#Schrems2

@kim_harding Some do what they can, few others don't care, but #Schrems2 suggested long ago we should isolate physically, if not abandon entirely

@rodgerd @GossiTheDog As it is with any other US controlled setup - EU should have been #Schrems2 compliant already, but I don't think many actually are #privacy #sustainability #continuity #gdpr

Der aktuelle »Infobrief Recht« des #DFN liefert knapp und aktuell genau das Informationsmaterial, um eurer #Hochschule beim Thema #Datenschutz auf die Sprünge zu helfen:

https://www.dfn.de/wp-content/uploads/2022/12/Infobrief_Recht_02-2023.pdf

DFN ist der Verein zur Förderung eines Deutschen Forschungsnetzes e.V. Er betreibt u.a. das Netz, das die deutschen Hochschulen mit dem Internet verbindet.

Inhaltsverzeichnis:
– Datenschutzkonferenz veröffentlicht Hinweise zur datenschutzkonformen Forschung mit #Gesundheitsdaten
– EU-Kommission entwirft Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA ← betriff #Zoom & #GAFAM-Clouds; Spoiler: sie lassen sich in der EU weiterhin nicht rechtssicher nutzen
– Immer mehr öffentliche Stellen nutzen Mastodon statt Twitter
– Google brings light into the dark (pattern)

#cloud #dsgvo #Forschungsnetz #InternetRecht #darkpattern #edumastodon #BehördenMastodon #schrems2 #schrems3 #cookiewall #infobrief #recht #infobriefrecht /cc @noybeu @digitalcourage

@stefanmuelller

Jede Cryptoparty ist anders. Es geht jedenfalls nicht nur ums Verschlüsseln. Eins haben alle Cryptoparties gemeinsam: Es geht nicht um Cryptowährungen. (Leider haben die Crypto-Bros das Schlagwort Crypto für sich vereinnahmt.)

Aber zurück zum Thema: Persönenbezogene Daten dürfen nach aktueller Gesetzeslage nicht in US-Clouds abgelegt werden (s. #Schrems2-Urteil und #DSGVO).

Es gibt kostenlos nutzbare #E2E-verschlüsselte #CryptPad-Instanzen. Die enthalten ein komplettes OnlyOffice, das einen ähnlichen Funktionsumfang hat wie die Online-Offices von Microsoft und Google. Der Unterschied ist, dass die Daten bei CryptPad zu jedem Zeitpunkt verschlüsselt sind – auch auf dem Server.

Natürlich muss man irgendwie an die Daten rankommen. Dafür gibt es Share-Links. Wenn die wirklich nur über interne, E2EE-Verschlüsselte Chats (z.B. Signal oder Matrix) verschickt werden, gibt es kein Problem.

Ich empfehle die CryptPad-Instanz von @digitalcourage: https://cryptpad.digitalcourage.de

#E2EE

The European Commission has published its draft on a new EU-U.S. Data Privacy Framework to pave the way for legal data flows btw the two continents. It will now move through a robust stakeholder consultation that includes examination and nonbinding opinions from the European Data Protection Board, the Council of the European Union and European Parliament. #Schrems2 #privacyshield #privacy #gdpr
https://iapp.org/news/a/eu-us-draft-adequacy-decision-arrives-eu-process-begins-in-earnest/

A new pact on transatlantic flows btw the #eu and the #us likely to be finalized before July and stands a 7-8 out of 10 chance to win the third time after the two previous pacts were annulled by the European Court of Justice, accoding to EU Justice Commissioner Didier Reynders in #politico #Schrems2
https://www.politico.eu/article/eu-justice-chief-confident-new-us-data-pact-will-survive-legal-challenge/

@bohrwol @marxist @mailbox_org @kuketzblog @snafu

Nein, Zoom überträgt immer personenbezogene Daten in die USA. Die bieten kein ausreichendes Datenschutzniveau, wie in #Schrems2 festgestellt wurde. /c

Lektion gelernt: Wenn man den billigen #S3-kompatiblen #Objektspeicher von #Wasabi.com nutzt, hat man weniger als 24 Stunden Zeit, um auf deren Warnung wegen zuviel Datentransfer zu reagieren.

