I'm back from a week at my mom's house and now I'm getting ads for her toothpaste brand, the brand I've been putting in my mouth for a week. We never talked about this brand or googled it or anything like that.
As a privacy tech worker, let me explain why this is happening. 🧵
In unserem Blog wurde Digitale Souveränität als das Bestimmungsrecht über alle (digital) erfassten persönlichen Daten definiert. Durch die unkritische Hinnahme von umständlich formulierten Nutzungsbedingungen von Anbietern digitaler Systeme betritt man meistens eine Endlosschleife der Ausbeutung, Überwachung und Manipulation. Wie sich diese Methode im Alltag zeigt, macht Robert G. Reeve mit mehreren Twitter-Posts deutlich.
Robert G. Reeve ist selbsternannter Autor, Designer und Datenschutztechniker. In einem Tweed berichtet er davon, wie er nach einem Besuch bei seiner Mutter Werbung für deren genutzte Zahnpasta-Marke anzeigt bekommt, ohne diese je verbal (oder in einem mobilen Endgerät) aufgegriffen zu haben.
Gleich zu Beginn stellt Reeve klar, dass Social-Media-Apps ihre Nutzer aufgrund von günstigeren Alternativen nicht belauschen, um Daten zu sammeln. Denn schon alleine durch die alltäglichen Funktionen häufen sich Daten an, die von den jeweiligen Unternehmen genutzt werden können: “Ihre eindeutige Geräte-ID. Ihr Standort. Ihre Demografie. […] Wann benutze ich meine Rabattkarte im Supermarkt? Jeder Einkauf? Das ist ein Datensatz zum Verkauf”, so Reeve (übersetzt aus dem Englischen).
Durch die Zustimmung der jeweiligen Nutzungs- und Datenschutzbestimmungen ist es Anwendungen auch möglich, Verknüpfungen herzustellen und auszubauen. Reeve macht es folgendermaßen deutlich: “Befindet sich mein Telefon regelmäßig am selben GPS-Standort wie ein anderes Telefon, nehmen sie [Apps] dies zur Kenntnis. Sie [Apps] beginnen mit der Rekonstruktion des Netzes von Menschen, mit denen ich regelmäßig in Kontakt stehe” (übersetzt aus dem Englischen).
Auf Grundlage dieser aggregierten Metadaten werden Anzeigen basierend auf den Interessen der Leute um einen herum angezeigt, mit denen man regelmäßig in Kontakt steht. Bei Reeve ist es mit der Zahnpasta-Marke wohl folgendermaßen abgelaufen:
“So. Sie [Apps] kennen die Zahnpasta meiner Mutter. Sie [Apps] wissen, dass ich bei meiner Mutter war. Sie [Apps] kennen mein Twitter. Jetzt bekomme ich Twitter-Anzeigen für Mamas Zahnpasta. Bei Ihren Daten geht es nicht nur um Sie. Es geht darum, wie sie gegen jede Person verwendet werden können, die Sie kennen, und gegen Personen, die Sie nicht kennen. Um Verhalten unbewusst gestalten.“
Robert G. Reeve (übersetzt aus dem Englischen)
Mit diesem Beispiel wird deutlich, wie persönliche Daten für manipulative Werbezwecke genutzt werden (können). Obwohl es Möglichkeiten gibt, das Tracking von Apps zu blockieren, sollte man diese nicht unbedacht nutzen. Das neuste Update von Apple, das Reeve beispielsweise empfiehlt, blockiert zwar die Möglichkeit des Trackings externer Apps, trackt jedoch selbst weiter, wie Sie hier lesen können.
Man kann an diesem Beispiel festmachen, dass es Anbietern von Smartphones und Apps etc. durch die Analyse von Daten möglich ist, uns zu überwachen und unser Verhalten unbewusst zu gestalten. Denn ist es nicht wahrscheinlicher, dass Sie eine Zahnpasta-Marke kaufen, die Ihre Mutter nutzt und Ihnen als Werbung vorgeschlagen wird? – Meistens ja, und damit bestätigt sich die Philosophie der Datenkraken: Überwachung und Manipulation, womit schrittweise das Bestimmungsrecht über die eigenen Daten verloren geht.
In einem exklusiven Interview erzählen Berno Breitruck, Geschäftsführer der IT-Unternehmensberatung attempto, und Hermann von Brevern, Leiter der Niederlassung Karlsruhe, über die Bedeutung der fair.digital-Werte – nicht nur für das Unternehmen und die Branche, sondern auch für die Gesellschaft.
Welche Werte schätzen Sie selbst an Ihrem eigenen Unternehmen am meisten?
Hermann von Brevern: Besonders inspirierend finde ich die Art, wie wir partnerschaftliche Beziehungen zu unseren Kunden aufbauen, um langfristig einen Wert zu vermitteln. Dazu kommt die Energie unserer Mitarbeiter für Exzellenz und gute Zusammenarbeit. Als Organisation haben wir sehr flache Hierarchien auf kollegialer Ebene, bei denen Vertrauen, Innovation und Professionalität immer im Mittelpunkt stehen. Dadurch schaffen wir gemeinsam ein soziales Umfeld, in dem man gerne arbeitet.
