Die BigBrotherAwards setzen Firmen, Organisationen und Personen in das Scheinwerferlicht der Öffentlichkeit – und das eher wider Willens. Die Preisträger zeichnen sich nämlich dadurch aus, dass sie “in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen sowie persönliche Daten verkaufen oder gegen ursprüngliche Interessen verwenden” und somit Schlagzeilen über sich selbst ungerne sehen.1
Die deutsche Jury, bestehend aus Vertretern von unabhängigen Organisationen wie der “Deutschen Vereinigung für Datenschutz (DVD)” und dem “Chaos Computer Club (CCC)”, hat Mitte Juni die BigBrotherAwards 2021 verliehen. Hier ein Überblick über einige der Preisträger:
In der Kategorie Hochschulen bekam die KI-basierte Prüfungssoftware und das gleichnamige Unternehmen “Proctorio” den Award. Die Software kann unter anderem durch den notwendigen Zugriff auf die Videokamera die Blicke von Prüflingen erkennen, die auf einen Täuschungsversuch hindeuten, und dann automatisch Alarm schlagen. In der Erklärung heißt es unter anderem, dass mit dieser Software nicht nur ein Eingriff in die Integrität der privaten Geräte der Studierenden erfolgt, sondern auch der Stresspegel erhöht wird, da das Verhalten von einer KI bewertet wird.
Den BigBrotherAward in der Kategorie Gesundheit bekam die Firma “Doctolib” in Berlin, die sich auf die Vermittlung von Arztterminen über ihre Plattform spezialisiert hat – wofür unter anderem der Zugriff auf den gesamten im Arztinformationssystem gespeicherten Patientenstammdatensatz gewährt werden muss. Diese Daten werden von “Doctolib” laut der Ausführung unter Missachtung der Vertraulichkeitsverpflichtung verarbeitet und auch im Rahmen kommerzieller Marketingzwecke genutzt, was in Anbetracht der sensiblen Gesundheitsdaten besonders bedenklich ist.
Das Technologieunternehmen “Google” erhielt den BigBrotherAward in der neuen Kategorie “Was mich wirklich wütend macht”. Kritisiert werden unter anderem die allseits bekannten Cookie-Banner, die Nutzer auf Webseiten über die Art der Speicherung von Daten hinweisen und ihre Zustimmung oder Ablehnung einholen müssen. Durch irreführende Designs geben diese Cookie-Banner die Möglichkeit zur Ablehnung jedoch erst nach einem frustrierenden Klick-Marathon preis und verleiten somit zu einem Klick auf den “Akzeptieren”-Button.
Das Problem mit den Cookie-Bannern
Durch diese irreführenden Banner verstoßen viele Unternehmen gegen die DSGVO, die eine einfache Auswahl zwischen “Ja” und “Nein” verlangt. Der Verein noyb, der sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union verschrieben hat, möchte nun aktiv dagegen vorgehen. Gemeinsam mit dem “Sustainable Computig Lab (CSL)” der Wirtschaftsuniversität Wien haben sie das “Advanced Data Protection Control (ADPC)” genannte Konzept entwickelt, das ein einheitliches und simples Pop-Up im Browser für die Datenschutz-Anfragen der einzelnen Webseiten generieren soll.
Zusätzlich prüft das juristische Team von noyb mithilfe einer Software verschiedene Arten von rechtswidrigen Cookie-Bannern. Das System generiert automatisch eine DSGVO-Beschwerde und leitet das Unternehmen zu einer Änderung des Cookie-Banners an. “Wenn ein Unternehmen seine Einstellungen nicht innerhalb eines Monats ändert, wird noyb die Beschwerde bei der zuständigen Behörde einbringen, die ein Bußgeld von bis zu 20 Millionen Euro verhängen kann”, so berichtet der Verein.
Durch die Schaffung von Öffentlichkeit und einem aktiven Vorgehen kann eine Umänderung von Unternehmenskonzepten angestoßen werden, die die Digitale Souveränität des Einzelnen und der Gesellschaft verletzten. Der Verein “fair.digital” möchte als Orientierungshilfe dabei unterstützen, Risiken und Möglichkeiten aufzuzeigen, um eine selbstbestimmte Lebensweise innerhalb der digitalen Welt zu etablieren.
Die Folgen des Falls des “Privacy Shield”: Wie sich nun Cloud-Dienste von Amazon und Microsoft einer Untersuchung unterziehen müssen und Bundesministerien kein Facebook mehr nutzen dürfen.
Das Schrems-II-Urteil des Europäischen Gerichtshofes hat das “Privacy Shield” im Juli 2020 für ungültig erklärt. Demnach bietet die USA kein der Europäischen Datenschutzgrundverordnung (DSGVO) angemessenes Schutzniveau für personenbezogene Daten und muss unter strengere Anforderungen gestellt werden.
