Un-safe Harbor

Ein datenschutzrechtliches Erdbeben: Das Safe-Harbor-Abkommen ist ungültig, so urteilte der Europäische Gerichtshof.

Mehr Infos:

Neben den überall erwähnten großen Firmen wie Apple, Facebook oder Google stehen bestimmt auch einige Firmen auf der Liste, die zumindest für die bibliothekarische Fachgemeinde nicht unwichtig sind, Thomson Reuters zum Beispiel.

Datenschutz und Adobe Digital Editions

Kurze Linksammlung, da ich hierzulande auf Anhieb keine größere Diskussion zum Adobe-Digital-Editions-Vorfall im (oder seit?) letzten Oktober finde. Zur Erinnerung: Das ist das DRM-System, das unter anderem für die Onleihe eingesetzt wird.

Ein paar Links:

US-Bibliothekare wehren sich gegen Überwachung

Alison Macrina und April Glaser beschreiben, wie sich “radikale Bibliothekare” oder “Ninja-Bibliothekare” dafür einsetzen, dass die Daten ihrer Nutzer geschützt bleiben:

Librarians in Massachusetts are working to give their patrons a chance to opt-out of pervasive surveillance. Partnering with the ACLU of Massachusetts, area librarians have been teaching and taking workshops on how freedom of speech and the right to privacy are compromised by the surveillance of online and digital communications — and what new privacy-protecting services they can offer patrons to shield them from unwanted spying of their library activity.

Zum BoingBoing-Artikel: Radical Librarianship: how ninja librarians are ensuring patrons’ electronic privacy.

Tracking durch "Googles Web Fonts" – reloaded

Im März 2012 fragte ich mich und das Web, ob Tracking via Googles Web Fonts möglich sei. Damals hieß es, das sei vermutlich nicht möglich. Nun steht in der aktuellen c’t (Herbert Braun: “Undercover – wie Google-Werkzeuge auf fremden Websites Daten sammeln”, c’t 11/2014, S. 135):

Immer mehr Webdesigner haben die Nase voll vom Arial-Times-Verdana-Einheitsbrei und nutzen Webfonts, die inzwischen auf allen nennenswerten Browsern laufen. Weil die Einbettung nicht ganz trivial ist und Ärger mit den Font-Lizenzen droht, hat Google die Chance ergriffenund eine kostenlose Bibliothek von mehreren hundert passablen bis guten Schriftarten samt Werkzeug zum Einbetten zur Verfügung gestellt. Die unter Google Fonts bereitgestellten Schriftarten kann man zwar auch auf den eigenen Server kopieren, aber weil sich kaum jemand die Mühe macht, kommt Google mit dem Gratisangebot auf seine Kosten.

Wie schon vor zwei Jahren bitte ich um fachkundige Antwort: Ist das also doch möglich?

Cloud-Leitfaden der DGF

Teil der Operation Frühjahrsputz 2014, in deren Verlauf angefangene und nie beendete Postings einfach so veröffentlicht werden.

Auch im wissenschaftlichen Bereich drängt sich damit die Frage auf, inwieweit Cloud-basierte Angebote eine Alternative oder Ergänzung zu den bisherigen IT-Lösungen darstellen. Daraus leiten sich Fragen an die Förder- und Finanzierungsmöglichkeiten von solchen Diensten ab, da hier ein Übergang von klassischen Investitionen und dem Betrieb von Geräten und Systemen zu einer Verrechnung von Dienstleistungen erfolgt. Die Nutzung von Cloud-Diensten birgt neben Vorteilen auch Risiken in Bezug auf Sicherheit, Datenschutz und Nachhaltigkeit. Daher ist eine intensivere Betrachtung dieser Angebote im Rahmen der wissenschaftlichen IT-Infrastruktur notwendig.

Siehe Mitteilung der DFG.

Sind Slideshare-Embeds unzulässig?

SlideShare ist ein weltweit tätiger Service zum Teilen von Präsentationen, Dokumenten, Videos und Webinaren. Wie wir kürzlich feststellen mussten, ist eine Nutzung unter Datenschutzgesichtspunkten hierzulande aber nicht möglich und damit unzulässig.

Grund dafür ist die Einbindung von ScorecardResearch und Google Analytics durch Slideshare. Mehr dazu auf datenschutzbeauftragter-info.de.

Heilmann zur Vorratsdatenspeicherung

Thomas Heilmann durfte in der Zeit einen Kommentar zur Vorratsdatenspeicherung veröffentlichen, in dem einiges durcheinander geht. Laut Heilmann ist das Netz ein Sündenpfuhl, in dem uns jeder an die Datenwäsche will. Besonders gefährlich seien kommerzielle Datensammler wie Car-Sharing-Dienste oder WhatsApp.

