1 Punkte von GN⁺ 2024-09-30 | 1 Kommentare | Auf WhatsApp teilen
  • Eine vierjährige FTC-Untersuchung ergab, dass neun Social-Media- und Video-Plattformen wie Facebook, YouTube und X personenbezogene Daten in großem Umfang sammelten und teilten, um Online-Verhaltenswerbung zu betreiben, während Verbraucher dies kaum wirksam kontrollieren konnten
  • Der Umfang der Erfassung ging über Aktivitäten innerhalb der Plattformen hinaus und erstreckte sich auf Aktivitäten auf anderen Websites und in Apps, Informationen über Nichtnutzer sowie von Drittanbietern gekaufte Daten; einige Unternehmen konnten die Datenquellen nicht genau benennen
  • Die meisten Unternehmen teilten personenbezogene Daten mit Dritten, doch einige konnten nicht einmal eine vollständige Liste aller Empfänger vorlegen; Prüfungen von Dritten oder Kontrollen zur Einhaltung von Nutzungsbeschränkungen fanden kaum statt
  • Die Überwachung erfolgte im Hintergrund, und Datenschutzeinstellungen waren intransparent oder nur begrenzt wirksam; einige Unternehmen löschten Nutzerdaten selbst nach Löschanfragen nicht tatsächlich
  • Die EFF sieht im Geschäftsmodell der Verhaltenswerbung den grundlegenden Druck hinter kommerzieller Überwachung und fordert Datensparsamkeit, Nutzerrechte, ein Verbot von Online-Verhaltenswerbung sowie ein starkes bundesweites Datenschutzgesetz mit privatem Klagerecht

Das Ausmaß kommerzieller Überwachung, offengelegt durch die FTC-Untersuchung

  • Der neue FTC-Bericht stützt die langjährigen Warnungen der EFF, dass große Tech-Unternehmen personenbezogene Daten für das Geschäft mit Online-Verhaltenswerbung sammeln und teilen
  • Die Untersuchung befasste sich über vier Jahre mit den Datenpraktiken von neun Social-Media- und Video-Plattformen, darunter Facebook, YouTube und X (ehemals Twitter)
  • Nicht alle untersuchten Unternehmen verletzten die Privatsphäre auf dieselbe Weise, doch insgesamt zeigte sich eine Struktur, in der Gewinn vor Privatsphäre stand

Sammlung personenbezogener Daten weit über die Erwartungen der Nutzer hinaus

  • Die Unternehmen verfolgten nicht nur Aktivitäten auf ihren eigenen Plattformen
    • Sie überwachten Aktivitäten auf anderen Websites und in Apps
    • Sie sammelten auch Informationen über Nichtnutzer
    • Sie kauften personenbezogene Daten von Datenbrokern Dritter
  • Einige Unternehmen konnten oder wollten der FTC nicht offenlegen, woher Nutzerdaten genau stammten
  • Zu den gesammelten Daten gehörten besuchte Websites, Standortdaten, demografische Informationen und Interessen
    • Zu den Interessen zählten auch sensible Interessen wie „divorce support“ oder „beer and spirits“
  • Einige Unternehmen konnten die erfassten Nutzermerkmale nur auf hoher Ebene beschreiben, während andere Tabellen mit Tausenden von Attributen einreichten

Weitergabe an Dritte und fehlende Überprüfung

  • Die meisten Unternehmen berichteten, personenbezogene Daten mit Dritten geteilt zu haben
  • Einige Unternehmen erklärten, sie teilten personenbezogene Daten so breit, dass sie keine vollständige Liste aller Dritt-Empfänger bereitstellen könnten
  • In den Listen jener Unternehmen, die Empfänger identifizieren konnten, fanden sich Strafverfolgungsbehörden und andere Unternehmen innerhalb und außerhalb der USA
  • Verfahren zur Überprüfung von Dritten vor der Datenweitergabe gab es bei den meisten Unternehmen nicht, und kein Unternehmen kontrollierte fortlaufend die Einhaltung von Nutzungsbeschränkungen
  • Selbst wenn Unternehmen Zwecke wie Analysen anführten, die vergleichsweise weniger eingriffsintensiv erscheinen, gibt es keine Garantie, dass Daten nur dafür verwendet werden
  • Das Fehlen solcher Schutzmechanismen setzt Verbraucher erheblichen Datenschutzrisiken aus

