[English]Einen hätte ich noch zum Abschluss des Sonntags. Es geht um einen Benutzer, dessen ‚lebenslanges‘ Benutzerkonto ‚wegen Verstoßes gegen das Copyright‘ geschlossen wurde.
Wie man digital ausgelöscht werden kann, hatte ich ja die Tage im Blog-Beitrag Tretmine Microsoft Konto: Willkürliche Sperre bei Online-Funktionen angesprochen. Dabei kann bereits ein für unsere Maßstäbe ‚unproblematisches Bild‘ auf OneDrive eine solche Aktion auslösen, wie ich im Artikel Microsoft-Kontensperrungen und die OneDrive ‘Nacktfotos’ darlege.
Was ist Degoo
Degoo ist ein Cloud-Dienst, der mit ‚Life’s best memories – AI based cloud storage that helps you rediscover your best photos.‘ wirbt – siehe folgender Screenshot.
Die werben mit 10 TB an Speicher in der Cloud und einigen anderen Sachen. Schnell ist ein Benutzerkonto eingerichtet …
… und dein Konto ist futsch
Blog-Leser Markus K. hat mich ja schon häufiger mit interessanten Infos (meist für Windows-Admins) für den Blog hier versorgt. Die Tage trudelte eine nette Mail ein, die genau in das Raster ’setzt Du auf die Cloud, bis Du verratzt‘ passt. Markus K. hat bei Degoo ein Benutzerkonto und dort wohl auch einiges an Daten gespeichert. Nun wurde ihm sein Benutzerkonto gesperrt.
Lieber Günter,
habe selbst eine „lifetime subscription“ dort und ja, man hätte den Beipackzettel genau lesen können, aber absichtlich habe ich die Files sicher nicht hochgeladen.
Den Appeal spar ich mir gleich. Was mich dann eher interessiert, werden die Daten denn nun auch DSGVO konform gelöscht und zwar alle?
Was die DSGVO betrifft, stellt sich mir die Frage hätten die das überhaupt erfüllen können und wäre der Vertrag nicht sowieso aufzulösen gewesen und Geld zurück?
Wahrscheinlich einfach billiger Ausstieg, Hauptsache noch ein paar lästige „lifetime Abos“ weg.
Das Konto gleich mal zu löschen ist jedenfalls mal heftig. Könnte es verstehen, wenn besagte Dateien gelöscht werden und verwarnt wird.
Klingt irgendwie fast schon nach diktatorischen Methoden.
Was Markus beschäftigt, ist die nachfolgende Benachrichtigung durch den Degoo-Bot, dass auf seinem Speicher eine Copyright-Verletzung durch hochgeladene Dateien reklamiert wird.
Ich habe die bemängelten Dateien unkenntlich gemacht, um den Nutzer zu schützen. Der Bot hat also Dateien in einer privaten Cloud gefunden, von denen er behauptet, dass diese das Copyright eines Dritten verletzen. Das Konto (in diesem Fall wurde es lebenslang zugestanden) werde das Benutzerkonto binnen 2 Wochen geschlossen. Man kann zwar noch einen Widerspruch (Appeal) anlegen. Aber Markus K. schreibt, dass er das nicht als sinnvoll ansieht.
Die Frage, die ihn umtreibt: Was passiert eigentlich mit den Daten, werden die gemäß DSGVO nun auch korrekt gelöscht? Insgesamt zeigt der Fall mal wieder, auf welch wackeligen Füßen das ganze Cloud-Gedöns steht.
Ähnliche Artikel:
Tretmine Microsoft Konto: Willkürliche Sperre bei Online-Funktionen
Microsoft-Kontensperrungen und die OneDrive ‘Nacktfotos’
Auch Microsoft macht den Porno-Scan
Microsoft, OneDrive, Inhaltsscans und ‘Porno-Petze’
Aus dem Bauch heraus würde ich vermuten, daß dies nicht einmal in den Händen des schwedischen Degoo Cloud-Dienstes läge.
Denn, was petzt die Privacy Policy?
„4. Subcontractors
4.1 Degoo uses third party providers to host and provide the Services. Any subcontractor will be a data processor for the processing of personal data within the Services.
4.2 Personal data may be processed outside the EU/EEA, in accordance with applicable law.
4.3 Degoo is currently using Google Cloud Storage and Amazon Web Services to host the Services and to store personal data.
4.4 We work with trusted partners to enhance the quality and efficiency of our services, and we may provide certain non-personally-identifiable information to them from time to time.“
Bei Google weiß ich zu fast 100 %, daß die sich auf das (mittlerweile ungültige) Privacy Shield Abkommen stützen. Allgemein ist es immer Mist, wenn Dienstleister Subunternehmen einsetzen, das reduziert die Kontrollmöglichkeiten doch erheblich.