Heilmann geht es in diesem Artikel vorwiegend um die ökonomischen Auswirkungen der Überwachung. So schreibt er:

Schon heute sind die Schäden gigantisch. So schätzt die EU, auf Grundlage des Norton Report 2013, die Kosten von Internetkriminalität in Deutschland auf vier Milliarden Dollar in nur einem Jahr. Die Verantwortlichen dafür kommen aus ganz unterschiedlichen Kreisen. Ökonomisch noch die geringsten Schäden verursacht mutmaßlich die NSA, obwohl ihr Datensammeln rechtswidrig und rechtsstaatswidrig ist.

Ist das nur wieder die unionstypische und schier unfassbare Ignoranz gegenüber den NSA-Aktivitäten? Oder fehlt Heilmann – immerhin Innensenator Berlins – einfach die Fantasie, um sich die ökonomischen Kosten eines vergeigten Klimagipfels vorzustellen? Und die Konsequenzen der Industriespionage durch die NSA, die sicherlich nicht nur Großunternehmen wie das von Snowden namentlich erwähnte Siemens betrifft, sondern auch den einen oder anderen “Hidden Champion”, der von der Union sonst bei jeder Gelegenheit behütet und bejubelt wird?

Wie auch immer, der Kommentar enthält auch einen Nebenaspekt, den es aus der Perspektive dieses Blogs zu korrigieren gilt:

Datendiebstahl ist nicht die Ausnahme, sondern mittlerweile an der Tagesordnung. Kriminelle interessieren sich brennend für unsere persönlichen Daten, um Wissen, Vermögen, Pläne oder Patente zu stehlen.

Kann man Patente “stehlen”? Gibt es bei Siemens & Co einen Patenttresor, in dem die wichtigsten und kostbarsten Erfindungen vor der Welt geheim gehalten werden? Dazu informiert das Deutsche Patent- und Markenamt:

Ihre Patentanmeldung bleibt 18 Monate lang geheim, danach wird sie offen gelegt, das heißt veröffentlicht. In DPMAregister erscheint ein Hinweis auf Publikation der so genannten Offenlegungsschrift. Diese können Sie ab dem ersten Publikationstag auch in der Datenbank DPMAregister einsehen.

Denn das ist der Sinn des Patentwesens. Patente bieten exklusive Verwertungsrechte für eine Erfindung. Aber:

Im Gegenzug erwachsen dem Patentinhaber auch gesetzliche Verpflichtungen. Mit der Patentanmeldung stimmt er zu, dass seine Erfindung veröffentlicht wird. Ein Patent kann damit anderen Erfindern als Maßstab und Basis für Weiterentwicklungen auf dem betreffenden Gebiet der Technik dienen.

TL;DR: Das Patentwesen beruht nicht auf Geheimhaltung, und das sollte eigentlich auch in der CDU bekannt sein.

Zotero synchronisiert Texte

Die neue Zotero-Version enthält ein zusätzliches Feature, die Volltext-Synchronisation. Aktualisiert man seine Zotero-Installation, erhält man folgende Meldung:

Zotero can now sync the full-text content of files in your Zotero libraries with zotero.org and other linked devices, allowing you to easily search for your files wherever you are. The full-text content of your files will not be shared publicly.

You can change this setting later from the Sync pane of the Zotero preferences.

Diese Meldung ist missverständlich, wenn man sie mit der ausführlicheren Erklärung auf Google Groups vergleicht. Full-text content heißt nämlich nicht, dass EPUBs und PDFs hin- und hersynchronisiert werden. Es geht ausschließlich um “plain text”:

Zotero can now sync the full-text content of items — extracted text from PDFs (if you have the PDF indexing tools installed), the converted text of HTML snapshots, and other plain text — to zotero.org and to other linked Zotero clients, allowing you to search for files by full-text on the web or other devices. This works even if the file itself hasn’t synced, such as if you’re using on-demand file download.

Was ganz nützlich sein kann, kann aber auch ungewollt sein. Bei Unterhaltungen mit Wissenschaftlern gerade aus dem technischen Bereich kommt immer wieder großes Misstrauen auf, wenn es um Cloud-Lösungen geht. Denn dass die Files “not publicly shared” sind, heißt nicht, dass sie nicht anderweitig angezapft werden.

Und daher sehe ich ein Problem darin, dass diese Einstellung bei neuen Zotero-Nutzern per default eingeschaltet ist. Opt-out beim Teilen von Daten ist per se die schlechtere Lösung.