Datenverarbeitung, die Verbraucher kaum nachvollziehen können

  • Es mangelt an Transparenz darüber, wie personenbezogene Daten gesammelt, geteilt und verwendet werden
  • Wenn Unternehmen nicht einmal der FTC sagen können, mit wem sie Daten teilen, ist kaum zu erwarten, dass sie Nutzer darüber ehrlich informieren
  • Tracking und Weitergabe erfolgen im Hintergrund, sodass Nutzer schwer erkennen können, wie viel Privatsphäre sie auf einzelnen Plattformen aufgeben
  • Unternehmen sammeln nicht nur Daten von ihren eigenen Plattformen, sondern auch Nutzeraktivitäten im gesamten Web und Informationen über Nichtnutzer
  • Für Einzelpersonen ist es nahezu unmöglich zu verhindern, dass ihre Daten in riesige digitale Überwachungsnetze geraten
  • Selbst wenn Datenschutzkontrollen angeboten werden, sind sie oft intransparent oder nur begrenzt wirksam
  • Einige Unternehmen löschten Nutzerdaten auch nach einer Antwort auf Löschanfragen nicht tatsächlich
  • Das von der FTC behandelte Ausmaß und die Heimlichkeit kommerzieller Überwachung zeigen, dass die Last des Datenschutzes nicht allein einzelnen Verbrauchern aufgebürdet werden kann

Der Druck, den das Geschäftsmodell der Verhaltenswerbung erzeugt

  • Datenschutzverletzungen sind keine einmaligen Fehler, sondern ein Problem, das dem Geschäftsmodell der Online-Verhaltenswerbung innewohnt
  • Unternehmen sammeln riesige Datenmengen und erstellen detaillierte Nutzerprofile, um zielgerichtete Werbung auszuspielen
  • Die Einnahmen aus personenbezogenem Ad-Targeting treiben Unternehmen dazu, noch eingriffsintensivere Methoden der Datensammlung zu entwickeln
  • Die FTC kam zu dem Schluss, dass die Geschäftsmodelle der meisten untersuchten Unternehmen Anreize für Datenschutzverletzungen schaffen

Von der EFF geforderte bundesweite Datenschutzgesetzgebung

  • In Ermangelung eines bundesweiten Datenschutzgesetzes konnten Unternehmen die personenbezogenen Daten von Milliarden Nutzern mit kaum vorhandenen Schutzvorkehrungen sammeln und teilen
  • Der FTC-Bericht bestätigt das Scheitern der Selbstregulierung
    • Interne Datenschutzrichtlinien der Unternehmen sind uneinheitlich und unzureichend
    • Sie lassen Unternehmen Spielraum, Gewinn vor Privatsphäre zu stellen
  • Die FTC erklärte, es gebe „keinen Zweifel daran, dass sich das Ökosystem kommerzieller Überwachung ohne erhebliche Maßnahmen weiter verschlechtern wird“
  • Die von der EFF geforderten Gesetzgebungselemente sind drei
    • Datensparsamkeit und Nutzerrechte: Unternehmen sollten keine Daten über das hinaus verarbeiten dürfen, was zur Bereitstellung des vom Nutzer angeforderten Dienstes erforderlich ist, und Nutzer sollten Rechte auf Zugang, Übertragung, Berichtigung und Löschung ihrer Daten haben
    • Verbot von Online-Verhaltenswerbung: Um die eigentliche Ursache kommerzieller Überwachung anzugehen, müsse Verhaltenswerbung verboten werden; andernfalls würden Unternehmen Wege finden, Datenschutzgesetze zu umgehen, um weiter von eingriffsintensiver Datensammlung zu profitieren
    • Starke Durchsetzung einschließlich privatem Klagerecht: Angesichts begrenzter staatlicher Durchsetzungsressourcen müssen Einzelpersonen Unternehmen, die ihre Privatsphäre verletzen, verklagen können, damit Verstöße gegen Datenschutzgesetze nicht breitflächig andauern