Und auch der dolle Link https://degoo.com/me/deleteaccount dürfte eher ein „deaktivieren“, statt eines Löschens sein. Denn… kostenpflichtige Dienstleistung, da muß man natürlich bestimmte Daten vorhalten.
Außerdem waren die bisherigen „Verwarngelder“ im Sinne der DSGVO auch nur Papiertiger. Vieles wurde versprochen und wir werden tagtäglich mit (folgenlosen) Verstössen verschaukelt.
Für die Zukunft immer den Tipp beherzigen: Wenn man schon die Cloud eines Anbieters nutzen „muss“, dann ausschließlich verschlüsselte Dateien oder Ordner hochladen. Ja, es ist aufwändiger. Ja, es ist nervig und umständlich. Aber nur so kann ein gewisses Maß an Schutz gewährleistet werden.
Zitat: Für die Zukunft immer den Tipp beherzigen: Wenn man schon die Cloud eines Anbieters nutzen “muss”, dann ausschließlich verschlüsselte Dateien oder Ordner hochladen.
Wenn das denn erlaubt ist. Ich habe vor ein paar Jahren mal versucht, jemandem ein verschlüsseltes 7Z-Archiv mit vertraulichen Daten auf sein GMail-Konto zu schicken. Der Google Mailer Daemon meldete daraufhin, dass die Email nicht zugestellt wurde, da es nicht möglich gewesen wäre, die angehängte Datei zu öffnen und auf Malware zu scannen. Soviel zum Thema Privatsphäre bei Google. Dient natürlich nur dem Schutz des Kunden.
Was hab ich damals gelacht, als die Telekomiker Werbung machten mit der Telekomiker-Cloud (gesprochen „die T. Klaut“). Mir ging damals nur durch den Kopf „ach gebt ihr es also endlich zu, dass ihr klaut“ ;) :)
Schon damals war ich kein Freund von Clouds und Clouddiensten. Und auch heute noch bin ich der Meinung es gibt bessere Alternativen (z.B. (Home)NAS).
Kein Widerspruch meinerseits. Es wäre schön, wenn man die künstlichen Upload-Bremsen für Endkunden endlich mal lösen würde.
Immerhin soll bis Ende nächsten Jahres 100 Mbit im Upload bei Vodafone bereitstehen (DOCSIS 3.1). Mal sehen, hätte ich rein gar nichts gegen.
Hier wird mal wieder viel Unwissenheit zur DSGVO kundgetan. Die bezieht sich auf personenbezogene Daten, also eigene Adressdaten, keinesfalls aber die Nutzdaten, die man in einen Cloud-Speicher lädt. Für die ist man selbst verantwortlich – der Cloud-Speicher-Anbieter macht mit diesen rein gar nichts außer sie vielleicht automatisch auf Schadsoftware oder Rechtsverstöße hin zu prüfen. Und mutmaßlich wird deswegen kein Widerspruch eingelegt, weil tatsächlich ein Copyright-Verstoß begangen wurde. Ein Widerspruch wäre ja auch zu einfach. Also wie so oft viel heiße Luft um nichts. Seine Daten hat man ohnehin mehrfach redundant gesichert. Cloud ist nur eine von vielen Sicherungen. Und wenn eine USB-Festplatte oder Speicherband kaputt geht oder ausfällt, gibt es ja auch kein Rumgeheule. Falls doch: selbst schuld.
Hm, viel Text, aber am Kern vorbei. Dem Betroffenen ging es um die Frage: Werden seine persönlichen Daten, die er beim Anlegen des Benutzerkontos bei Degoo angeben musste (inkl. Zahlungsinformationen) nach einer Frist (3 Monate nach Sperre des Kontos) DGSVO-konform gelöscht.
Der Rest sind Vermutungen und Binsen – müssen hier nicht erörtert werden – insofern geht ‚Rumgeheule‘ komplett an der Intention des Betroffenen und meiner Motivation, den Vorfall hier einzustellen, vorbei – der Beitrag soll den Leuten zeigen, auf welches schwankende Schiffchen sie sich setzen – denn die ’selbst schuld‘-Fraktion im Tal der Unwissenden erscheint mir nicht unbedingt nur ein ‚Scheinriese‘ zu sein … nichts für ungut.