Der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski hat in diesem Zuge eine Untersuchung gegen die in der USA ansässigen Cloud-Dienste AWS von Amazon und Azure von Microsoft eingeleitet. Zusätzlich soll die Konformität von Microsoft Office 365 mit den Datenschutzgesetzen geprüft werden. Im Hintergrund der Untersuchung steht das Wissen über die rechtliche Befugnis der US-Behörden, Zugang zu ausländischen Serverinformationen von nationalen Speicheranbietern zu bekommen. Um dem Risiko einer Überwachung durch die US-amerikanischen Behörden zu entgehen, müssen also DSGVO-konforme Schutzmaßnahmen für den Datentransfer zu den Cloud-Anbietern getroffen werden.1
Eine Forderung des Bundesbeauftragten für den Datenschutz, Ulrich Kelber, liegt im gleichen Interessensbereich wie die des Europäischen Datenschutzbeauftragten. An einem Rundschreiben an die Bundesministerien und -Behörden appelliert er für das Abschalten von den für die Öffentlichkeitsarbeit genutzten Facebook-Fanpages, da diese keinen datenschutzkonformen Betrieb möglich machen. Ebenfalls wird den Ministerien und Behörden die Empfehlung ausgesprochen, datenschutzrechtlich defizitäre Apps wie Instagram, TikTok und Clubhouse nicht auf dienstlichen Geräten zu nutzen.2
Seit dem 22. Juni werden Daten von fast 93 Prozent aller LinkedIn-Nutzer in einem Hackerforum zum Verkauf angeboten. Der Blog Restoreprivacy bestätigt nach einer Prüfung einer veröffentlichten Stichprobe der 700 Millionen Nutzerdaten die Authentizität der Daten.
Die angebotenen Nutzerprofile enthalten Informationen wie vollständige Namen, Geschlecht, E-Mail-Adressen, Telefonnummern, Anschriften, persönliche und berufliche Erfahrungen sowie die Benutzernamen anderer Social-Media-Konten. Obwohl in der Stichprobe bisher keine Zugangs- oder Finanzdaten gefunden wurden, können die verfügbaren Informationen für den Zugriffserhalt zu anderen Konten ausgenutzt werden.
Während der Konzern LinkedIn sich selbst noch nicht zu dem Vorfall geäußert hat, warnt Restoreprivacy unter anderem vor Identitätsdiebstählen und Phishing-Angriffen.
Der Bundestag hat das “Gesetz zur Anpassung des Verfassungsschutzrechts” angenommen, mit dem alle deutschen Geheimdienste die Befugnis zum Einsatz des Staatstrojaners für Überwachungszwecke erhalten. Wie netzpolitik.org berichtet, hat die Bundespolizei zudem die Erlaubnis, Staatstrojaner schon präventiv bei Personen einzusetzen, die noch keine Straftat begangen haben.
Trojaner sind vergleichbar mit einer digitalen Wanze, die auf den Endgeräten der Zielpersonen positioniert wird. Unterstützung sollen die Behörden dabei durch Telekommunikationsanbieter erhalten, die den Trojaner zum Beispiel in Downloads einspeisen. Durch die Installation soll den Behörden dann der “Zugriff auf laufende Kommunikation plus die Kommunikation, die vor Installation der Schadsoftware, aber nach Anordnung der Überwachungsmaßnahme stattgefunden hat”1, ermöglicht sein.
Laut dem Bundestag sei diese Anordnung wichtig, um die innere Sicherheit und Abwehr von Cyber-Kriminalität und Terrorismus durch die Anpassung an aktuelle technische Verhältnisse zu verbessern. Der Chaos Computer Club kritisiert unter anderem jedoch, dass für die Installation der Trojaner Sicherheitslücken im Gerät vorliegen müssen. Diese würden für den Einsatz von den Behörden ausgenutzt und blieben aufgrund der Geheimhaltung offen. Somit wäre auch immer ein Angriff durch Cyber-Kriminelle möglich.
In unserem Blog wurde Digitale Souveränität als das Bestimmungsrecht über alle (digital) erfassten persönlichen Daten definiert. Durch die unkritische Hinnahme von umständlich formulierten Nutzungsbedingungen von Anbietern digitaler Systeme betritt man meistens eine Endlosschleife der Ausbeutung, Überwachung und Manipulation. Wie sich diese Methode im Alltag zeigt, macht Robert G. Reeve mit mehreren Twitter-Posts deutlich.
Robert G. Reeve ist selbsternannter Autor, Designer und Datenschutztechniker. In einem Tweed berichtet er davon, wie er nach einem Besuch bei seiner Mutter Werbung für deren genutzte Zahnpasta-Marke anzeigt bekommt, ohne diese je verbal (oder in einem mobilen Endgerät) aufgegriffen zu haben.
