Stephan Maus - ouroboros@social.stephanmaus.de

Stephan Maus

ouroboros@social.stephanmaus.de

Writer & Journalist (staff reporter @ "stern"-magazine, a German weekly)

Location:: Germany

Gender:: Male

Homepage:: www.stephanmaus.de

Stephan Maus

Thu, 24 May 2018 16:18:20 +0200 last edited: Thu, 24 May 2018 16:18:38 +0200

Marina Weisband über #DSGVO:
"Das Schlimmste ist aber, dass soziale Netzwerke mit dezentraler Datenspeicherung, zum Beispiel #Diaspora, rechtlich enorme Probleme mit der DSGVO und dem Recht auf Löschung bekommen, weil ihre Daten gar nicht von einer Instanz verwaltet werden. Das ist aber genau die Art von Dienst, in den ich so große Hoffnung gesetzt hatte. Denn soziale Netzwerke haben immer einen Drang zum Monopol - wo alle sind, will man selbst auch sein - und nur dezentrale Speicherung verhindert Machtkonzentration."
Kolumne - Vor wem soll mich die DSGVO schützen?

Der Staat verspreche, uns durch die Datenschutz-Grundverordnung vor Unternehmen Facebook und Google zu schützen, sagt Marina Weisband in ihrer Kolumne. Doch die sozialen Netzwerke würden im Zweifel profitieren. Vor allem aber vor dem Staat selbst müssten Nutzer ihr Daten schützen.

show all 34 comments

atarifrosch

Thu, 24 May 2018 17:30:55 +0200 from GNU-Social

Hm, da bräuchte es ein Äquivalent zur Cancel-Message im Usenet, mit einer akzeptierten Signatur.

cb7f604332cf39

Thu, 24 May 2018 17:46:35 +0200

Bei den ganzen Netzwerken die im Fediverse / Föderation mit einander kommunizieren, klingt es für für mich komisch, wenn sie von einer zentralisierung der Solzialen Netzwerke schreibt. Ich finde, da ist in den letzten Monaten viel Bewegung drin.

Löschfunktion und Signaturen gibt es bei Hubzilla zumindest.

Carsten ✓

Thu, 24 May 2018 18:00:36 +0200

Ich lese es so, dass sie vom Gegenteil schreibt. Im Detail finde ich es auch nicht so wichtig, wichtig finde ich, dass da überhaupt mal sowas auf den Tisch packt.

Carsten ✓

Thu, 24 May 2018 18:18:06 +0200 last edited: Thu, 24 May 2018 19:21:19 +0200

Zu viel würde ich Marina Weisband auch nicht unterstellen: Ich schätze, sie ist weder auf Diaspora noch im Fediverse vertreten, und obwohl sie sich doch "in den letzten Monaten, wie die meisten meiner KollegInnen, mehr oder weniger panisch mit der DSGVO rumgeschlagen" hat, findet sich auf ihrer eigenen Seite keine Datenschutzerklärung.
Startseite
by Marina Weisband on Marina Weisband

cb7f604332cf39

Thu, 24 May 2018 19:24:45 +0200

Gegen die Polizei oder den Staat im Allgemeinen wird sie kaum eine Handhabe haben.
Technische Mittel helfen nicht gegen soziale Probleme.
Wir haben in den letzten Legilaturperioden oft genug gesehen, dass staatliche Machschaften nicht legal oder in einer Grauzone waren - und was ist passiert? Diese Machenschaften wurden legalisiert und Gesetze extra dafür angepasst oder geschaffen. Der letzte Höhepunkt sind wohl die neuen Polizeigesetze in den Ländern.

Und so wird das Spiel auch weitergehen. Ich sehe die DSVGO erstmal positiv, hat aber nichts direkt mit der Staatsgewalt zu tun.

Tim Schlotfeldt ⚓

Thu, 24 May 2018 19:44:49 +0200

Ich konnte mich in den letzten Wochen mit einigen Leuten darüber austauschen, wie förderierte Systeme von der #DSGV betroffen sind. Grundtenor war, dass es uns schwer fallen dürfte, als Betreiber eines solchen Systems alle Aspkete der Verordnung berücksichtigen zu können. Alleine schon die Einbettung eines YouTube-Videos eines Postings auf einem, sagen wir mal, japanischem System, dass dann nach Europa durchgereicht wird, ist problematisch. Mit meinem Rootserver kann ich die Verabntwortung.auch nicht zum Hoster wegdelwgieren.

