5. September 2020, 12:50

Privacy Shield Humor mit Discord

Für ein Online-Meeting in einem Beraternetzwerk erhielt ich folgende Einladung:

Der EU-US Privacy Shield ist vom EuGH gekippt worden. Was bedeutet das für Unternehmen und Dienstleister? Welche Dienste dürfen jetzt noch genutzt und welche Daten übertragen werden?

Genau mein Thema dachte ich noch und las weiter. Der Link am Ende der Mail führte zu einem Meetingraum auf der Plattform discord.com - genau mein Humor!

Ein kurzer Blick in die Datenschutzrichtlinie1, abgerufen am gestrigen Nachmittag, zuletzt aktualisiert am 23. Juni 2020.

(…) we sometimes hire other companies or individuals to perform certain business-related functions. Examples of such functions include mailing information, maintaining databases and processing payments.

We may disclose your information if required to do so by law or in the good faith belief that such action is necessary to (i) comply with a legal obligation, (ii) protect and defend the rights or property of the Company or Related Companies, (iii) protect the personal safety of users of the Services or the public, or (iv) protect against legal liability.

Discord complies with the EU-U.S. Privacy Shield Framework and the Swiss – U.S. Privacy Shield Framework as set forth by the U.S. Department of Commerce regarding the collection, use, and retention of personal information transferred from the European Union and Switzerland to the United States, respectively.

Aber es geht munter weiter: Wie bei anderen sogenannten “sozialen” Netzwerken behält sich Discord das Recht vor mit Hochladen, Verbreiten, oder jeder anderen Übertragung in Verbindung seines Dienstes z.B. mit Teilen einer Datei während einer Konversation, eine unbefristete, nicht exklusive, übertragbare, gebührenfreie, unterlizenzierbare und weltweite Lizenz zu erhalten2. Es hat somit die Erlaubnis:

(…) Inhalte in Verbindung mit dem Betrieb und der Bereitstellung des Dienstes zu nutzen, zu hosten, zu reproduzieren, zu modifizieren, anzupassen, zu veröffentlichen, zu übersetzen, abgeleitete Werke zu erstellen, zu verteilen, auszuführen und zu präsentieren.

Discord nimmt sich faktisch jedes Recht heraus, zeitlich und nicht zweckbezogen alles mit den aggregierten Daten seiner 100+ Millionen Kunden aus der täglichen Menge von 4 Milliarden Serverbenachrichtigungen3 zu machen, was es für opportun hält.

Ich stelle mir eine Werbeagentur vor, die einem Kunden ein exklusives Logo oder Bild verkauft und über Discord intern teilt und im Team abstimmt. Was, wenn kurze Zeit später genau dieses Bild in einer Internet-Bilddatenbank auftaucht nur weil Discord einen lukrativen Vertrag mit einer eingegangen ist und fortan alle Bilder unterlizenziert?

Rechtsgrundlage soll das Privacy Shield sein, fast 2 Monate nach dessen rechtskräftigen Invalidierung4 vom höchsten für uns zuständigen Gericht. Viele vergessen leider, dass das Privacy Shield nicht nur für ungültig erklärt wurde. Das EUGH hat eine Verletzung fundamentaler EU-Rechte festgestellt, da ein Betroffener faktisch keine Rechte gegenüber US Unternehmen hat.5 Ohne besondere technische oder organisatorische Maßnahmen und ohne “case by case” Analyse helfen auch die sogenannten Standardvertragsklauseln wenig.6

(…) people also have no option to go to the courts. The CJEU found that this violates the ‘essence’ of certain EU fundamental rights.

Max Schrems drückt es in seinem jüngsten EU-Hearing sehr schön mit zwei aufeinander rasenden Zügen aus. Wir haben es hier mit zwei komplett unvereinbaren, rechtlichen Ansichten von Grundrechten zu tun. Entweder die USA ändern Ihre Datenschutzrechte oder es gibt keine rechtliche Grundlage zum Verhaltensdatentransfer ergo es dürfen keine Daten transferiert werden. Es ist so einfach. Sogar der allseits bekannte Axel Voss kann im gleichen Hearing den Ausführungen von Max Schrems zu 99,9% zustimmen7.

Okay Tomas, sei kein Spielverderber, sie wissen nicht was sie tun. Sie brauchen nur jemanden, der es Ihnen mitteilt. Minimiere das Risiko für Dich und nehme an dem Meeting teil. Ich habe daher eine für genau diese Zwecke genutzte Test-VM gestartet ohne Zugriff auf Kunden- oder Projektdaten auf meinem Rechner, separiert von meinem kompletten internen Netzwerk. Nachfolgende Screenshots und diese Screencast-Aufnahme dokumentieren meine Versuche, mich im Web-Interface anzumelden:

Screenshot 1 Screenshot 2 Screenshot 3

Fazit: Wer Discord nutzen will kommt um die Dienste von Google, insbesondere Google Analytics und NewRelic nicht herum. Beide natürlich mit keinem Wort in der Datenschutzerklärung genannt. NewRelic ist dahingehend kein Unbekannter, da es in “Echtzeit” noch umfangreicheres Data-Mining als Google ermöglicht, nicht nur mit den aggregierten Inhalten und Metadaten sondern auch auch mit den genutzten Geräten - kurzum dem kompletten IT Stack8.

In Anbetracht dessen ist nachfolgendes Detail gering, ich finde aber auf seine ganz besondere Art entlarvend. Discord verwendet auf seinen Seite das freie polyfill.io9 nicht etwa auf seinen eigenen (angemieteten) Servern sondern hostet und verlinkt es extern. Die technische Kombination aus Desinteresse und Faulheit.

Nach einer halben Stunde des Ausprobierens habe ich die VM wieder gelöscht und eine freundliche, aber in der Sache doch bestimmte Absage an den Veranstalter geschrieben. Selbstverständlich mit dem Angebot und meiner Einladung verbunden, zum Thema etwas auf meinem Konferenzserver zu referieren.

Wer Projekte mit NDAs, Mitbewerber- oder Geheimhaltungsklauseln bearbeitet, steht mit Nutzung solcher Dienste nicht mehr auf dünnem Eis, er ist längst durchgekracht. Ich helfe gerne bei Aufbau und Risikobewertung eigener Technologien.

In diesem Sinne,
ein schönes Wochenende!

Transparenzhinweis:

Tomas Jakobs ist seit mehreren Jahren Gold-Sponsor (No 2879) von noyb und unterstützt die Organisation mit einem jährlichen, dreistelligen Spendenbeitrag.


  1. https://discord.com/privacy ↩︎

  2. https://discord.com/terms ↩︎

  3. https://discord.com/company ↩︎

  4. https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf ↩︎

  5. https://noyb.eu/en/cjeu ↩︎

  6. https://noyb.eu/en/next-steps-eu-companies-faqs ↩︎

  7. https://noyb.eu/en/video-max-schrems-hearing-eu-us-data-transfers ↩︎

  8. https://www.marketwatch.com/story/new-relic-headed-for-an-ipo-2013-06-03 ↩︎

  9. https://github.com/financial-times/polyfill-service ↩︎

© 2020 Tomas Jakobs - Impressum und Datenschutzhinweis