Gleich zu Beginn stellt Reeve klar, dass Social-Media-Apps ihre Nutzer aufgrund von günstigeren Alternativen nicht belauschen, um Daten zu sammeln. Denn schon alleine durch die alltäglichen Funktionen häufen sich Daten an, die von den jeweiligen Unternehmen genutzt werden können: “Ihre eindeutige Geräte-ID. Ihr Standort. Ihre Demografie. […] Wann benutze ich meine Rabattkarte im Supermarkt? Jeder Einkauf? Das ist ein Datensatz zum Verkauf”, so Reeve (übersetzt aus dem Englischen).
Durch die Zustimmung der jeweiligen Nutzungs- und Datenschutzbestimmungen ist es Anwendungen auch möglich, Verknüpfungen herzustellen und auszubauen. Reeve macht es folgendermaßen deutlich: “Befindet sich mein Telefon regelmäßig am selben GPS-Standort wie ein anderes Telefon, nehmen sie [Apps] dies zur Kenntnis. Sie [Apps] beginnen mit der Rekonstruktion des Netzes von Menschen, mit denen ich regelmäßig in Kontakt stehe” (übersetzt aus dem Englischen).
Auf Grundlage dieser aggregierten Metadaten werden Anzeigen basierend auf den Interessen der Leute um einen herum angezeigt, mit denen man regelmäßig in Kontakt steht. Bei Reeve ist es mit der Zahnpasta-Marke wohl folgendermaßen abgelaufen:
“So. Sie [Apps] kennen die Zahnpasta meiner Mutter. Sie [Apps] wissen, dass ich bei meiner Mutter war. Sie [Apps] kennen mein Twitter. Jetzt bekomme ich Twitter-Anzeigen für Mamas Zahnpasta. Bei Ihren Daten geht es nicht nur um Sie. Es geht darum, wie sie gegen jede Person verwendet werden können, die Sie kennen, und gegen Personen, die Sie nicht kennen. Um Verhalten unbewusst gestalten.“
Robert G. Reeve (übersetzt aus dem Englischen)
Mit diesem Beispiel wird deutlich, wie persönliche Daten für manipulative Werbezwecke genutzt werden (können). Obwohl es Möglichkeiten gibt, das Tracking von Apps zu blockieren, sollte man diese nicht unbedacht nutzen. Das neuste Update von Apple, das Reeve beispielsweise empfiehlt, blockiert zwar die Möglichkeit des Trackings externer Apps, trackt jedoch selbst weiter, wie Sie hier lesen können.
Man kann an diesem Beispiel festmachen, dass es Anbietern von Smartphones und Apps etc. durch die Analyse von Daten möglich ist, uns zu überwachen und unser Verhalten unbewusst zu gestalten. Denn ist es nicht wahrscheinlicher, dass Sie eine Zahnpasta-Marke kaufen, die Ihre Mutter nutzt und Ihnen als Werbung vorgeschlagen wird? – Meistens ja, und damit bestätigt sich die Philosophie der Datenkraken: Überwachung und Manipulation, womit schrittweise das Bestimmungsrecht über die eigenen Daten verloren geht.
In einem exklusiven Interview erzählen Berno Breitruck, Geschäftsführer der IT-Unternehmensberatung attempto, und Hermann von Brevern, Leiter der Niederlassung Karlsruhe, über die Bedeutung der fair.digital-Werte – nicht nur für das Unternehmen und die Branche, sondern auch für die Gesellschaft.
Welche Werte schätzen Sie selbst an Ihrem eigenen Unternehmen am meisten?
Hermann von Brevern: Besonders inspirierend finde ich die Art, wie wir partnerschaftliche Beziehungen zu unseren Kunden aufbauen, um langfristig einen Wert zu vermitteln. Dazu kommt die Energie unserer Mitarbeiter für Exzellenz und gute Zusammenarbeit. Als Organisation haben wir sehr flache Hierarchien auf kollegialer Ebene, bei denen Vertrauen, Innovation und Professionalität immer im Mittelpunkt stehen. Dadurch schaffen wir gemeinsam ein soziales Umfeld, in dem man gerne arbeitet.
Berno Breitruck: Den Wert des Vertrauens – besonders innerhalb unseres Unternehmens schätze ich am meisten. Das ist Motivation und Verpflichtung der gesamten Geschäftsleitung. Wir möchten unseren Kollegen in jeder Lebensphase eine Heimat geben und eine vertrauensvolle Zusammenarbeit pflegen. Außerdem legen wir großen Wert auf die Weiterbildung und Kompetenzaufbau unserer Mitarbeiter – das ist der größte “Schatz”, den jeder Mitarbeiter für sich und seine Familie sukzessive aufbauen kann.