Carsten ✓

Thu, 24 May 2018 20:24:09 +0200 last edited: Thu, 24 May 2018 20:30:58 +0200

Das Problem verstehe ich nicht. Dass ein Server in Japan steht, ist ja erst mal egal, es geht um die Einbettung des YouTube-Videos. Eine solche Möglichkeit kann ich ja rechtskonform ankündigen, fertig ist die Laube. Zur Not untersage ich Einbettungen, dann bin ich weit raus aus solchen Geschichten. Und ist die Angst, dass die eigenen User die Betreiber verklagen? Die Datenschutzbeauftragten werden sicher was besseres vorhaben also solche Seiten hochgehen zu lassen.

Ravenbird

Fri, 25 May 2018 21:00:45 +0200 from Diaspora

In der Tat könnte das ein saftiges Problem werden bzw. ist es schon. Den durch das DSVGO wird nicht nur Facebook, Google & Co. angreifbar, sondern auch all die kleineren und größeren Projekte.

Die Frage ist wie man dem begegnen kann. In meinen Augen wird man wohl um ein vollkommenes Redesign bzw. etwas ganz neues nicht wirklich herum kommen. Den die Federation sowie die dazu passende Serversoftware passt mit dem DSVGO so wie sie jetzt gestaltet ist und funktioniert nicht zusammen.

Carsten ✓

Fri, 25 May 2018 23:30:09 +0200

Eigentlich klappt es schon ganz gut: Innerhalb von Hubzilla löscht sich alles auf anderen Servern gut weg, wenn ich auf meiner Instanz etwas lösche. Darüber hinaus wird der Nutzer nicht umhinkommen, Server, auf denen er meint, dass er etwas gelöscht haben möchte etc. direkt zu kontaktieren.

So wie hier geunkt wird, wäre allerdings quasi jeder Tweet, den ich auf meinem Rechner/ meiner App lese, eine Kopie des Originals, der keine direkte Einverständniserklärung unterliegt. Da wird einfach nachzubessern sein, da könnte geklagt werden, aber vor Gericht wird man erklären können, dass hier ein normales Vorgehen innerhalb des Internets vorliegt, ohne das es gar nicht existieren könnte.

Ravenbird

Fri, 25 May 2018 23:48:46 +0200 from Diaspora

Evtl. interessant dafür: https://www.zdf.de/kultur/aspekte/blogger-enno-park-zur-dsgvo-100.html

Stephan Maus

Sat, 26 May 2018 00:04:19 +0200

Auch interessant:
Wie ich heute in meinem Blog etwa 3000 Kommentare aus 17 Jahren löschte – Enno Park

Noch drei Tage bis die DSGVO gilt, da musste ich dringend mal mein Blog anpassen, schließlich werbe ich hier auch für meine Tätigkeit als Publizist, was keine „rein private“ Nutzung ist. Das geht aber alles ganz einfach, wie zahlreiche Datenschützer nicht müde werden zu versichern. Also erstmal brauchst du eine Datenschutzerklärung, in de...

Ravenbird

Sat, 26 May 2018 00:14:23 +0200 from Diaspora

Durch die Sache mit der rein privaten Nutzung dürften aber alle privaten Sachen ohne Werbung, Product Placement & Co. außen vor sein. Das freut mich als jemand der derartiges Betreibt außerordentlich. Allerdings bringt das im Bezug auf Diaspora, Friendica & Co. recht wenig.

Carsten ✓

Sat, 26 May 2018 00:17:41 +0200 last edited: Sat, 26 May 2018 07:06:35 +0200

Naja, allenfalls in negativer Hinsicht: Wieso setzt man sich als Experte vor eine Kamera und labert dann sowas? Es ist kein Problem aus einer Datenbank eines dezentralen sozialen Netzwerks einen gespeicherten Nutzer und seine Posts rauszufiltern, in einer neuen Datei zu speichern und herauszugeben. Enno Park benutzt ein WordPress-Blog. Die Software hat extra zur DSGVO eine Funktion erhalten, um sehr einfach Daten zu einem identifizierbaren Person zu exportieren. Und *hust* soooo viele Kommentatoren hat der nun wohl auch nicht gehabt.

Carsten ✓

Sat, 26 May 2018 00:21:52 +0200

Nein, das ist von Enno Park auch falsch dargestellt: Eine Internetseite ist schon dann nicht mehr bloß privat, wenn sie sich an Leute richtet, die man nicht kennt.

Rudolf Goldman

Sat, 26 May 2018 01:39:53 +0200 from Diaspora

Durch die Sache mit der rein privaten Nutzung dürften aber alle privaten Sachen ohne Werbung, Product Placement & Co. außen vor sein.

nein, da kann die private sache noch so antikapitalistisch sein. wenn die datensammlung unverhältnismäßig ist im auge des gesetzes, dann bekommste was hinter die ohren.

