DSGVO feiert Geburtstag – und gibt Lücken preis

Am 25. Mai 2021 feiert die Datenschutz-Grundverordnung (DSGVO) ihren dreijährigen Geburtstag. In dem Bericht “Drei Jahre unter der DSGVO” hat die Non-Profit-Organisation Access Now, die sich für die Verteidigung der digitalen Bürgerrechte einsetzt, nun mehrere Haupthindernisse bei der Durchsetzung des Gesetzes untersucht und festgestellt.

1. Das Problem der Auslegung

Gesetze sind in der Regel in abstrakter Rechtssprache verfasst, deren Umsetzung erst nach der Ermittlung der genauen Bedeutung angegangen werden kann. Diese “Ermittlung” ist ein Art von Interpretationsprozess, den man als “Auslegung” bezeichnet.

In Deutschland knüpft man dabei an Friedrich Carl von Savignys System der juristischen Hermeneutik an, die dafür vier Elemente in sich vereint (Schübel-Pfister, 2004, 124 – 132): Während beim grammatischen Element der Auslegung der natürliche Sinn der Worte im unmittelbaren Zusammenhang des Satzes zu ermitteln ist, umfasst die systematische Auslegung den Einbezug naheliegender Gesetze. Die teleologische Auslegung sucht indessen nach dem Sinn und Zweck des Gesetzes, während das historische Element der Auslegung auf die historischen Gründe für die Schaffung einer Norm abzielt.

Nun hat aber jedes Land eigene Formen der Auslegung: Während beispielsweise im angloamerikanischen Raum traditionell der Wortlaut eine größere Rolle bei der Auslegung spielt, umfasst die Interpretation nach französischem Verständnis auch die Lückenfüllung und Rechtsfortbildung (Schübel-Pfister, 2004, 125). Somit ist es möglich, dass Juristen aus anderen Ländern auf unterschiedliche Interpretationen eines Gesetzes kommen. Da bereits der Begriff der Auslegung selbst auslegungsfähig ist, kann selbst der Europäische Gerichtshof, der nach dem Vertrag zur Gründung der Europäischen Gemeinschaft (kurz EGV) ” ‘die Wahrung des Rechts bei der Auslegung und Anwendung’ ” zu sichern hat, zu keinem einheitlichen Ergebnis gelangen (Schübel-Pfister, 2004, 126).

Obwohl die DSGVO Erwägungsgründe sowie Begriffsbestimmungen in Artikel 4 beinhaltet, die zur Unterstützung bei der Auslegung herangezogen werden können, haben auch die Aufsichtsbehörden dieses Problem bemerkt. Laut dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit sind sie daher an der Erarbeitung von “Leitlinien und Empfehlungen für die Auslegung und Umsetzung der neuen Rechtsvorschriften im Europäischen Datenschutzausschuss” (übersetzt aus dem Englischen; GDPR evaluation after two years – Take the opportunity for changes! (2020), The Hamburg Commissioner for Data Protection and Freedom of Information)

2. Das Problem der praktischen Umsetzung

Für die Durchsetzung der Regelungen der DSGVO sind die nationalen Datenschutzbehörden zuständig. Im Zeitraum von Mai 2018 bis März 2021 wurden insgesamt 278.549.188 Euro von den Datenschutzbehörden an Geldbußen und Sanktionen verhängt (Access Now, S. 2) – fast die Hälfte dieser Strafen belief sich gegen Technologieunternehmen und Telekommunikationsbetreiber (Access Now, S. 6).

Neben einer großen Diskrepanz zwischen der Art und Weise, wie Datenschutzbehörden in verschiedenen Mitgliedsstaaten ihre Befugnisse nutzen (Access Now, S. 2), haben die Behörden auch erhebliche Probleme mit der Durchsetzung der DSGVO in grenzüberschreitenden Fällen (Access Now, S. 3). Gründe hierfür sind unter anderem die Verwendung unzureichender Kommunikationsmittel sowie die Unvereinbarkeit nationaler Verfahren (Access Now, S. 3). Letzteres kann beispielsweise dazu führen, dass eine Behörde einen Fall für ungültig erklärt, während eine andere dies nicht tut.