Innerhalb der attempto probieren Sie auch neue Wege aus und haben eine sogenannte Innovationsmanufaktur. Wie kann man sich diese vorstellen?
Berno Breitruck: Die attempto Innovations-Manufaktur ist ein system-immanenter Bestandteil der attempto. Seit der Gründung des Unternehmens vor 15 Jahren betreiben wir hier aktives Trendscouting und wurden bereits mehrfach für unsere innovativen Ideen und Produkte ausgezeichnet und prämiert. Auch die Erfahrungen aus dem Silicon Valley und China tragen dazu bei, Trends und technologische Möglichkeiten kennenlernen zu können. Dieses Wissen nutzen wir für Technologien, mit denen wir “IT for Good” schaffen und unsere Kunden zeitgemäß und transparent beraten zu können.
Hermann von Brevern: Wir wollen dieses Wissen bei allen Mitarbeitern verankern und sie dabei unterstützen, über den Tageshorizont hinauszudenken. Sie sollen einschätzen können, wofür ihre Tätigkeit wichtig ist, und was aus ihr in Zukunft erwachsen kann. Als Beratungsunternehmen müssen wir diejenigen sein die vorausgehen und auch mal “outside-the-box” denken, um gute und nachhaltige Lösungen zu finden. Nicht umsonst ist “Was morgen zählt” unser Motto, und dafür ist die Innovationsmanufaktur ein wichtiger Treiber.
Welche Innovationen haben Sie in der Innovationsmanufaktur schon herausgebracht?
Hermann von Brevern: Wir haben zum Beispiel schon 2008 die erste Bio-App entwickelt, die seitdem schon mehrfach ausgezeichnet und prämiert wurde. bio123 ist eines der führenden Branchen-Ökosysteme, das Warenwirtschaft, Kassensysteme und Produktdatenbanken vereint. Im Mittelpunkt stehen bei dem Portal die Regionalität und damit einhergehend die Schonung der Umwelt, verantwortungsvoller Konsum und das Schaffen eines Erlebnisses für den Verbraucher, da ein Zugang zu bisher wenig bekannten Produkten ermöglicht wird. Bio- und Regional-Erzeuger können sich kostenlos registrieren und ihr gesamtes Sortiment abbilden. Der Anbieter kann dann direkt mit seinen Kunden in Beziehung und in Kommunikation treten. Letztlich geht es hier auch darum, Menschen zusammen zu bringen.
Berno Breitruck: Ein weiteres Beispiel ist das Stresspräventionstool iCope. Es wurde in Zusammenarbeit mit einer namhaften Universität realisiert, ist klinisch wirksam und wurde bereits in der Praxis erprobt. Das kognitive Tool unterliegt mit seinem Online-Training gängigen Therapiemaßnahmen und soll bei der Verbesserung der Resilienz gegenüber Stresssituationen unterstützen. Das Ziel ist, dass das Tool künftig von Unternehmen und Organisationen ihren Mitarbeitern zur Verfügung gestellt wird, um ihre mentale Gesundheit zu unterstützen. Ebenso wird unser Treeam Portal mit dem persönlich Ökdepot und CO2 Ausgleich auf Basis der Wiederaufforstung der Regenwälder wegweisend. Wir haben bereits einen eigenen attempto-Wald, dem sich andere Unternehmen angeschlossen haben.
Welche Stellung nimmt Datenschutz bei attempto ein?
Berno Breitruck: Datenschutz und Daten-Souveränität genießen höchste Priorität. Unser Bestreben ist es, die Einhaltung des Datenschutzes als Mehrwert in Bezug auf die Plattformökonomie und die Digitalisierung zu verstehen.
Hermann von Brevern: Datenschutz ist ein hohes Gut und gegenwärtig von mehreren Seiten unter großem Druck. Uns ist wichtig, dass Nutzer jederzeit im Blick haben, was mit ihren Daten passiert und die Hoheit über deren Verwendung behalten. Leider ist das im Augenblick nicht unbedingt Standard. Wir wollen hier aber keine Aktivisten sein, sondern Vorbilder. Wir möchten zeigen, wie man auch mit Datensparsamkeit Erfolg haben kann, und hoffen, dass unser Beispiel Andere inspiriert. Aus diesem Grund unterstützen wir Initiativen wie fair.digital, deren Werte wir voll und ganz teilen.
Wie sehen Sie die Rolle und Bedeutung von Datenschutz in der Gesellschaft?
