀre allerdings quasi jeder Tweet, den ich auf meinem Rechner/ meiner App lese, eine Kopie des Originals, der keine direkte EinverstÀndniserklÀrung unterliegt. Da wird einfach nachzubessern sein, da könnte geklagt werden, aber vor Gericht wird man erklÀren können, dass hier ein normales Vorgehen innerhalb des Internets vorliegt, ohne das es gar nicht existieren könnte.
Evtl. interessant dafĂŒr: https://www.zdf.de/kultur/aspekte/blogger-enno-park-zur-dsgvo-100.html
Auch interessant:
Wie ich heute in meinem Blog etwa 3000 Kommentare aus 17 Jahren löschte â Enno Park

Wie ich heute in meinem Blog etwa 3000 Kommentare aus 17 Jahren löschte â Enno Park

Noch drei Tage bis die DSGVO gilt, da musste ich dringend mal mein Blog anpassen, schlieĂlich werbe ich hier auch fĂŒr meine TĂ€tigkeit als Publizist, was keine ârein privateâ Nutzung ist. Das geht aber alles ganz einfach, wie zahlreiche DatenschĂŒtzer nicht mĂŒde werden zu versichern. Also erstmal brauchst du eine DatenschutzerklĂ€rung, in de...
Durch die Sache mit der rein privaten Nutzung dĂŒrften aber alle privaten Sachen ohne Werbung, Product Placement & Co. auĂen vor sein. Das freut mich als jemand der derartiges Betreibt auĂerordentlich. Allerdings bringt das im Bezug auf Diaspora, Friendica & Co. recht wenig.
Naja, allenfalls in negativer Hinsicht: Wieso setzt man sich als Experte vor eine Kamera und labert dann sowas? Es ist kein Problem aus einer Datenbank eines dezentralen sozialen Netzwerks einen gespeicherten Nutzer und seine Posts rauszufiltern, in einer neuen Datei zu speichern und herauszugeben. Enno Park benutzt ein WordPress-Blog. Die Software hat extra zur DSGVO eine Funktion erhalten, um sehr einfach Daten zu einem identifizierbaren Person zu exportieren. Und *hust* soooo viele Kommentatoren hat der nun wohl auch nicht gehabt.
Nein, das ist von Enno Park auch falsch dargestellt: Eine Internetseite ist schon dann nicht mehr bloĂ privat, wenn sie sich an Leute richtet, die man nicht kennt.
Durch die Sache mit der rein privaten Nutzung dĂŒrften aber alle privaten Sachen ohne Werbung, Product Placement & Co. auĂen vor sein.
nein, da kann die private sache noch so antikapitalistisch sein. wenn die datensammlung unverhĂ€ltnismĂ€Ăig ist im auge des gesetzes, dann bekommste was hinter die ohren.
Im relevanten Gesetz ist weder von einer VerhĂ€ltnismĂ€Ăigkeit einer Datensammlung noch von antikapitalistisch die Rede.
Sofern du durch andere Angaben identifiziert werden kannst, ja. FĂŒr Instanzenbetreiber wird es natĂŒrlich schwierig, z.B. Bilder einer Person zuzuordnen, die er selbst gar nicht kennt. Der Name "Thomas MĂŒller" alleine wĂ€re wohl auch nicht genug, um von einem eindeutigen Personenbezug auszugehen, da das einer der hĂ€ufigsten Namen in Deutschland ist. Da hĂ€tte ich es einfacher.
Das Tracking fĂ€llt ja weg. Und wenn ich selber sparsam mit identifizierbaren Darstellungen (Arbeitgeber, Wohnadresse, Handynummer, ...) umgehe, gibt es keinen Bedarf, dass ich meine Daten per DSGVO zu löschen verlange. đ
Tja, ist halte die Frage, was das Cookie da macht, das squeet.me setzt
. Dem Profiling wird es aber wohl nicht dienen. Es gibt ja Cookies, die erlaubt sind, und solche, die verboten sind, wer soll das von auĂen beurteilen? Andererseits kann es ja interessant sein, zu sagen, dass man auf bestimmten Seiten nicht erscheinen möchte, wenn z.B. eine unliebsame Partei eine Instanz aufmacht. Da kann man ja dann ein P vor machen, wenn man per Profilbild identifizierbar ist.