Carsten ✓

Sat, 26 May 2018 07:34:54 +0200

https://netzpolitik.org/2018/bussgelder-bei-datenschutzverstoessen-angst-vor-einem-phantom

Ravenbird

Sun, 27 May 2018 05:39:17 +0200 from Diaspora

Hm gut die Frage ist was unverhältnismäßig ist.

Carsten ✓

Sun, 27 May 2018 08:17:39 +0200

Im relevanten Gesetz ist weder von einer Verhältnismäßigkeit einer Datensammlung noch von antikapitalistisch die Rede.

diritschka

Sun, 27 May 2018 08:24:18 +0200 from Friendica

Es gibt keine Realnamenzwang. Sind das dann überhaupt meine Daten?

diritschka

Sun, 27 May 2018 08:52:21 +0200 from Friendica

Carsten ✓

Sun, 27 May 2018 12:58:49 +0200

Sofern du durch andere Angaben identifiziert werden kannst, ja. Für Instanzenbetreiber wird es natürlich schwierig, z.B. Bilder einer Person zuzuordnen, die er selbst gar nicht kennt. Der Name "Thomas Müller" alleine wäre wohl auch nicht genug, um von einem eindeutigen Personenbezug auszugehen, da das einer der häufigsten Namen in Deutschland ist. Da hätte ich es einfacher.

diritschka

Sun, 27 May 2018 13:32:35 +0200 from Friendica

Das Tracking fällt ja weg. Und wenn ich selber sparsam mit identifizierbaren Darstellungen (Arbeitgeber, Wohnadresse, Handynummer, ...) umgehe, gibt es keinen Bedarf, dass ich meine Daten per DSGVO zu löschen verlange. 😀

Carsten ✓

Sun, 27 May 2018 14:50:01 +0200

Tja, ist halte die Frage, was das Cookie da macht, das squeet.me setzt

. Dem Profiling wird es aber wohl nicht dienen. Es gibt ja Cookies, die erlaubt sind, und solche, die verboten sind, wer soll das von außen beurteilen? Andererseits kann es ja interessant sein, zu sagen, dass man auf bestimmten Seiten nicht erscheinen möchte, wenn z.B. eine unliebsame Partei eine Instanz aufmacht. Da kann man ja dann ein P vor machen, wenn man per Profilbild identifizierbar ist.

Ravenbird

Sun, 27 May 2018 17:56:22 +0200 from Diaspora

Wäre trotzdem wichtig die Lücken des Gesetzes zu beseitigen und es so zu gestalten das auch normale Privatpersonen problemlos damit arbeiten können.

diritschka

Sun, 27 May 2018 18:16:13 +0200 from Friendica

Lücken? Du meinst die Scheunentore bzgl. staatlicher Sammlung von Daten über mich?

cb7f604332cf39

Sun, 27 May 2018 18:51:12 +0200

@Carsten Herkenhoff: Wissenschaftlich reichen 8 unterschiedliche Merkmale aus, um eine Person hinreichend eindeutig zu identifizieren.
z.B. Schuhgröße, Automarke, Stadt, Haarfarbe, Körpergröße, Geschlecht, Lieblingsessen, Sportverein.

Nach der neuen DSVGO gelten zusätzlich Informationen wie IP-Adresse des Handies/Computer in Kombination mit Uhrzeit nun auch als personenbezogenes Datum.

Die neue Verordnung soll Dir Deine Rechte zurückgeben. Du sollst entscheiden können wer welche Daten von Dir zu welchem Zweck erhebt und wer das nicht darf. Du darfst als User entscheiden, was Du veröffentlichst und was nicht.
Bisher haben die Unternehmen alles eingesammelt, was sie bekommen konnten und haben es verarbeitet - zu 90% ohne, dass es den Leuten bisher bewusst war.

Jeder kann (als User) nach wie vor durch die Welt laufen und allen alles erlauben. Auch wenn es nicht empfehlenswert ist, kann man dies so machen.

Verarbeitende Systeme / Firmen haben nun transparent dar zu legen, welche Daten wozu erhoben werden und müssen Wiederspruchsmöglichkeiten bieten.

Aus Sicht eines Users ist die neue Verordnung schon ganz ok, die Frage ist nun was die Data Mining Firmen nun daraus machen.