Berno Breitruck: Meine Wahrnehmung ist, dass der persönliche Datenschutz beim Umgang einiger Apps zu leichtfertig ignoriert wird. Die Sorglosigkeit einiger Nutzergruppen beim Umgang mit den eigenen persönlichen Daten ist zum Teil erschreckend. Hier besteht der Auftrag des gegenseitigen Schutzes. Die Gefahr, die von künstlicher Intelligenz in diesem Zusammenhang ausgehen kann, darf nicht unterschätzt werden. Datenschutz und Daten-Souveränität hilft ergänzend auch bei der Unterbindung der monopolistischen Trends, die wir im Moment feststellen. Deswegen ist es für uns eine Verpflichtung, nicht nur Daten zu schützen, sondern auch das Thema Vielfalt und Diversität in der Digitalisierung aufrechtzuerhalten.
Hermann von Brevern: Als diejenigen, die mit Daten umgehen, haben wir eine moralische und rechtliche Verantwortung, der wir gegenüber unseren Nutzern gerecht werden müssen und wollen. Datenschutz ist aus unserer nationalen Historie bedingt als integraler Teil unserer freiheitlich-demokratischen Grundordnung anzusehen. Wie Herr Breitruck schon sagte, ist aber das Verständnis unserer Mitbürger im Bereich des Datenschutzes leider nicht immer ausreichend entwickelt. Deutlich wird dies, wenn zwar bei einem Staatsangebot wie der Corona-App (zu Recht) hoher Wert auf den Schutz der Daten gelegt wird, aber bei kostenlosen Angeboten von Amazon, Google, Facebook und Co. keinerlei Bedenken zur Verwendung der eigenen Daten aufkommen. Aber der Ansatz, nur durch Gesetze die Nutzer vor sich selbst und den Folgen ihrer naiven Freigiebigkeit zu schützen, greift auf die Dauer zu kurz. Es ist entscheidend, dass die Fähigkeit zur Selbstbestimmung und letztlich Mündigkeit der Bürger auf einer gesamtgesellschaftlichen Ebene gefördert wird, um eine nachhaltige Balance in der Verwendung von Daten zu erreichen.
Was hat Sie letztlich zur Beteiligung bei fair.digital angetrieben?
Berno Breitruck: fair.digital ist eine Mittelstandsinitiative – sie hat das Potential einen wichtigen Impuls in der Deutschen und Europäischen IT-Branche zu setzen. Das europäische Ökosystem muss so schnell wie möglich eigene “Werte digitalisieren” und durch eigene Innovationen weltweite Standards etablieren. Martin Hubschneider ist hier ein wichtiger Faktor und wir schätzen die vertrauensvolle Zusammenarbeit sehr.
Hermann von Brevern: Die Ideen von fair.digital sind einfach die Richtigen. Zusätzlich zu der vertrauensvollen Beziehung ist uns wichtig, mit dem Verein und der einhergehenden Selbstverpflichtung ein Signal zum Thema Datenschutz zu setzen. Einzig durch Eigeninitiative werden wir uns nach vorne bewegen und etwas verändern können.
Wie reagieren Ihre Kunden und Partner zu Ihrer Teilnahme bei fair.digital?
Berno Breitruck: Sowohl bei Studierenden mit denen wir in Kontakt stehen, als auch bei Unternehmen in deren Beirat ich bin, wird die fair.digital-Idee sehr positiv aufgenommen. Bei allen ist der Wunsch nach gemeinsamem Handeln angekommen. Wir müssen wieder auf das Spielfeld der internationalen Digitalisierung zurückkommen und dürfen unsere Gesellschaft nicht den Giganten der Branche schutzlos ausliefern.
Hermann von Brevern: Die Produktentwicklung und -zertifizierung macht bei uns als Unternehmensberatung nicht das Hauptgeschäftsfeld aus. Aber wir bringen das Thema an unsere Kunden und Mitarbeiter heran. Auch bei unseren Bewerbern stößt dieser Ansatz auf Interesse und Begeisterung. Denn fair.digital ist ein Teil der Antwort für mehr Digitale Souveränität des Einzelnen und der Gesellschaft.
Weitere Informationen zu dem Unternehmen attempto finden Sie hier.
Am 25. Mai 2021 feiert die Datenschutz-Grundverordnung (DSGVO) ihren dreijährigen Geburtstag. In dem Bericht “Drei Jahre unter der DSGVO” hat die Non-Profit-Organisation Access Now, die sich für die Verteidigung der digitalen Bürgerrechte einsetzt, nun mehrere Haupthindernisse bei der Durchsetzung des Gesetzes untersucht und festgestellt.
1. Das Problem der Auslegung
Gesetze sind in der Regel in abstrakter Rechtssprache verfasst, deren Umsetzung erst nach der Ermittlung der genauen Bedeutung angegangen werden kann. Diese “Ermittlung” ist ein Art von Interpretationsprozess, den man als “Auslegung” bezeichnet.