WĂ€re trotzdem wichtig die LĂŒcken des Gesetzes zu beseitigen und es so zu gestalten das auch normale Privatpersonen problemlos damit arbeiten können.
@Carsten Herkenhoff: Wissenschaftlich reichen 8 unterschiedliche Merkmale aus, um eine Person hinreichend eindeutig zu identifizieren.
z.B. SchuhgröĂe, Automarke, Stadt, Haarfarbe, KörpergröĂe, Geschlecht, Lieblingsessen, Sportverein.
Nach der neuen DSVGO gelten zusÀtzlich Informationen wie IP-Adresse des Handies/Computer in Kombination mit Uhrzeit nun auch als personenbezogenes Datum.
Die neue Verordnung soll Dir Deine Rechte zurĂŒckgeben. Du sollst entscheiden können wer welche Daten von Dir zu welchem Zweck erhebt und wer das nicht darf. Du darfst als User entscheiden, was Du veröffentlichst und was nicht.
Bisher haben die Unternehmen alles eingesammelt, was sie bekommen konnten und haben es verarbeitet - zu 90% ohne, dass es den Leuten bisher bewusst war.
Jeder kann (als User) nach wie vor durch die Welt laufen und allen alles erlauben. Auch wenn es nicht empfehlenswert ist, kann man dies so machen.
Verarbeitende Systeme / Firmen haben nun transparent dar zu legen, welche Daten wozu erhoben werden und mĂŒssen Wiederspruchsmöglichkeiten bieten.
Aus Sicht eines Users ist die neue Verordnung schon ganz ok, die Frage ist nun was die Data Mining Firmen nun daraus machen.
z.B. SchuhgröĂe, Automarke, Stadt, Haarfarbe, KörpergröĂe, Geschlecht, Lieblingsessen, Sportverein.
Nach der neuen DSVGO gelten zusÀtzlich Informationen wie IP-Adresse des Handies/Computer in Kombination mit Uhrzeit nun auch als personenbezogenes Datum.
Die neue Verordnung soll Dir Deine Rechte zurĂŒckgeben. Du sollst entscheiden können wer welche Daten von Dir zu welchem Zweck erhebt und wer das nicht darf. Du darfst als User entscheiden, was Du veröffentlichst und was nicht.
Bisher haben die Unternehmen alles eingesammelt, was sie bekommen konnten und haben es verarbeitet - zu 90% ohne, dass es den Leuten bisher bewusst war.
Jeder kann (als User) nach wie vor durch die Welt laufen und allen alles erlauben. Auch wenn es nicht empfehlenswert ist, kann man dies so machen.
Verarbeitende Systeme / Firmen haben nun transparent dar zu legen, welche Daten wozu erhoben werden und mĂŒssen Wiederspruchsmöglichkeiten bieten.
Aus Sicht eines Users ist die neue Verordnung schon ganz ok, die Frage ist nun was die Data Mining Firmen nun daraus machen.
Naja die Verordnung hat wenn ich es recht sehe schon groĂe LĂŒcken und Schlupföcher. Dazu kommt das das was das DSGVO fordert von Privatpersonen mit ihren kleinen WebprĂ€senzen oftmals gar nicht umgesetzt werden kann. DarĂŒber hinaus dĂŒrfte es fĂŒr dezentrale Systeme die nicht von Grund auf entsprechend ausgelegt sind ziemlich problematisch sein, da damit ja Daten kreuz und quer verteilt werden und man auĂerhalb des Servers auf dem man sitzt keine wirkliche Kontrolle mehr ĂŒber seine Daten hat.
Da fehlt sicherlich Rechtssprechung, aber Privatpersonen können eigentlich z.B. bei WordPress sehr leicht die DSGVO umsetzen. Und wieso sollte eine Fediverse-Instanz dafĂŒr haften, dass jemand seine eigenen Daten an andere Instanzen schickt? Selbst wenn es fremde Daten sind, gilt das Verursacherprinzip.