Ravenbird

Sun, 27 May 2018 22:33:08 +0200 from Diaspora

Naja die Verordnung hat wenn ich es recht sehe schon große Lücken und Schlupföcher. Dazu kommt das das was das DSGVO fordert von Privatpersonen mit ihren kleinen Webpräsenzen oftmals gar nicht umgesetzt werden kann. Darüber hinaus dürfte es für dezentrale Systeme die nicht von Grund auf entsprechend ausgelegt sind ziemlich problematisch sein, da damit ja Daten kreuz und quer verteilt werden und man außerhalb des Servers auf dem man sitzt keine wirkliche Kontrolle mehr über seine Daten hat.

Carsten ✓

Sun, 27 May 2018 23:33:29 +0200

Da fehlt sicherlich Rechtssprechung, aber Privatpersonen können eigentlich z.B. bei WordPress sehr leicht die DSGVO umsetzen. Und wieso sollte eine Fediverse-Instanz dafür haften, dass jemand seine eigenen Daten an andere Instanzen schickt? Selbst wenn es fremde Daten sind, gilt das Verursacherprinzip.

Martin G.

Fri, 01 Jun 2018 08:09:24 +0200

Für die, die es noch nicht gelesen haben: Die DSGVO-Abmahnmaschine läuft längst. Und zwar vollautomatisiert mit Webcrawlern.

diritschka

Fri, 01 Jun 2018 10:25:16 +0200 from Friendica

@Martin G. Automatisierte Abmahnung werden i.d.R. einkassiert. Ist nicht erlaubt. Ja, es wird eine Reihe von Menschen geben, die in Trance die Abmahnung trotzdem bezahlen.

cb7f604332cf39

Fri, 01 Jun 2018 10:36:31 +0200

@Carsten Herkenhoff: Hubzilla kann man nicht einfach mit Wordpress vergleichen.

Wenn ein User sich den Nachrichtenstream auf einem Hubzilla Server anschaut bekommt er ggf auch Content von fremden Diensten (z.B. Youtube) embedded angezeigt. Der Browser des User hollt sich dann den Content vom Drittanbieter ohne dass der User sich dessen bewusst ist.
Der Betreiber des Hubzilla Servers leitet also mit seinem Service Content von 3ten an User um.
Der User wird beim Drittanbieter (z.B. Youtube) Daten in Form von IP-Adressen oder einen Referrer hinterlassen und auch Cookies enpfangen.

Wer hat dies nun als Verursacher zu verantworten?
Youtube?
Der User der das Video teilt?
Der einspeisende Hubzilla Server?
Der empfangende Hubzilla Server?
Der empfangende Channel?
Ganz so einfach befürchte ich kommen wir nicht aus der Nummer raus.

Carsten ✓

Fri, 01 Jun 2018 11:36:38 +0200

Genau in dem Fall kann man WordPress ganz einfach mit Hubzilla vergleichen. Als Hubzilla-Admin obliegt es mir, in welcher Form Youtube-Videos eingebettet werden. Ich kann es auch ganz unterbinden, falls ich es möchte. Es ist noch nicht klar, ob das Anzeigen eines Vorschaubildes durch eine Verbindung zu YouTube verboten ist. Davon abgesehen lässt Hubzilla YouTube keine Cookies setzen.

Erik Pischel

Fri, 01 Jun 2018 13:18:54 +0200 from Diaspora

Für Wordpress gibt es plugins, die bei eingebetteten YouTube Videos zunächst vom lokalen Server das Vorschaubild von yt lädt und dies dem Client präsentiert. Dieser muss drauf klicken und erst dann wird die Verbindung Client - YouTube aufgebaut. So wird erreicht, dass nur beim abspielen des Videos, das der Nutzer selbst initiiert, tatsächlich Daten des Nutzers an YouTube weitergeleitetet werden.

Carsten ✓

Sat, 02 Jun 2018 13:11:01 +0200

Korrekt, aber damit begeht man meist eine Urheberrechtsverletzung, weil man kein Recht zur Veröffentlichung des Vorschaubildes hat.

Stephan Maus

Thu, 24 May 2018 07:16:23 +0200 last edited: Thu, 24 May 2018 07:19:16 +0200

Sehr interessante Doku über die Entstehung der #DSGVO. Schnell gucken, bevor es aus der Mediathek verschwindet.
Dokumentarfilm im Ersten: Im Rausch der Daten | Reportage & Dokumentation

Eine fesselnde und hochbrisante Geschichte über eine Handvoll Politiker, Lobbyisten, Diplomaten und Bürgerrechtler, die um den Schutz der Privatsphäre in der digitalen Welt ringen.