Zusätzlich kommt hinzu, dass sich jeweils die Datenschutzbehörde in dem Land, in dem sich auch die Hauptniederlassung eines Unternehmens befindet, zur “federführenden Behörde” entwickelt und somit für alle Beschwerden im Zusammenhang mit diesem Unternehmen verantwortlich ist (Access Now, S. 13). Ein bekanntes Beispiel hierfür ist das Unternehmen Facebook, das seine Hauptniederlassung in Irland registriert hat und jede Untersuchung gegen das Unternehmen somit von der irischen Datenschutzbehörde geleitet werden muss (Access Now, S. 13). Dieses System führt jedoch meistens zu Überlastungen einzelner Datenschutzbehörden und immer noch zu Unklarheiten darüber, wer einen Fall leiten sollte.

Prof. Dr. Dieter Kugelmannm, seit 2015 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, sagt in einem Interview mit Netzpolitik auch, dass die “größte Baustelle […] in der Tat eine effektive und europaweit einigermaßen harmonisierte Durchsetzung” ist.

Obwohl in Europa mit der DSGVO also eine gute Gesetzesgrundlage für den Datenschutz gegeben ist, muss die Umsetzung der Gesetze noch verbessert werden. Einheitliche Regelungen und Kommunikationskanäle wären wohl ein Anfang. Ebenfalls darf die Ausweitung der Gesetze nicht fehlen, um eine verfestigte Rechtsgrundlage beim Vorgehen gegen Unternehmen zu haben.

WhatsApps neue Nutzungsbedingungen

Am 15. Mai 2021 aktualisierte der Messenger WhatsApp seine Nutzungsbedingungen und Datenschutzrichtlinie. Die Ankündigung über die Änderungen führte zu Beginn des Jahres zu starken Protesten und der Abwanderung von Nutzern zu Alternativ-Messengern. Doch was hat es mit den Neuerungen auf sich, dass so viele Menschen erzürnt sind?

Der Messenger WhatsApp betont, dass es mit den neuen Nutzungsbedingungen zu keinen Änderungen der Ende-zu-Ende-Verschlüsselung der persönlichen Nachrichten kommen soll. Ebenfalls soll mit der Aktualisierung keine erweiterte Datenweitergabe an Facebook als Eigentümer vorgesehen sei.

Hintergrundinformation: WhatsApp speichert unter anderem persönliche Daten wie Account- und Smartphone-Informationen, Standortdaten und Kommunikationsdaten (mit wem hat man wie lange telefoniert/geschrieben). Seit dem Jahr 2016 tauscht der Konzern auch Anwenderdaten mit Facebook-Diensten aus. Welche der gespeicherten Daten das genau sind, wird in der Datenschutzrichtlinie nicht ersichtlich.

Da die Aktualisierungen neue Optionen erhalten, über die Personen mithilfe von WhatsApp Nachrichten an Unternehmen senden können, soll lediglich die Kommunikation mit und für den Einkauf von Unternehmen auf WhatsApp zur Verwaltung gespeichert werden. “Wenn du mit einem Unternehmen über Telefon, E-Mail oder WhatsApp kommunizierst, kann es die Informationen aus diesen Interaktionen mit dir für eigene Marketingzwecke verwenden. Dies kann auch Werbung auf Facebook einschließen”, hieß es in einer Erläuterung.

Für die Zustimmung wird seit ein paar Wochen ein Banner auf der App eingeblendet, das auf die Neuerungen hinweist. Sollten Nutzer dem Update nicht zustimmen, soll sich der Funktionsumfang der App ab dem 15. Mai schrittweise verringern. Man werde zwar noch eingehende Audio- und Videoanrufe annehmen, sowie über Benachrichtigungen auch Chat-Nachrichten beantworten können – diese sollen letztlich jedoch eingestellt werden.

Im Grunde lässt WhatsApp seinen Nutzern keine Wahl, wenn sie den Messenger weiter uneingeschränkt nutzen wollen: Man muss den neuen Nutzungsbedingungen zustimmen. Man hat jedoch die Wahl, auf eine Messenger-Alternative wie Signal oder Threema zurückzugreifen – wenn man denn möchte.

