Datenschutz für Podcaster*innen

Twig Error: Calling "player" property on a "Podlove\Template\Episode" object is not allowed. (in template "default" line 4)

Mit Pepi, aka: MacLemon, zum Datenschutz für Podcaster*innen. Worauf ist zu achten, welche Services sind weniger empfehlenswert und welche sinnvollen, funktionellen Alternativen es stattdessen gibt.

Vortragsfolien


-> zum Deck

Notizen & Links

Sensible Daten

Stimme = biometrisches Merkmal
Stimm-Profiling durch Amazon & Co
The Verge: Amazon’s Alexa can now recognize different voices and give personalized responses (11. Oktober 2017)
heise.de: Stimme verrät Charakterzüge (24. Januar 2019)

Zitat heise.de: »Informatikern Julia Hirschberg, Columbia University in New York … beschäftigt sich seit 1985 mit der computergestützten Verarbeitung von Sprache, u.a. für das US Heimatschutzministerium und die US-Luftwaffe. Schon 5 Minuten eines Gesprächs genügen, um Menschen mit hoher Genauigkeit in die fünf Hauptdimensionen der Persönlichkeit einzuteilen. Dass Precire am Ende tatsächlich weiß, wie ungeduldig, offen und organisiert jemand ist, hält sie für glaubhaft.«

Rechtsgrundlagen

ausdrückliche Einwilligung notwendig

Kurzpapier der Datenschutzkonferenz des Bundes und der Länder: »Gemäß DSGVO ist für die Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten, genetische und biometrische Daten usw.) eine dafür ausdrückliche Einwilligung erforderlich;
konkludente Handlungen sind also ausgeschlossen.«

Informationspflichten
– Über den eigenen Workflow und die verwendete Software klarwerden
– Gesprächspartner*innen vorab vollumfänglich darüber aufklären, was mit ihren biometrischen Daten passieren wird
– Einwilligung dokumentieren (z.B. Speakers’ Agreement)
– Datenschutzerklärung auf der Website bzw. aushändigen
– Leicht verständlich und leicht zu finden
– Vorsicht bei Generatoren! (schon Fehler gefunden und oft nicht verständlich)

Textvorschläge für Deinen Podcast
Bei der Subscribe10 erreichte mich eine Frage nach einem Textvorschlag für die Informationspflichten bei Podcasts. Deine Datenschutzerklärung richtet sich natürlich danach, wie genau Dein Workflow aussieht und welche Services Du nutzt. Bei mir steht in der Datenschutzerklärung Folgendes:

Datenschutzhinweis für Podcastgäste:
„Als Gäst*in in meinem Podcast leihst Du mir – neben Deiner Expertise in Deinem Gebiet – vor allem Deine Stimme. Diese ist ein biometrisches Merkmal und fällt somit unter die “sensiblen Daten”. Wenn wir uns einen Termin für ein Gespräch ausmachen, landet Dein Name (und ggf. Deine Adresse und Telefonnummer) in meinem Kalender und Du wirst von mir ein “Speakersagreement” bekommen, mit dem Du noch einmal einwilligst, dass ich die Aufnahme für die Verwendung im Datenschutz Podcast verwenden darf. Die Verarbeitung Deiner Stimmdaten erfolgt über den Auphonic Webservice (mit Sitz in Österreich) und die fertigen Episoden werden über mehrere Podcastplattformen (iTunes, Stitcher, podcast.de, player.fm) zugänglich gemacht. Deine Einwilligung kann unter Umständen auch mündlich erfolgen, zum Beispiel, wenn wir uns auf einem Festival begegnen und es zu einem spontanen Interview kommt. Normalerweise schreibe ich mir in solch einem Fall Deine Mailadresse auf, auch um Dich über das Erscheinungsdatum der Folge zu informieren. Gern kann ich Dir in dem Fall ein Speakersagreement nachträglich zukommen lassen.“

Ein Textvorschlag für ein Speaker*innen-Agreement, der für Deinen Podcast angepasst werden kann:

Speaker’s Agreement
„XY Podcast
□ Ich bin mit Streaming und Aufzeichnung meiner Stimme im XY Podcast in Bild und Ton einverstanden.
□ Ich bin damit einverstanden, dass der Verantwortliche meine Stimmaufzeichnungen durch einen automatisierten, teilautomatisierten oder persönlichen Transkriptservice transkribieren lässt.
□ Die Aufzeichnungen meines Vortrags dürfen vom Verantwortlichen veröffentlicht und zum Download bereitgestellt werden. Auch der Livestream darf öffentlich übertragen werden.
□ Die Aufzeichnungen der Podcastepisoden dürfen für podcastbezogenes Werbematerial für den XY Podcast verwendet werden.“

Bitte bedenke, dass Dein/e Gäst*in nicht allem zustimmen muss und die Einwilligung jederzeit widerrufen kann.

Auftragsverarbeitungsverträge
Schließt Auftragsverarbeitungsverträge mit Euren Dienstleistern (= „Auftragsverarbeitern“) ab!

Use this, not that …

Slack -> Mattermost, Riot.im
Google Docs -> z.B. Cryptpad
Gmail -> z.B. Posteo, Mailbox.org
Google Calendar -> z.B. NextCloud Calendar, Kalender von Posteo oder Mailbox.org
WeTransfer -> z.B. NextCloud
Dropbox -> z.B. NextCloud
Google Drive -> z.B. NextCloud
Microsoft One Drive -> z.B. NextCloud
Doodle -> z.B. Dudle (TU Dresden), Cryptpad
Skype -> z.B. StudioLink, Jitsi
Zoom -> z.B. StudioLink, Jitsi
Facebook -> z.B. Mastodon
Instagram -> z.B. Pixelfed
Soundcloud -> z.B. Funkwhale
YouTube -> z.B. PeerTube
Anchor -> z.B. WordPress & Podlove, Funkwhale, Podigee
TuneIn -> z.B. WordPress & Podlove, Funkwhale, Podigee
Spotify -> z.B. WordPress & Podlove, Funkwhale, Podigee
Stitcher -> z.B. WordPress & Podlove, Funkwhale, Podigee
Audible -> z.B. WordPress & Podlove, Funkwhale, Podigee
Soundcloud -> z.B. WordPress & Podlove, Funkwhale, Podigee

Mattermost
Riot.im
Cryptpad.frCryptpad Server des C3W
Posteo.de
Mailbox.org
NextCloud.org
Dudle (TU Dresden)
StudioLink
Jitsi.org
Mastodon
Pixelfed
Funkwhale
PeerTube
WordPress.org
WordPress ActivityPub Plugin
Podlove
Podigee

Achtung, falls Du per Sprachtelefonie aufnimmst. Viele mobile Bereiebssysteme haben ein Auto-Backup in die Cloud (meist die des Betriebssystemherstellers) voreingestellt.

Use this

PostProduction

Auphonic

Spenden

Liberapay
Steady

Read this: Nutzungsbedingungen & Datenschutzerklärungen

Slack
Google AGB
Google Datenschutzerklärung
Facebook Nutzungsbedingungen
Facebook Datenschutzinformation
Anchor Datenschutzerklärung
TuneIn AGB
TuneIn Datenschutzerklärung
Spotify Datenschutzerklärung
Stitcher AGB
Stitcher Datenschutzerklärung
Audible AGB
Audible Datenschutzerklärung
Soundcloud AGB
Soundcloud Datenschutzerklärung

Datenexport in Drittländer

Faustregel

Dein eigener Wohnort -> yay!
EU -> ok
non-EU -> doof
USA -> richtig doof

PrivacyShield

PrivacySheild = Selbstzertifizierung, dauert 30min, kostet $ 250,-. Keine Pointe.