FĂŒr die, die es noch nicht gelesen haben: Die DSGVO-Abmahnmaschine lĂ€uft lĂ€ngst. Und zwar vollautomatisiert mit Webcrawlern.
@Martin G. Automatisierte Abmahnung werden i.d.R. einkassiert. Ist nicht erlaubt. Ja, es wird eine Reihe von Menschen geben, die in Trance die Abmahnung trotzdem bezahlen.
@Carsten Herkenhoff: Hubzilla kann man nicht einfach mit Wordpress vergleichen.
Wenn ein User sich den Nachrichtenstream auf einem Hubzilla Server anschaut bekommt er ggf auch Content von fremden Diensten (z.B. Youtube) embedded angezeigt. Der Browser des User hollt sich dann den Content vom Drittanbieter ohne dass der User sich dessen bewusst ist.
Der Betreiber des Hubzilla Servers leitet also mit seinem Service Content von 3ten an User um.
Der User wird beim Drittanbieter (z.B. Youtube) Daten in Form von IP-Adressen oder einen Referrer hinterlassen und auch Cookies enpfangen.
Wer hat dies nun als Verursacher zu verantworten?
Youtube?
Der User der das Video teilt?
Der einspeisende Hubzilla Server?
Der empfangende Hubzilla Server?
Der empfangende Channel?
Ganz so einfach befĂŒrchte ich kommen wir nicht aus der Nummer raus.
Wenn ein User sich den Nachrichtenstream auf einem Hubzilla Server anschaut bekommt er ggf auch Content von fremden Diensten (z.B. Youtube) embedded angezeigt. Der Browser des User hollt sich dann den Content vom Drittanbieter ohne dass der User sich dessen bewusst ist.
Der Betreiber des Hubzilla Servers leitet also mit seinem Service Content von 3ten an User um.
Der User wird beim Drittanbieter (z.B. Youtube) Daten in Form von IP-Adressen oder einen Referrer hinterlassen und auch Cookies enpfangen.
Wer hat dies nun als Verursacher zu verantworten?
Youtube?
Der User der das Video teilt?
Der einspeisende Hubzilla Server?
Der empfangende Hubzilla Server?
Der empfangende Channel?
Ganz so einfach befĂŒrchte ich kommen wir nicht aus der Nummer raus.
Genau in dem Fall kann man WordPress ganz einfach mit Hubzilla vergleichen. Als Hubzilla-Admin obliegt es mir, in welcher Form Youtube-Videos eingebettet werden. Ich kann es auch ganz unterbinden, falls ich es möchte. Es ist noch nicht klar, ob das Anzeigen eines Vorschaubildes durch eine Verbindung zu YouTube verboten ist. Davon abgesehen lÀsst Hubzilla YouTube keine Cookies setzen.
FĂŒr Wordpress gibt es plugins, die bei eingebetteten YouTube Videos zunĂ€chst vom lokalen Server das Vorschaubild von yt lĂ€dt und dies dem Client prĂ€sentiert. Dieser muss drauf klicken und erst dann wird die Verbindung Client - YouTube aufgebaut. So wird erreicht, dass nur beim abspielen des Videos, das der Nutzer selbst initiiert, tatsĂ€chlich Daten des Nutzers an YouTube weitergeleitetet werden.
Korrekt, aber damit begeht man meist eine Urheberrechtsverletzung, weil man kein Recht zur Veröffentlichung des Vorschaubildes hat.
Sehr interessante Doku ĂŒber die Entstehung der #DSGVO. Schnell gucken, bevor es aus der Mediathek verschwindet.
Dokumentarfilm im Ersten: Im Rausch der Daten | Reportage & Dokumentation

Dokumentarfilm im Ersten: Im Rausch der Daten | Reportage & Dokumentation

Eine fesselnde und hochbrisante Geschichte ĂŒber eine Handvoll Politiker, Lobbyisten, Diplomaten und BĂŒrgerrechtler, die um den Schutz der PrivatsphĂ€re in der digitalen Welt ringen.
Anmerkung:
Vielen Dank, ist vorgemerkt.
Ăbrigens wird sie aktuell nicht so ganz schnell aus der Mediathek der ARD verschwinden.
Vielen Dank, ist vorgemerkt.