In Deutschland knüpft man dabei an Friedrich Carl von Savignys System der juristischen Hermeneutik an, die dafür vier Elemente in sich vereint (Schübel-Pfister, 2004, 124 – 132): Während beim grammatischen Element der Auslegung der natürliche Sinn der Worte im unmittelbaren Zusammenhang des Satzes zu ermitteln ist, umfasst die systematische Auslegung den Einbezug naheliegender Gesetze. Die teleologische Auslegung sucht indessen nach dem Sinn und Zweck des Gesetzes, während das historische Element der Auslegung auf die historischen Gründe für die Schaffung einer Norm abzielt.
Nun hat aber jedes Land eigene Formen der Auslegung: Während beispielsweise im angloamerikanischen Raum traditionell der Wortlaut eine größere Rolle bei der Auslegung spielt, umfasst die Interpretation nach französischem Verständnis auch die Lückenfüllung und Rechtsfortbildung (Schübel-Pfister, 2004, 125). Somit ist es möglich, dass Juristen aus anderen Ländern auf unterschiedliche Interpretationen eines Gesetzes kommen. Da bereits der Begriff der Auslegung selbst auslegungsfähig ist, kann selbst der Europäische Gerichtshof, der nach dem Vertrag zur Gründung der Europäischen Gemeinschaft (kurz EGV) ” ‘die Wahrung des Rechts bei der Auslegung und Anwendung’ ” zu sichern hat, zu keinem einheitlichen Ergebnis gelangen (Schübel-Pfister, 2004, 126).
Obwohl die DSGVO Erwägungsgründe sowie Begriffsbestimmungen in Artikel 4 beinhaltet, die zur Unterstützung bei der Auslegung herangezogen werden können, haben auch die Aufsichtsbehörden dieses Problem bemerkt. Laut dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit sind sie daher an der Erarbeitung von “Leitlinien und Empfehlungen für die Auslegung und Umsetzung der neuen Rechtsvorschriften im Europäischen Datenschutzausschuss” (übersetzt aus dem Englischen; GDPR evaluation after two years – Take the opportunity for changes! (2020), The Hamburg Commissioner for Data Protection and Freedom of Information)
2. Das Problem der praktischen Umsetzung
Für die Durchsetzung der Regelungen der DSGVO sind die nationalen Datenschutzbehörden zuständig. Im Zeitraum von Mai 2018 bis März 2021 wurden insgesamt 278.549.188 Euro von den Datenschutzbehörden an Geldbußen und Sanktionen verhängt (Access Now, S. 2) – fast die Hälfte dieser Strafen belief sich gegen Technologieunternehmen und Telekommunikationsbetreiber (Access Now, S. 6).
Neben einer großen Diskrepanz zwischen der Art und Weise, wie Datenschutzbehörden in verschiedenen Mitgliedsstaaten ihre Befugnisse nutzen (Access Now, S. 2), haben die Behörden auch erhebliche Probleme mit der Durchsetzung der DSGVO in grenzüberschreitenden Fällen (Access Now, S. 3). Gründe hierfür sind unter anderem die Verwendung unzureichender Kommunikationsmittel sowie die Unvereinbarkeit nationaler Verfahren (Access Now, S. 3). Letzteres kann beispielsweise dazu führen, dass eine Behörde einen Fall für ungültig erklärt, während eine andere dies nicht tut.
Zusätzlich kommt hinzu, dass sich jeweils die Datenschutzbehörde in dem Land, in dem sich auch die Hauptniederlassung eines Unternehmens befindet, zur “federführenden Behörde” entwickelt und somit für alle Beschwerden im Zusammenhang mit diesem Unternehmen verantwortlich ist (Access Now, S. 13). Ein bekanntes Beispiel hierfür ist das Unternehmen Facebook, das seine Hauptniederlassung in Irland registriert hat und jede Untersuchung gegen das Unternehmen somit von der irischen Datenschutzbehörde geleitet werden muss (Access Now, S. 13). Dieses System führt jedoch meistens zu Überlastungen einzelner Datenschutzbehörden und immer noch zu Unklarheiten darüber, wer einen Fall leiten sollte.
Prof. Dr. Dieter Kugelmannm, seit 2015 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, sagt in einem Interview mit Netzpolitik auch, dass die “größte Baustelle […] in der Tat eine effektive und europaweit einigermaßen harmonisierte Durchsetzung” ist.
Obwohl in Europa mit der DSGVO also eine gute Gesetzesgrundlage für den Datenschutz gegeben ist, muss die Umsetzung der Gesetze noch verbessert werden. Einheitliche Regelungen und Kommunikationskanäle wären wohl ein Anfang. Ebenfalls darf die Ausweitung der Gesetze nicht fehlen, um eine verfestigte Rechtsgrundlage beim Vorgehen gegen Unternehmen zu haben.