Sofort mögliche Gegenmaßnahmen und ihre Grenzen

  • Die Nutzung von Online-Diensten sollte nicht bedeuten, dass personenbezogene Daten an zahllose Unternehmen weitergegeben werden, die damit nach Belieben verfahren können
  • Wer ein Website-Konto erstellt, sollte sich keine Sorgen machen müssen, dass beliebige Dritte Informationen erhalten oder jeder Klick zur Werbeausspielung überwacht wird
  • Die Erweiterung Privacy Badger der EFF kann helfen, einige der im FTC-Bericht genannten Tracking-Techniken zu blockieren
  • Das durch die FTC-Untersuchung offengelegte Ausmaß kommerzieller Überwachung lässt sich kaum mit einzelnen Tools lösen; nötig ist ein starkes bundesweites Datenschutzgesetz

1 Kommentare

 
GN⁺ 2024-09-30
Meinungen auf Hacker News
  • Kürzlich hat ein Unternehmen demonstriert, dass es innerhalb von 500 ms den beruflichen Werdegang, die Kreditauskunft und den Kontostand von Besuchern einer Website mit eingebettetem Tracking-Code anzeigen kann.
    Diese Informationen würden in einem Produkt zur Lead-Qualifizierung für Vertriebsteams genutzt, damit Vertriebsteams wissen, wem nachzugehen Zeitverschwendung ist und wem nicht.
    Das war wirklich gruselig, und die Gründer schienen keinerlei ethische Bedenken zu haben, solche Daten zu kaufen, zu verkaufen und zu nutzen.

    • Nichts davon ist korrekt, fast alles ist aus spärlichen, minderwertigen Trainingsdaten modelliert.
      Banken verkaufen keine Kontostandsdaten mit personenbezogenen Informationen an dubiose Aggregatoren.
      Noch interessanter und absurder ist, wie viele Aggregatoren es schaffen, solche Müll-Daten so erfolgreich zu verkaufen.
    • Kostenlose Startup-Idee: Trolley-Problem-Lösungs-SaaS.
      Man integriert so etwas mit Kennzeichendaten, Grundbuch-/Immobiliendaten, Personenerkennung und Echtzeitstandorten.
      Wenn ein autonomes Fahrzeug erkennt, dass es außer Kontrolle ist und eine unmittelbar bevorstehende Haftung nicht vermeiden kann, kann es eine API abfragen, die für jeden Verbraucher und jedes Eigentum in der Umgebung einen Ausweich-Score liefert, und so eine Kosten-Nutzen-Analyse pro potenziellem Opfer durchführen.
      Auf Basis dieses Scores kann das Fahrzeug die Route mit der geringsten Haftung finden; nicht identifizierten Zielen könnte man einen Score von 0 geben, um Verbraucher dazu zu bewegen, sich an solche Dienste anzubinden.
    • Als ich zum ersten Mal sah, dass die Spyware einer Marketing-Website sämtliche Mausbewegungen und Eingaben per Session Replay auf dem Computer eines Nutzers aufzeichnete, kam ich zu dem Schluss, dass das Internet ein Fehler war.
    • Was, wenn die Zielperson deine Tochter wäre?
      22 Jahre alt, Größe und Gewicht im Gleichgewicht, aber mit schwacher Entscheidungsfähigkeit.
      Oder dein Sohn?
      Ich habe gesehen, dass jungen Menschen, die Miete zahlen, solche Formulierungen angeboten werden: „Flex ermöglicht es Ihnen, Ihre Miete nach einem Zeitplan zu zahlen, der besser zu Ihrem Monatsbudget passt, und verschafft Ihnen Cashflow.“
      „Es hilft Ihnen, die Miete pünktlich zu zahlen, Ihren Cashflow zu verbessern und eine Kredithistorie aufzubauen.“
    • Ein Anbieter von Ad-Tracking-Technologie hat einmal eine ähnliche Demo gezeigt.
      Das war in Frankreich vor der DSGVO, und er hatte Partnerschaften mit mehreren Apps wie Wetter-Apps, um auf den Standort der Nutzer zuzugreifen.
      An die genaue Zielgröße erinnere ich mich nicht, aber es war ein großer Teil der französischen Bevölkerung.
      Er zeigte eine Karte von Paris und darauf, welche Route ein bestimmter Nutzer nahm, nachdem er sein Zuhause verlassen hatte, wie lange er vor welchem Geschäft stand und wie viel Zeit er in einem anderen Geschäft verbrachte.
      Mein damaliger Chef fand das ausgesprochen spannend.
  • Endlich. Alle „wissen“, dass Unternehmen buchstäblich Profit über alles stellen.
    Es ist schön zu sehen, dass die FTC zurück ist, und es wirkt so, als gebe es bedeutende Fortschritte nur bei strenger Regulierung.
    Ein anderes Paradebeispiel ist die EPA. Bevor Regulierung und Durchsetzung etabliert waren, war die Verschmutzung so schlimm, dass Menschen in manchen Städten draußen Gasmasken tragen mussten; bei FCKW-Emissionen war es ähnlich.
    Die Entwicklung des Internets hat sich vor allem unter konservativer Führung beschleunigt, die Regulierung zurückgedreht hat. In dieser Zeit gab es zwar viel Innovation, aber ich denke, wir hätten weit mehr erreichen können, wenn sie sich nicht in einem derart profitgetriebenen Umfeld konzentriert hätte.