CLOUD Act

Clarifying Lawful Overseas Use of Data Act
CLOUD Act Gesetzestext
Heise Artikel: Wolkenbruch – US CLOUD Act regelt internationalen Datenzugriff

Beispiele

Beispiel Slack

Slack erhebt »sonstige Informationen« und gibt diese an Dritte weiter.
Sonstige Informationen sind:

1. Workspace- und Account-Informationen
2. Angaben zur Benutzung = Metadaten, Protokolldaten, Gerätedaten, Standortinformationen
3. Cookie-Informationen (»Cookies & ähnliche Technologien«)
4. Dienste von Drittanbietern (inkl. Logindaten wie eMail oder Benutzername)
5. Kontaktdaten (»wie z. B. ein Adressbuch in einem Gerät«)
6. Daten Dritter (= u.a. zugekaufte Daten)
7. Zusätzlich an Slack übermittelte Informationen (via Social Media, Wettbewerbe, Bewerbungen bei Slack, etc.)
(Quelle: https://slack.com/intl/de-de/privacy-policy, März 2019)

Was passiert mit »sonstigen Informationen«?

Dienste von Drittanbietern und Partnern. Wir können externe Unternehmen mit der Verarbeitung von Sonstigen Informationen beauftragen z. B. für virtuelle Datenverarbeitung oder Bereitstellung von Speicher-Services
Verbundene Unternehmen. Slack kann Sonstige Informationen an seine Konzerngesellschaften sowie Mutter- und/oder Tochtergesellschaften weitergeben.
Mit Zustimmung. Slack kann Sonstige Informationen an Dritte weitergeben, wenn dafür das Einverständnis erteilt wurde.
(Quelle: https://slack.com/intl/de-de/privacy-policy, März 2019)

Beispiel Google

Die Google AGB räumen Google weitreichende Rechte an Deinen Inhalten ein:

Wenn Sie Inhalte in oder über unsere Dienste hochladen, einstellen oder speichern, senden oder empfangen, räumen Sie Google (und denen, mit denen wir zusammenarbeiten) das Recht ein, diese Inhalte weltweit zu verwenden, zu hosten, zu speichern, zu vervielfältigen, zu verändern, abgeleitete Werke daraus zu erstellen (einschließlich solcher, die aus Übersetzungen, Anpassungen oder anderen Änderungen resultieren, die wir vornehmen, damit Ihre Inhalte besser in unseren Diensten funktionieren), zu kommunizieren, zu veröffentlichen, öffentlich aufzuführen, öffentlich anzuzeigen und zu verteilen.
Diese Rechtseinräumung bleibt auch dann bestehen, wenn Sie unsere Dienste nicht mehr verwenden.
Achten Sie darauf, dass Sie über die notwendigen Rechte verfügen, um uns eine entsprechende Lizenz für alle Inhalte zu erteilen, die Sie in unsere Dienste hochladen.
Unsere automatisierten Systeme analysieren Ihre Inhalte (einschließlich E-Mails), um Ihnen für Sie relevante Produktfunktionen wie personalisierte Suchergebnisse, personalisierte Werbung und Spam- und Malwareerkennung bereitzustellen. Diese Analyse findet beim Senden, Empfangen und Speichern der Inhalte statt.
(Quelle: https://policies.google.com/terms?hl=de&gl=at, März 2019)

Google erhebt Daten über die von Dir genutzten Apps, Browser & Geräte, Deine Aktivitäten und Deine Standortdaten. Grundsätzlich alles, was sie kriegen können.
(Quelle: https://policies.google.com/privacy?hl=de, März 2019)

Gilt für Google Drive, Docs, Calc, Calendar und sämtliche weiteren Google Dienste.

Beispiel Anchor

We may share or disclose your information at your direction, such as when you authorize a third-party service to access your account or when you voluntarily share information or content via the Services. Other Users may share or disclose information about you, such as when they mention you.