Am 15. Mai 2021 aktualisierte der Messenger WhatsApp seine Nutzungsbedingungen und Datenschutzrichtlinie. Die Ankündigung über die Änderungen führte zu Beginn des Jahres zu starken Protesten und der Abwanderung von Nutzern zu Alternativ-Messengern. Doch was hat es mit den Neuerungen auf sich, dass so viele Menschen erzürnt sind?
Der Messenger WhatsApp betont, dass es mit den neuen Nutzungsbedingungen zu keinen Änderungen der Ende-zu-Ende-Verschlüsselung der persönlichen Nachrichten kommen soll. Ebenfalls soll mit der Aktualisierung keine erweiterte Datenweitergabe an Facebook als Eigentümer vorgesehen sei.
Hintergrundinformation: WhatsApp speichert unter anderem persönliche Daten wie Account- und Smartphone-Informationen, Standortdaten und Kommunikationsdaten (mit wem hat man wie lange telefoniert/geschrieben). Seit dem Jahr 2016 tauscht der Konzern auch Anwenderdaten mit Facebook-Diensten aus. Welche der gespeicherten Daten das genau sind, wird in der Datenschutzrichtlinie nicht ersichtlich.
Da die Aktualisierungen neue Optionen erhalten, über die Personen mithilfe von WhatsApp Nachrichten an Unternehmen senden können, soll lediglich die Kommunikation mit und für den Einkauf von Unternehmen auf WhatsApp zur Verwaltung gespeichert werden. “Wenn du mit einem Unternehmen über Telefon, E-Mail oder WhatsApp kommunizierst, kann es die Informationen aus diesen Interaktionen mit dir für eigene Marketingzwecke verwenden. Dies kann auch Werbung auf Facebook einschließen”, hieß es in einer Erläuterung.
Für die Zustimmung wird seit ein paar Wochen ein Banner auf der App eingeblendet, das auf die Neuerungen hinweist. Sollten Nutzer dem Update nicht zustimmen, soll sich der Funktionsumfang der App ab dem 15. Mai schrittweise verringern. Man werde zwar noch eingehende Audio- und Videoanrufe annehmen, sowie über Benachrichtigungen auch Chat-Nachrichten beantworten können – diese sollen letztlich jedoch eingestellt werden.
Im Grunde lässt WhatsApp seinen Nutzern keine Wahl, wenn sie den Messenger weiter uneingeschränkt nutzen wollen: Man muss den neuen Nutzungsbedingungen zustimmen. Man hat jedoch die Wahl, auf eine Messenger-Alternative wie Signal oder Threema zurückzugreifen – wenn man denn möchte.
Apple gehört zu den wertvollsten Unternehmen der Welt und scheint einen deutlichen Schritt Richtung mehr Datenschutz zu gehen: Mit dem System-Update von iOS 14.5 hat Apple neue Anti-Tracking-Maßnahmen für Drittanbieter umgesetzt. Aber wie hält es Apple selbst mit dem Datenschutz?
Gerade in Bezug auf den Datenschutz verspricht Apple viel mit dem System-Update von iOS 14.5 und scheint Aufklärung in Bezug auf den digitalen Datenschutz zu betreiben. Die Aktualisierung für die aktuellen iPhones kommt mit einer Einstellung namens App Tracking Transparency, übersetzt: App-Verfolgungstransparenz.
Schon Ende Januar 2021 stellt der US-Konzern ein Paper zum Download zur Verfügung, das den Umgang mit anfallenden Daten durch Werbetreibende und Drittanbieter darstellt:
Am Beispiel eines imaginären Vater-Tochter-Ausflugs wird deutlich gemacht, dass Werbetreibenden durch digitale Geräte ein großflächiger Zugriff auf demografische Informationen geboten wird und diese Daten eine Branche von 227 Milliarden US-Dollar pro Jahr befeuern. Apple kritisiert in dem Paper die fehlende Transparenz über die gesammelten Daten und die fehlende Kontrolle des Nutzers über die Datenübertragung.
Die Limitierung des Trackings durch Drittanbieter ist generell natürlich ein Schritt, der zu begrüßen ist. Dennoch stellt sich die Frage, ob es sich hierbei um eine strategische Entscheidung für das Wohl der Nutzer oder gegen die Marktstellung der Drittanbieter handelt.
Ein Blick in Apples Datenschutzbestimmungen
Betrachtet man die Datenschutz-Bestimmungen von Apple, wird klar: Man soll mit dem neuen Anti-Tracking-Tool zwar den App-Anbietern das Sammeln von Daten verbieten können – aber damit verbietet man nicht Apple das Speichern, Analysieren und Verkaufen von Daten. Tatbestand liefern Apples Datenschutzrichtlinien, die man erst nach erweiterter Suche und Umgehung der für die Kampagne erstellten Webseite zu “Datenschutz” findet.