    • Ich wünschte, die EPA hätte bei Lärmbelastung nicht versagt.
    • Auch Menschen wählen Geld statt Privatsphäre.
      Sie lehnen es nicht ab, bei solchen Unternehmen zu arbeiten, und verdienen viel Geld damit, solche Systeme umzusetzen.
    • Es stimmt, dass wir bessere Regulierung brauchen, um diese Unternehmen in den Griff zu bekommen, aber genau diese Unternehmen werden versuchen, Politiker und jeden, den sie können, zu kaufen.
      Das wird keine einfache oder schnelle Lösung sein; die Öffentlichkeit muss sich stärker einbringen, damit die nötigen Gesetze und Vorschriften verabschiedet werden.
    • Draußen eine Gasmaske tragen zu müssen klingt nach einem ziemlich schlimmen und konkreten Schaden durch mangelnde Umweltregulierung.
      Gibt es ähnlich konkrete Schadensbeispiele durch mangelnde Regulierung der Datenerfassung?
    • Vor der Regulierung kippten Unternehmen alles Mögliche in Flüsse, sodass es tatsächlich mehrere brennende Flüsse gab, und das wiederholt.
      Es ist wirklich unglaublich, dass manche Leute gelegentlich ernsthaft behaupten, man müsse das nicht verhindern.
  • Der Link zum Bericht steht am Anfang des Artikels:
    https://www.ftc.gov/news-events/news/press-releases/2024/09/...
    https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
    Bearbeitung: PDF-Link hinzugefügt

    • „Den erhobenen Daten zufolge behaupten viele Unternehmen, es gebe keine Kinder auf ihren Plattformen, weil ihre Dienste nicht an Kinder gerichtet seien oder weil sie Kindern die Erstellung von Konten nicht erlaubten“, heißt es im Staff Report.
      Es ist amüsant, wie sie Werbegruppen nach allen möglichen detaillierten Interessen und Kontexten fein granuliert aufschlüsseln, aber die Technik, festzustellen, ob jemand ein Kind ist, offenbar noch nicht perfektioniert haben.
      Das ist sicher eine äußerst elusive Technik, an deren Implementierung sie seit Jahren Tag und Nacht arbeiten.
      Fast so, als würden sie davon profitieren, sich unwissend zu stellen.
  • Wir haben also vier Jahre Untersuchung gebraucht, um uns zu sagen, was wir ohnehin schon wissen.
    Die eigentliche Frage ist, was die Bundesregierung oder sonst jemand dagegen unternehmen wird.