 

Apples Datenschutz-Update – ein Blick in die Datenschutzbestimmungen

Apple gehört zu den wertvollsten Unternehmen der Welt und scheint einen deutlichen Schritt Richtung mehr Datenschutz zu gehen: Mit dem System-Update von iOS 14.5 hat Apple neue Anti-Tracking-Maßnahmen für Drittanbieter umgesetzt. Aber wie hält es Apple selbst mit dem Datenschutz?

Gerade in Bezug auf den Datenschutz verspricht Apple viel mit dem System-Update von iOS 14.5 und scheint Aufklärung in Bezug auf den digitalen Datenschutz zu betreiben. Die Aktualisierung für die aktuellen iPhones kommt mit einer Einstellung namens App Tracking Transparency, übersetzt: App-Verfolgungstransparenz.

Schon Ende Januar 2021 stellt der US-Konzern ein Paper zum Download zur Verfügung, das den Umgang mit anfallenden Daten durch Werbetreibende und Drittanbieter darstellt:

Am Beispiel eines imaginären Vater-Tochter-Ausflugs wird deutlich gemacht, dass Werbetreibenden durch digitale Geräte ein großflächiger Zugriff auf demografische Informationen geboten wird und diese Daten eine Branche von 227 Milliarden US-Dollar pro Jahr befeuern. Apple kritisiert in dem Paper die fehlende Transparenz über die gesammelten Daten und die fehlende Kontrolle des Nutzers über die Datenübertragung.

Die Limitierung des Trackings durch Drittanbieter ist generell natürlich ein Schritt, der zu begrüßen ist. Dennoch stellt sich die Frage, ob es sich hierbei um eine strategische Entscheidung für das Wohl der Nutzer oder gegen die Marktstellung der Drittanbieter handelt.

Ein Blick in Apples Datenschutzbestimmungen

Betrachtet man die Datenschutz-Bestimmungen von Apple, wird klar: Man soll mit dem neuen Anti-Tracking-Tool zwar den App-Anbietern das Sammeln von Daten verbieten können – aber damit verbietet man nicht Apple das Speichern, Analysieren und Verkaufen von Daten. Tatbestand liefern Apples Datenschutzrichtlinien, die man erst nach erweiterter Suche und Umgehung der für die Kampagne erstellten Webseite zu “Datenschutz” findet.

“Apple erhebt personenbezogene Daten, die zur Bereitstellung unserer Dienste erforderlich sind. Dazu können personenbezogene Daten gehören, die zur Personalisierung oder Verbesserung unserer Angebote, für interne Zwecke wie Prüfungen oder Datenanalysen oder zur Problembehebung erfasst werden.”

Deutschsprachiges PDF von Apples Datenschutzrichtlinien (Stand 14. Dezember 2020), S. 5

Das ist eine sehr allgemeine Formulierung für die Zwecke der Verwendung der persönlichen Daten. Im Grunde kann Apple personenbezogene Daten dann verarbeiten, wenn der Konzern es für notwendig erachtet. Und liest man dies dazu:

 

“Apple kann personenbezogene Daten an Dienstanbieter, die in unserem Auftrag handeln, an unsere Partner oder an andere in Ihrem Auftrag tätige Parteien weitergeben”

Deutschsprachiges PDF von Apples Datenschutzrichtlinien (Stand 14. Dezember 2020), S. 5

 

Drittanbieter scheinen trotz Ablehnung des Trackings vonseiten der Nutzer Daten von Apple zugespielt bekommen zu können.

Die “Privacy”-Kampagne von Apple ist eine Illusion

Zum einen erklärt Apples CEO Tim Cook in einem Interview, dass die Verantwortung für den Schutz der Daten bei den Unternehmen selbst liege, und bemängelt in seinem Paper zusätzlich die fehlende Transparenz über die gesammelten Daten und die fehlende Kontrolle des Nutzers über die Datenübertragung. Zum anderen verstößt Apple mit seiner “Privacy”-Kampagne jedoch gegen den eigenen Grundsatz der Benutzertransparenz.

Es scheint, dass Facebook-Chef Mark Zuckerbergs Kritik zutrifft, dass Apple mit seiner Kampagne um Datenschutz nur den derzeitigen Wettbewerbsinteressen folge, um damit seinen Ertrag zu steigern. Denn wie Apple selbst die Tracking-Industrie kommentiert: “You have become the product”