Thomas Runge

Thu, 24 May 2018 13:17:42 +0200

Danke für den Tipp, Stephan!

hEARt PhoniX

Fri, 25 May 2018 02:05:37 +0200

Stephan Maus

Tue, 22 May 2018 23:30:40 +0200

Zuckerberg-Hearing in Brussels: 15 minutes

Me, trying to understand #DSGVO and to update my website accordingly: 4 hours 45

show all 16 comments

Mike Macgirvin

Wed, 23 May 2018 01:33:12 +0200

Since everybody else seemed to go into paralysis about what to do, I added a privacy policy to the dev branch which covers the main points and should be a good start. You're welcome to improve on this (a French translation landed the next day), but at least it's *something* and that's so much better than *nothing*. To be fully compliant you may need to edit that document and add some contact information at the end. This will cause merge conflicts if somebody changes the source file (highly likely) so that will need to be addressed.

Carsten ✓

Wed, 23 May 2018 07:34:24 +0200

Thank you!

Haakon Meland Eriksen (Parlementum)

Wed, 23 May 2018 07:51:48 +0200

Thank you, Mike - well done! I got this from Moodle this morning - https://moodle.com/privacy-policy/ and suggest people read both Mike's and that one to see how it can be done at your hub.

Stephan Maus

Wed, 23 May 2018 08:17:18 +0200 last edited: Wed, 23 May 2018 08:18:10 +0200

Isn't that crazy? We are writing stuff on the web. And have to copy & paste "Ulysses"-long legal Docs in our sites...

Carsten ✓

Wed, 23 May 2018 09:04:58 +0200

Well, only if you're hosting a site yourself that is readable and also meant for others that don't belong to your family. That's not too crazy. If you're buying a bottle of water they have to write on the bottle that there's water in the bottle. They don't have to write there's air in the bottle.

Stephan Maus

Wed, 23 May 2018 09:26:36 +0200

It's like stickers on American toasters: "This toaster is dangerous. It can burn down your house, kill your dog and make you unhappy for the rest of your life. But anyway: Bon appétit !"

Martin G.

Wed, 23 May 2018 09:47:17 +0200

The problem currently is that we need something safe and watertight (preferably something that isn't a hack) within less than 48 hours. In the stable branch. And "we" means everyone who runs a hub anywhere in the EU, whether public or private.

Even if we implement it later, server owners may have to prove that they've been compliant with the new laws starting May 25h, midnight local time. Which they most likely can't because they haven't.

muppeth

Wed, 23 May 2018 11:20:27 +0200

Not sure we have to worry about GDPR. Hubzilla is perfect example of how internet public services should operate. If hubzilla is not GDPR complient starting already from the concept of what it is, then I dont know what is.

I wonder about embeded links and i f there would be a way for users to switch them off if they desire.
For example this is our privacy policy: https://disroot.org/en/privacy_policy and tos: https://disroot.org/en/tos
We've looked at it the last days but not sure there is anything we would need to add to be more gdpr complient. If anyone would like to give some feedback please do. Any changes I think of, such us information about embed links seem very comsmetic and not a reason to send out thousands of emails (like the rest of the internet does for the last week).

Mike Macgirvin

Wed, 23 May 2018 11:42:24 +0200

You can block all embeds and just present a link if you want. admin/security is the place to look

muppeth

Wed, 23 May 2018 12:02:48 +0200

@Nike yes, but thats not a per user option.

Carsten ✓

Wed, 23 May 2018 16:03:32 +0200

Why should it? A user is not responsible as long as he's not officially nominated as the responsible person.

muppeth

Wed, 23 May 2018 16:27:22 +0200 last edited: Wed, 23 May 2018 16:27:58 +0200

Yes. but then user could decide whether he prefers to be monitored say by youtube or not. So instead of giving users choice (you want embeds or not), you as a user have none (either your hub does embeds or not).

Carsten ✓

Wed, 23 May 2018 16:34:44 +0200

That's a point.

Carsten ✓

Wed, 23 May 2018 16:38:27 +0200

On the other side people can do that with the µMatrix plugin.

Waitman Gobble

Wed, 23 May 2018 20:32:41 +0200

default contact info?

attn: Santa Claus
325 S. Santa Claus Lane
North Pole, Alaska 99705

by phone: Jenny 867-5309

muppeth

Thu, 24 May 2018 12:40:53 +0200

Did some additions to our privacy policy (mainly structure and adding the controller and rights details). Thanks Mike for posting the draft, as you can see it helped a lot :P
https://bin.disroot.org/?201eb2f917f54abe#BScQ3Z3I6brGOHQOOvYZzfLS65HC5DdWatgRnw8G+vw=

Feedback very much welcome and needed.