There are certain circumstances in which we may share your Personal Data with certain third parties without further notice to you, unless required by the law, as set forth below:
Vendors and Service Providers: To assist us in meeting business operations needs and to perform certain services and functions: providers of hosting, email communication and customer support services, analytics, marketing, advertising (for more details on the third parties that place cookies through the Site, please see the “Cookies” section below). Pursuant to our instructions, these parties will access, process or store Personal Data in the course of performing their duties to us.
(Quelle: https://anchor.fm/privacy, März 2019)

Der Kindertest

Selbsttest im Kindertest: Wenn Du nicht möchtest, dass $Tracking, $Überwachung, $Profiling mit Deinen Kindern, Geschwistern, Nichten, Neffen, Großcousinen, … gemacht wird, dann willst Du das wahrscheinlich auch nicht mit andren Menschen tun.

Tracking

Tracking in Podcasts

Mac Tect News: Tracking für Podcasts: RAD soll plattformübergreifend kommen (28. Dezember 2018)
RAD Spezifikation (Achtung, Google Doc)
* Just Don’t.

Podcatcher Apps

Nicht Deine Baustelle.

Social Media

Facebook

Im Juni 2018 entschied, der EUGH, dass die Betreiber von Facebook-Fanseiten für den Datenschutz auf der FB-Seite mitverantwortlich sind.
-> Facebookseiten Urteil (original)
-> Podcastepisode zum Facebookseiten-Urteil

Zu Facebook gehören übrigens auch:
FB App
FB Messenger
FB Seiten App
Instagram (seit 2012)
WhatsApp (seit 2014)
Oculus VR (seit 2014)
Fitness App Moves (seit 2014)
FB Pixel / Cookie & FB Tracking in Apps
Der Facebook-Pixel wird seit Herbst 2018 übrigens als First-Party-Cookie ausgegeben und ist daher mit Browsereinstellungen, die 3rd-Party-Inhalte blockieren, nicht so einfach zu blockieren.

Zoom Sicherheitslücke

Die Video- & Audio-Chat-App Zoom.us hat eine schwere Sicherheitslücke in ihrer Mac-Software. Falls Du jemals Zoom.us installiert hattest, ist es möglich, dass von außen auf Deine Kamera zugegriffen wird. Diese Lücke bleibt auch dann bestehen, wenn Du Zoom schon deinstalliert hast.

heise.de: Meeting-Zwang: Mac-Kameras lassen sich über Zoom-Sicherheitslücke anschalten
Posting vom Sicherheitsforscher, der die Lücke entdeckt hat

Falls Du einen Mac hast und jemals Zoom.us installiert hattest, schau mal nach, ob der Zoom Webserver noch bei Dir läuft. Falls Du Zoom noch installiert hast, hat es sich vermutlic im Autostart eingenistet, da könntest Du es bei der Gelegenheit auch raushauen.

Den Prozess, der noch immer im Hintergrund läuft, findest Du entweder über die Aktivitätsanzeige (Cmd+Leertaste -> Aktivitätsanzeige) oder über’s Terminal (Programme -> Dienstprogramme -> Terminal bzw. Cmd+Leertaste -> Terminal). Dort kannst Du den Prozess beenden.

Per Terminal wie folgt:
netstat -an|grep LISTEN (zeigt an, welche Prozesse am Netzwerk lauschen)
ps -axwww|grep -i zoom
killall ZoomOpener (beendet den Zoom Opener)
Danach sollte kein laufender Prozess mehr gefunden werden.

Solange Zoom.us die Lücke nicht gefixt hat, solltest Du das Killall nach jeder Benutzung durchführen und mindestens einmal, auch wenn Du Zoom.us schon deinstalliert hast.

Video des Vortrags auf der Subscribe10

-> zum Video auf media.ccc.de

Weitere Links

PrivacyWeek
Subscribe10

Trankskript

*** coming soon ***

Unterstützt den Datenschutz Podcast

Unterstützen

Wenn Du mich und den Datenschutz Podcast unterstützen möchtest, findest Du alle Möglichkeiten auf der Supportseite. 🙂