In deinem Artikel steht aber etwas ganz anderes hinsichtlich DSGVO, die darüber hinaus für private Dateien von Privatpersonen gar nicht gilt. Der Anbieter speichert sie nur und verarbeitet sie nicht. Und in der Tat hätte man widersprechen sollen, wenn man nicht selbst davon ausgeht, strafffällig geworden zu sein…
> Was die DSGVO betrifft, stellt sich mir die Frage hätten die das überhaupt erfüllen können und wäre der Vertrag nicht sowieso aufzulösen gewesen und Geld zurück?
Mehr brauche ich wohl nicht zu zitieren.
Wenn es ein EU-Anbieter ist, wird er die EU-DSGVO wohl erfüllen. Wenn nicht, liegt es in eigenem Ermessen, ob man ihm personenbezogene Daten (von sich) wie Namen, Adresse, Bankverbindung/Kreditkarte gibt. Dann eben nicht hinterher jammern und auf Erstattung hoffen…, bar jeder Rechtsgrundlage.
Beispiel:
Als Nutzer einer solchen Cloud gehst Du (naiv wie man so ist als #Neuländer) davon aus, daß die von Dir hochgeladenen Dateien privat sind und nur Du Zugriff darauf hast. Immerhin hast Du ja dafür bezahlt.
Darum lädt man, abseits von Fotos mit Dritten (deren Einverständnis man natürlich nicht hat) zusammen mit Deinen geschriebenen / gescannten Dokumenten in die Cloud, um von überall aus bequem darauf zugreifen zu können.
Das könnten wir jetzt noch mit Adressbüchern und sonstigen persönlichen Daten ergänzen – geschenkt, die Beispiele genügen.
Dass Du als Nutzer erstmal gegen die DSGVO verstossen hast, steht erst mal außer Frage. Juckt WhatsApp-Nutzer aber auch nicht sonderlich, weil sie zu selten angezeigt werden.
Jetzt geht der Mist aber weiter: Das Zeug, welches hochgeladen wurde, wird natürlich gescannt. Wenn nicht von Deegoo selber, dann mindestens von Google und Amazon (schon, weil es aufgrund der Gesetzgebung ihres Sitzes verpflichtend ist).
Die öffentliche Mär ist, daß man ja nur Hashes erstellt und diese abgleicht. Weniger bekannt ist, daß eine regelrechte Auswertung von Daten geschieht.
Also, wer ist nun alles haftbar und schuldig, wenn wir uns auf die DSGVO begrenzen?
Der Abo-Nutzer, der ignorant hochlädt, was ihm vor die Nase kommt?
Der EU-Anbieter Degoo, der die EU-Daten auf Servern amerikanischer Anbieter auslagert oder bei Anbietern, die der US-Rechtsprechung unterliegen und sich im besten Fall auf das (mittlerweile ungültige) Privacy Shield Abkommen stützen?
Oder eher die Dienstleister, die den Speicher bereitstellen, aus ihrer Sicht aber rechtskonform handeln (nicht ohne sich einen Eigennutz zu verschaffen)? Die EU nimmt in Punkto DSGVO eh keiner für voll, bislang nichts weiter als ein Papiertiger ohne nennenswerte Folgen.
tl;dr
Die DSGVO spielt bei der Cloud-Nutzung durchaus eine gewichtige Rolle.
https://dejure.org/gesetze/DSGVO/4.html
Private Cloud – Copyrightverstoß? Wie geht denn das? Wenn man etwas nichtöffentlich aufbewahrt, dann publiziert man es ja nicht. Also auch nicht widerrechtlich. Könnte also nur eine Raubkopie beanstandet werden, aber wie will der Bot ausschließen, dass die Inhalte nicht legal zum eigenen Gebrauch erworben wurden?
Da würde ich auf jeden Fall Widerspruch einlegen und mich entschieden gegen die Vorwürfe verwahren!
Das Falscheste, was man tun kann: Willkür einfach hinzunehmen. Die „Nützt doch sowieso nichts“-Mentalität ist ein Nährboden für Diktaturen. Willfährige Konsumenten, mit denen man alles machen kann, fordern schlechten Service geradezu heraus.
So werden wir nie erfahren, ob Degoo nicht doch einen einsichtigen Support hat. Degoo selbst wird nicht damit konfrontiert, dass der verwendete Bot übereifrig handelt. Wie soll da was besser werden?
Erst wenn die begründeten Einwände abgeschmettert wurden, kann man den Anbieter wegen seines Vorgehens anprangern. Dann hat man wenigstens den Trost, ihm noch so viel Arbeit wie möglich gemacht zu haben und ein paar Kratzer auf seinem Image zu hinterlassen.
Genau so ist es!!!