Ăbrigens wird sie aktuell nicht so ganz schnell aus der Mediathek der ARD verschwinden.
Video: Dokumentarfilm im Ersten: Im Rausch der Daten
23.05.18 | 88:47 Min. | VerfĂŒgbar bis 23.05.2019
Zuckerberg-Hearing in Brussels: 15 minutes
Me, trying to understand #DSGVO and to update my website accordingly: 4 hours 45
Me, trying to understand #DSGVO and to update my website accordingly: 4 hours 45
show all 16 comments
Since everybody else seemed to go into paralysis about what to do, I added a privacy policy to the dev branch which covers the main points and should be a good start. You're welcome to improve on this (a French translation landed the next day), but at least it's *something* and that's so much better than *nothing*. To be fully compliant you may need to edit that document and add some contact information at the end. This will cause merge conflicts if somebody changes the source file (highly likely) so that will need to be addressed.
Thank you, Mike - well done! I got this from Moodle this morning - https://moodle.com/privacy-policy/ and suggest people read both Mike's and that one to see how it can be done at your hub.

Isn't that crazy? We are writing stuff on the web. And have to copy & paste "Ulysses"-long legal Docs in our sites...
Well, only if you're hosting a site yourself that is readable and also meant for others that don't belong to your family. That's not too crazy. If you're buying a bottle of water they have to write on the bottle that there's water in the bottle. They don't have to write there's air in the bottle.
It's like stickers on American toasters: "This toaster is dangerous. It can burn down your house, kill your dog and make you unhappy for the rest of your life. But anyway: Bon appétit !"
The problem currently is that we need something safe and watertight (preferably something that isn't a hack) within less than 48 hours. In the stable branch. And "we" means everyone who runs a hub anywhere in the EU, whether public or private.
Even if we implement it later, server owners may have to prove that they've been compliant with the new laws starting May 25h, midnight local time. Which they most likely can't because they haven't.
Even if we implement it later, server owners may have to prove that they've been compliant with the new laws starting May 25h, midnight local time. Which they most likely can't because they haven't.
Not sure we have to worry about GDPR. Hubzilla is perfect example of how internet public services should operate. If hubzilla is not GDPR complient starting already from the concept of what it is, then I dont know what is.
I wonder about embeded links and i f there would be a way for users to switch them off if they desire.
For example this is our privacy policy: https://disroot.org/en/privacy_policy and tos: https://disroot.org/en/tos
We've looked at it the last days but not sure there is anything we would need to add to be more gdpr complient. If anyone would like to give some feedback please do. Any changes I think of, such us information about embed links seem very comsmetic and not a reason to send out thousands of emails (like the rest of the internet does for the last week).
I wonder about embeded links and i f there would be a way for users to switch them off if they desire.
For example this is our privacy policy: https://disroot.org/en/privacy_policy and tos: https://disroot.org/en/tos
We've looked at it the last days but not sure there is anything we would need to add to be more gdpr complient. If anyone would like to give some feedback please do. Any changes I think of, such us information about embed links seem very comsmetic and not a reason to send out thousands of emails (like the rest of the internet does for the last week).
Why should it? A user is not responsible as long as he's not officially nominated as the responsible person.
Yes. but then user could decide whether he prefers to be monitored say by youtube or not. So instead of giving users choice (you want embeds or not), you as a user have none (either your hub does embeds or not).
default contact info?
attn: Santa Claus
325 S. Santa Claus Lane
North Pole, Alaska 99705
by phone: Jenny 867-5309
attn: Santa Claus
325 S. Santa Claus Lane
North Pole, Alaska 99705
by phone: Jenny 867-5309
Did some additions to our privacy policy (mainly structure and adding the controller and rights details). Thanks Mike for posting the draft, as you can see it helped a lot :P
https://bin.disroot.org/?201eb2f917f54abe#BScQ3Z3I6brGOHQOOvYZzfLS65HC5DdWatgRnw8G+vw=
Feedback very much welcome and needed.
https://bin.disroot.org/?201eb2f917f54abe#BScQ3Z3I6brGOHQOOvYZzfLS65HC5DdWatgRnw8G+vw=
Feedback very much welcome and needed.