“Apple erhebt personenbezogene Daten, die zur Bereitstellung unserer Dienste erforderlich sind. Dazu können personenbezogene Daten gehören, die zur Personalisierung oder Verbesserung unserer Angebote, für interne Zwecke wie Prüfungen oder Datenanalysen oder zur Problembehebung erfasst werden.”
Deutschsprachiges PDF von Apples Datenschutzrichtlinien (Stand 14. Dezember 2020), S. 5
Das ist eine sehr allgemeine Formulierung für die Zwecke der Verwendung der persönlichen Daten. Im Grunde kann Apple personenbezogene Daten dann verarbeiten, wenn der Konzern es für notwendig erachtet. Und liest man dies dazu:
“Apple kann personenbezogene Daten an Dienstanbieter, die in unserem Auftrag handeln, an unsere Partner oder an andere in Ihrem Auftrag tätige Parteien weitergeben”
Deutschsprachiges PDF von Apples Datenschutzrichtlinien (Stand 14. Dezember 2020), S. 5
Drittanbieter scheinen trotz Ablehnung des Trackings vonseiten der Nutzer Daten von Apple zugespielt bekommen zu können.
Die “Privacy”-Kampagne von Apple ist eine Illusion
Zum einen erklärt Apples CEO Tim Cook in einem Interview, dass die Verantwortung für den Schutz der Daten bei den Unternehmen selbst liege, und bemängelt in seinem Paper zusätzlich die fehlende Transparenz über die gesammelten Daten und die fehlende Kontrolle des Nutzers über die Datenübertragung. Zum anderen verstößt Apple mit seiner “Privacy”-Kampagne jedoch gegen den eigenen Grundsatz der Benutzertransparenz.
Es scheint, dass Facebook-Chef Mark Zuckerbergs Kritik zutrifft, dass Apple mit seiner Kampagne um Datenschutz nur den derzeitigen Wettbewerbsinteressen folge, um damit seinen Ertrag zu steigern. Denn wie Apple selbst die Tracking-Industrie kommentiert: “You have become the product”
Mit den Prinzipien Datenschutz, Transparenz und Fairness stellt der gemeinnützige Verein fair.digital e.V. eine Gegenbewegung zu Daten-Monopolen dar. Der von “fair.digital” vertretene Netzwerk-Gedanke und die zentrale Rolle der Digitalen Souveränität wird auch beim CyberForum als größtes europäisches Netzwerk mit über 1.200 Mitgliedern aus der Digitalwirtschaft fokussiert.
David Hermanns
Martin Hubschneider
David Hermanns, Geschäftsführer des CyberForum und Unterstützer der Initiative fair.digital, und Martin Hubschneider, Vorsitzender des Vereins fair.digital und Vorstandsmitglied des CyberForum, sprechen in einem aktuellen Interview über die zentrale Rolle von Netzwerken und Digitaler Souveränität – auch außerhalb der IT-Branche.
David Hermanns betont, dass durch die Auszeichnung mit dem Gütesiegel von fair.digital gleichzeitig ein Überblick über faire digitale Produkte und Dienstleistungen geschaffen wird. Denn für die Zertifizierung müssen sieben Kriterien erfüllt sein, die dem Ziel der Digitalen Souveränität folgend datensparsam gestaltet sind. Die Nutzung dieser fairen Alternativen macht Europa unabhängig von Daten-Monopolen. Hermanns führt aus:
“Mit dem Verein fair.digital vereinen wir Unternehmen mit einheitlich übereinstimmenden Werten, um unsere Zukunft digital souverän zu gestalten.”
David Hermanns
Hubschneider identifiziert den Erfolg des Vereins durch die zahlreichen positiven Rückmeldungen und der wachsenden Bedeutung von Digitaler Souveränität in der Öffentlichkeit. Auch Hermanns beobachtet, dass sich immer mehr Mitglieder des CyberForum mit der nachhaltigen Gestaltung der Digitalisierung beschäftigen und bei der Umsetzung der fair.digital-Ziele mitwirken wollen. Letztlich geht damit nämlich eine Stärkung des gesamten Netzwerks einher, so das Resümee von David Hermanns.
Das Bewusstsein für Digitale Souveränität soll, so Hubschneider zum Schluss des Interviews, mit Vorträgen und einer vermehrten öffentlichen Präsenz von “fair.digital” gestärkt werden, damit durch ein wachsenden Netzwerk schließlich die Digitale Souveränität Europas vorangetrieben werden kann.
Das vollständige Interview von Martin Hubschneider und David Hermanns steht hier auf TECHTAG zur Verfügung.