    • Viele fragen, warum man etwas untersucht und dokumentiert, das bereits „gesunder Menschenverstand“ ist.
      In der wissenschaftlichen Forschung ist es genauso, und es kann wie Geldverschwendung wirken.
      Aber bis man es tatsächlich getan hat, weiß man es nicht.
      Wissenschaftler und Beamte können sich nicht auf gesunden Menschenverstand berufen, und selbst wenn die Schlussfolgerung stimmt, sind die Details wichtig.
      Der Umfang ist wichtig, und der Wirkmechanismus ist wichtig.
    • Die Regierung wird nichts tun.
      Denn auch die Regierung will Überwachung betreiben, die sie per Gesetz nicht direkt durchführen darf.
      Wenn Unternehmensüberwachung existiert, kann die Regierung sie ebenfalls nutzen; also profitiert auch sie davon.
    • Was ich mir wünsche, ist eine Verfassungsänderung, die staatliche Eingriffe in die Privatsphäre verbietet, Gesetze, die dieses Recht auch auf Interaktionen zwischen Privatpersonen und privaten Akteuren ausweiten, ein Budget zur Durchsetzung dieses Schutzes, zivilrechtliche Sanktionen bei Rechtsverletzungen und Mittel für Gerichte, die solche Fälle behandeln.
      Was ich tatsächlich erwarte, ist höchstens, dass extrem invasive Überwachung auf im Inland kontrollierte Unternehmen beschränkt wird.
    • Dieser Bericht liefert einen Rahmen für Gesetzgebung.
      Er ist keineswegs nur „eine Wiederholung dessen, was wir ohnehin schon wissen“.
    • Viele Menschen glauben, Dinge zu „wissen“, die tatsächlich falsch sind.
      Diese Untersuchung ist ein wichtiger erster Schritt, damit die Regierung sicher ist, was vor sich geht, bevor sie staatliche Macht ausübt, und das ist gut.
      Staatliche Machtausübung auf Basis von Stimmung oder Gerüchten ist nicht wünschenswert.
      Die FTC unter Biden ist gegen viele verbraucherfeindliche Praktiken in der gesamten Wirtschaft ziemlich aggressiv vorgegangen, und auf solche Berichte folgen tendenziell entsprechende Maßnahmen.
      Ich denke, es wird relativ bald zu Handlungen kommen.
  • Die Informationen, die Kreditauskunfteien und Banken speichern, sind weitaus beängstigender.
    Sie wissen, wo du überall gearbeitet hast, welches Gehalt du dort hattest und wo du gewohnt hast.
    In letzter Zeit gab es so viele Leaks, dass inzwischen jeder solche Informationen im Dark Web finden kann.

  • Diese Sache ist schon vor mehr als zehn Jahren aus dem Stall gelaufen.
    Früher habe ich in Security und Datenschutz gearbeitet, um die Risiken der heraufziehenden Cyberpunk-Dystopie der Unternehmen zu verringern, aber inzwischen halte ich ein staatliches Überwachungsmonopol für das schlimmste Ergebnis.
    Die wirkliche Lösung besteht darin, bestimmte Kategorien personenbezogener Daten in zivilrechtlichen und nicht gewaltsamen strafrechtlichen Verfahren rechtlich zu privilegieren oder auszuschließen, je nachdem, wie sie erhoben wurden, und in Angeboten und Verträgen offenzulegen, aus welchen Quellen personenbezogener Daten stammen, die für geschäftliche Entscheidungen wichtig sind.
    Dann müssten Versicherer und Gläubiger wieder echte Risiken tragen, statt sich wie Rent-Seeker zu verhalten; die Polizei müsste Diener der Öffentlichkeit sein, nicht Herrscher; und sie müsste nachweisen, dass die als Beweismittel verwendeten personenbezogenen Daten aus legalen, regulierten Quellen stammen, einschließlich ausdrücklicher Zustimmung.
    Den Fluss der Datenerhebung können wir nicht stoppen, aber wir können die Gesetze zu seiner Steuerung verbessern.