Mein Account wurde deaktiviert – weniger als 18 Stunden nachdem Wasabi die E-Mail mit dem Warnhinweis an mich geschickt hatte. An die #Cloud-Daten kam ich nicht mehr ran. Inzwischen wurde er reaktiviert, nachdem ich meinen Cache repariert hatte und das deren Tech-Support erklärt hatte.

In Wasabis günstig klingendem Pay-go-Tarif darf pro Monat nur soviel heruntergeladen werden (#Egress) wie man dort Daten abgelegt hat.

Personenbezogene Daten darf man da eh nicht speichern, weil US-Unternehmen – auch wenn man deren Datacenter in der EU nutzt (#Schrems2). Jetzt weiß ich, dass man da nur Daten speichern sollte, die man noch woanders hat.

#TIL #ObjectStorage #payg

Oberlandesgericht Karlsruhe: Kein Ausschluss aus Vergabeverfahren wegen Einbindung luxemburgischer Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Anbieterin

Damit ist die durchaus beachtliche, aber auch umstrittene Entscheidung der #Vergabekammer vom Tisch

Die Probleme mit #Schrems2 bleiben uns erhalten - pauschale Ansagen helfen dabei nicht weiter

Aber unsere Orientierungshilfe https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/10/OH-int-Datentransfer.pdf

https://oberlandesgericht-karlsruhe.justiz-bw.de/pb/,Lde/10537397

@aral @ekaitz_zarraga @Pixificial @craigmaloney@octodon.social

Little follow up about the #HackingLicense.

It has been adoped by #MonitoraPA, an automatic and distributed observatory written in #Python with the explicit goal to be easy to hack and run for any teenager who just learnt the language from an online tutorial.

On our first run we detected 7833 public administrations' websites using #GoogleAnalytics.

We formally requested all of their DPO and Data Controller to remove it as its usage is in violation of #GDPR as established by the #Schrems2 sentence of @Curia (thanks to @noybeu).

Two weeks later, almost 4000 italian public administrations (several hundreds of schools!) that were sending to #Google detailed data about every page visit, removed Google Analytics.

More details about the project are available (in Italian) at https://monitora-pa.it

Next week we will officially run our observatory again, we will notify again PA that still have Google Analytics in violation of #GDPR, but we will also escalate to the various Authorities that Italian and European Law provide.

And obviously, Google Analytics is just a starting point!

We are refactoring our code to make it trivial to add more conformity checks even beyond the web and to run it over different data sources so that people can easily run our observatory over any set of websites, from political parties to football clubs.

And in the July's run, we hope to detect and request removal for at least #GoogleFont connections and #Facebook Tracking Pixels too.

Obviously we got several powerful enemies. #Google for first, but also several Italian lawyers and administrators that did not protected citizens personal data.

And among them, quite expected, compromised organizations like #OSI that are spreading #FUD about our license of choice without even reading it or trying to help us to improve it.

https://github.com/hermescenter/monitorapa/issues/39#issuecomment-1140274175

Danke für die Information, @bfdi
- das war mir bisher so nicht klar.

Mich würde aber trotzdem interssieren, ob die Situation seitens der zuständigen Stellen in D ähnlich beurteilt wird.
Eine inhaltliche Auseinandersetzung mit Diensten wie #GoogleAnalytics und den Auswirkungen von #Schrems2 auf die Nutzung dieser Dinste wird es ja sicherlich auch in Ihren Zuständigkeitsbereichen schon gegeben haben, oder?
@lfdi @noybeu

Spannendes Thema in der #DLF Audiothek

Wie reagieren #US #Cloud Anbieter wie #Microsoft #AWS und Co auf #DSGVO und #Schrems2 ?

@Welchering befragt dazu @malteengeler und @lfdi - und die sind sich (natürlich! ) einig.

https://srv.deutschlandradio.de/dlf-audiothek-audio-teilen.3265.de.html?mdm:audio_id=927722

So according to the Swedish Supervisory Authority, in response to a question at Nordic Privacy Arena regarding how long we need to wait for comprehensive guidance from EDPB on 3rd country transfers post #schrems2 - 2-3 YEARS!
This means, unless you want to become the next Amazon (lawsuit filed against Amazon today for failing to comply with SchremsII judgment)
https://twitter.com/alexanderhanff/status/1314560192282013696

Now don’t forget. While the #Schrems2 decision might have a severe impact on data leaving the EU, it does NOTHING to stop abuse of data and forced access to it by national authorities of EU member states. Think data retention policies etc.