Die Zotero-Server sind übrigens Teil der Amazon-Cloud. Traceroute-Ausschnitt zu zotero.org:

10 111 ms 95 ms 95 ms ae-81-81.ebr1.Frankfurt1.Level3.net
11 93 ms 95 ms 93 ms ae-46-46.ebr2.Paris1.Level3.net
12 94 ms 94 ms 93 ms ae-44-44.ebr2.Washington1.Level3.net
13 95 ms 93 ms 93 ms ae-92-92.csw4.Washington1.Level3.net
14 94 ms 93 ms 94 ms ae-4-90.edge1.Washington1.Level3.net
15 94 ms 92 ms 93 ms AMAZON.COM.edge1.Washington1.Level3.net
16 94 ms 95 ms 93 ms 72.21.220.167
17 95 ms 95 ms 93 ms 72.21.222.157
18 * * * Zeitüberschreitung der Anforderung.
19 * * * Zeitüberschreitung der Anforderung.
20 * * * Zeitüberschreitung der Anforderung.
21 101 ms 102 ms 102 ms 216.182.224.85
22 * * * Zeitüberschreitung der Anforderung.
23 * * * Zeitüberschreitung der Anforderung.
24 * * * Zeitüberschreitung der Anforderung.
25 96 ms 95 ms 95 ms zotero.org [50.19.225.228]

Ablaufverfolgung beendet.

Neue RSS-Reader unter fünf Augen

Google Reader geht, viele Alternativen kommen. In einem kurzen Artikelchen weist Heise.de auf diverse Kandidaten für die Google-Reader-Nachfolge hin. Unter anderem von, man höre und staune, AOL. Mich hat es ja erst einmal gewundert, dass es die überhaupt noch gibt. Wir befinden uns also noch immer im Eternal September?

Wie auch immer, wer seine RSS-Feeds und damit ein gutes Bild des persönlichen Neuigkeitenkonsums online verwalten möchte, sei daran erinnert, dass AOL seit einigen Jahren durch PRISM überwacht wird. Wie auch Facebook, Google, …

Bernhard Rohleder: De-Mail schützt vor Überwachung!

BITKOM-Geschäftsführer Bernhard Rohleder wurde heute morgen im DLF-Interview zur NSA-Überwachung interviewt. Eine Stelle ist besonders beachtenswert:

Müller: Können Verbraucher, die User, die Nutzer ihren Konzernen, ihren Plattformen, die sie jedenfalls benutzen, noch vertrauen?

Rohleder: Das hängt ein wenig von der Plattform ab zum einen. Zum Zweiten haben wir natürlich auch Instrumente, mit denen wir uns schützen können. Die sind zum Teil sehr einfach. Wir haben hier in Deutschland einen neuen E-Mail-Dienst, den De-Mail-Dienst. Wir haben den E-Post-Brief, wo man besonders vertrauenskritische Informationen dann abwickeln kann.

Rohleder verkauft hier De-Mail als möglichen Schutz vor staatlichen Einblicken? Ernsthaft? Herr Rohleder, das ist überhaupt nicht lustig! Zuerst einmal muss man sich für De-Mail nämlich registrieren, um überhaupt eine De-Mail-Adresse zu bekommen:

Die Überprüfung Ihrer Identität erfolgt durch ein vom De-Mail-Anbieter vorgegebenes Verfahren. Ein hierzu vom Anbieter Bevollmächtigter wird Ihre Identität anhand Ihres Personalausweises oder Reisepasses persönlich prüfen und bestätigen.

Aus der Wikipedia noch ein hübsches Zitat:

Nutzerkennung und Passwort zu einem De-Mail-Postfach sind auf Anforderung einer Strafverfolgungsbehörde, einer Polizeibehörde, des Bundesamts für Verfassungsschutz, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes ohne richterliche Anordnung herauszugeben (§ 113 TKG). Die im De-Mail-Postfach liegenden Dokumente und Informationen sind damit keineswegs so geschützt wie Papierdokumente oder Briefe in der eigenen Wohnung.

Hervorhebung von mir. Dass es keine verpflichtende Ende-zu-Ende-Verschlüsselung gibt, sollte man auch erwähnen. Aus einer Stellungnahme des CCC (PDF):

Die einzig plausible Erklärung für die fehlende Ende-zu-Ende-Verschlüsselung im De-Mail-System kann letztlich nur darin gefunden werden, daß der leichte Zugriff durch Polizei, Verfassungsschutz und sonstige staatliche Stellen ermöglicht werden soll.

Herr Rohleder findet Ende-zu-Ende-Verschlüsselung bekanntermaßen schon länger zu kompliziert teuer unnötig als Markthemmnis.

Er setzt dem Fass die Krone auf, indem er sich direkt im Anschluss sorgt, dass wir im Grunde genommen so etwas wie nationalstaatliche Grenzen ins Internet wieder einziehen, wo jeder seine eigene Infrastruktur aufbaut. Genau das ist De-Mail.

PS: Wer sich umfassend zu PRISM informieren möchte, darf den Guardian nicht aus den Augen lassen. Vor allem das Live-Blog. Ein weiterer Lesetipp: Das Interview mit dem NSA-Whistleblower Edward Snowden!