    • Es geht nicht darum, sich für eines von beiden zu entscheiden.
      Wenn man die Erhebung personenbezogener Daten einfach verbietet, kann das sowohl für den Staat als auch für Werbetreibende gelten.
      Information ist Macht, und wenn Versicherer und Produzenten alles über dich wissen, wirst du ausgepresst wie ein armes Opfer.
      An schlechten Tagen glaube ich manchmal, dass Menschen, die Informationen übermäßig teilen, sich dieses Schicksal selbst eingebrockt haben; aber es gibt kaum ein Argument dagegen, Datenerhebung zu regulieren oder Unternehmen bei Leaks mit ernsthaften finanziellen Strafen hart in die Verantwortung zu nehmen.
      Die Regulierung an sich wäre wohl nicht schwierig. Die Durchsetzung schon, aber für viele Unternehmen könnte schon der Versuch zu riskant sein.
  • Ich bin inzwischen der Ansicht, dass die Werbeindustrie viel schlimmer ist als der militärisch-industrielle Komplex, und hoffe, dass eines Tages eine höhere Macht die beteiligten Führungskräfte mit großer Rache und grimmigem Zorn bestraft.

  • Ich halte es für heuchlerisch, wenn der Staat die Überwachung durch private Unternehmen reguliert.
    Bei den Datenerfassungstechniken solcher Firmen hat man die Möglichkeit, sie nicht zu nutzen; staatliche Überwachung kann man nicht ablehnen.
    Spielen wir nicht das Spiel, den Staat zur guten Seite und Unternehmen zur bösen Seite zu erklären.

    • Dann wenden wir dasselbe doch auch auf Waffen an.
    • Wenn man nicht will, dass Unternehmen dieselben Rechte haben wie der Staat, ist „Heuchelei“ hier völlig das falsche Wort.
      Natürlich sollte der Staat, ganz unabhängig davon, solche Informationen ebenfalls nicht sammeln.
    • Ich will staatliche Überwachung nicht verteidigen, aber zumindest bietet sie mir ein gewisses Gefühl von Sicherheit und uneigennütziger Strafverfolgung, auch wenn das umstritten und vielleicht bloß eine Illusion ist.
      Private Ermittler liefern nur endlosen Werbematsch, und das zermürbt mich jeden Tag.
    • Zu glauben, man könne sich der massiven, allgegenwärtigen Datenerfassung durch Unternehmen einfach entziehen, ist extrem naiv.
      Spielen wir auch nicht das Spiel, Unternehmen zu unschuldigen Zuschauern und den Staat zum bösen Gegner zu erklären.
  • Wir tappen hier nicht im Dunkeln.
    Es ist nicht mehr 2016, und wer diese Unternehmen nutzt, weiß sehr genau, was sie tun.
    Werdet erwachsen, übernehmt Verantwortung für die Nutzung dieser Dienste oder löscht eure Daten und geht.
    Für jemanden, der 2024 davon schockiert ist, habe ich überhaupt kein Mitgefühl.
    Und du besitzt deine Daten nicht.
    Schon die Idee ist inzwischen eine sinnlose Absurdität.
    Wenn man das akzeptiert, wird das Leben deutlich einfacher.
    Wenn du Aktienkurswachstum und Tech-Jobs willst, gehört das zum Deal.
    Ich habe das nicht geschaffen und bin nicht dafür verantwortlich, aber so sieht die Realität aus.

  • Damit würde optimale globale Preisgestaltung zu einer irrsinnigen Welt führen.
    Jeder Gegenstand würde mit dem Höchstbetrag bepreist, den die jeweilige Person zahlen kann; aber die Menschen würden viel weniger konsumieren und unglücklicher werden, sodass das gesamte System zusammenbräche.