Berno Breitruck: Den Wert des Vertrauens – besonders innerhalb unseres Unternehmens schätze ich am meisten. Das ist Motivation und Verpflichtung der gesamten Geschäftsleitung. Wir möchten unseren Kollegen in jeder Lebensphase eine Heimat geben und eine vertrauensvolle Zusammenarbeit pflegen. Außerdem legen wir großen Wert auf die Weiterbildung und Kompetenzaufbau unserer Mitarbeiter – das ist der größte “Schatz”, den jeder Mitarbeiter für sich und seine Familie sukzessive aufbauen kann.
Innerhalb der attempto probieren Sie auch neue Wege aus und haben eine sogenannte Innovationsmanufaktur. Wie kann man sich diese vorstellen?
Berno Breitruck: Die attempto Innovations-Manufaktur ist ein system-immanenter Bestandteil der attempto. Seit der Gründung des Unternehmens vor 15 Jahren betreiben wir hier aktives Trendscouting und wurden bereits mehrfach für unsere innovativen Ideen und Produkte ausgezeichnet und prämiert. Auch die Erfahrungen aus dem Silicon Valley und China tragen dazu bei, Trends und technologische Möglichkeiten kennenlernen zu können. Dieses Wissen nutzen wir für Technologien, mit denen wir “IT for Good” schaffen und unsere Kunden zeitgemäß und transparent beraten zu können.
Hermann von Brevern: Wir wollen dieses Wissen bei allen Mitarbeitern verankern und sie dabei unterstützen, über den Tageshorizont hinauszudenken. Sie sollen einschätzen können, wofür ihre Tätigkeit wichtig ist, und was aus ihr in Zukunft erwachsen kann. Als Beratungsunternehmen müssen wir diejenigen sein die vorausgehen und auch mal “outside-the-box” denken, um gute und nachhaltige Lösungen zu finden. Nicht umsonst ist “Was morgen zählt” unser Motto, und dafür ist die Innovationsmanufaktur ein wichtiger Treiber.
Welche Innovationen haben Sie in der Innovationsmanufaktur schon herausgebracht?
Hermann von Brevern: Wir haben zum Beispiel schon 2008 die erste Bio-App entwickelt, die seitdem schon mehrfach ausgezeichnet und prämiert wurde. bio123 ist eines der führenden Branchen-Ökosysteme, das Warenwirtschaft, Kassensysteme und Produktdatenbanken vereint. Im Mittelpunkt stehen bei dem Portal die Regionalität und damit einhergehend die Schonung der Umwelt, verantwortungsvoller Konsum und das Schaffen eines Erlebnisses für den Verbraucher, da ein Zugang zu bisher wenig bekannten Produkten ermöglicht wird. Bio- und Regional-Erzeuger können sich kostenlos registrieren und ihr gesamtes Sortiment abbilden. Der Anbieter kann dann direkt mit seinen Kunden in Beziehung und in Kommunikation treten. Letztlich geht es hier auch darum, Menschen zusammen zu bringen.
Berno Breitruck: Ein weiteres Beispiel ist das Stresspräventionstool iCope. Es wurde in Zusammenarbeit mit einer namhaften Universität realisiert, ist klinisch wirksam und wurde bereits in der Praxis erprobt. Das kognitive Tool unterliegt mit seinem Online-Training gängigen Therapiemaßnahmen und soll bei der Verbesserung der Resilienz gegenüber Stresssituationen unterstützen. Das Ziel ist, dass das Tool künftig von Unternehmen und Organisationen ihren Mitarbeitern zur Verfügung gestellt wird, um ihre mentale Gesundheit zu unterstützen. Ebenso wird unser Treeam Portal mit dem persönlich Ökdepot und CO2 Ausgleich auf Basis der Wiederaufforstung der Regenwälder wegweisend. Wir haben bereits einen eigenen attempto-Wald, dem sich andere Unternehmen angeschlossen haben.
Welche Stellung nimmt Datenschutz bei attempto ein?
Berno Breitruck: Datenschutz und Daten-Souveränität genießen höchste Priorität. Unser Bestreben ist es, die Einhaltung des Datenschutzes als Mehrwert in Bezug auf die Plattformökonomie und die Digitalisierung zu verstehen.
Hermann von Brevern: Datenschutz ist ein hohes Gut und gegenwärtig von mehreren Seiten unter großem Druck. Uns ist wichtig, dass Nutzer jederzeit im Blick haben, was mit ihren Daten passiert und die Hoheit über deren Verwendung behalten. Leider ist das im Augenblick nicht unbedingt Standard. Wir wollen hier aber keine Aktivisten sein, sondern Vorbilder. Wir möchten zeigen, wie man auch mit Datensparsamkeit Erfolg haben kann, und hoffen, dass unser Beispiel Andere inspiriert. Aus diesem Grund unterstützen wir Initiativen wie fair.digital, deren Werte wir voll und ganz teilen.
Wie sehen Sie die Rolle und Bedeutung von Datenschutz in der Gesellschaft?
Berno Breitruck: Meine Wahrnehmung ist, dass der persönliche Datenschutz beim Umgang einiger Apps zu leichtfertig ignoriert wird. Die Sorglosigkeit einiger Nutzergruppen beim Umgang mit den eigenen persönlichen Daten ist zum Teil erschreckend. Hier besteht der Auftrag des gegenseitigen Schutzes. Die Gefahr, die von künstlicher Intelligenz in diesem Zusammenhang ausgehen kann, darf nicht unterschätzt werden. Datenschutz und Daten-Souveränität hilft ergänzend auch bei der Unterbindung der monopolistischen Trends, die wir im Moment feststellen. Deswegen ist es für uns eine Verpflichtung, nicht nur Daten zu schützen, sondern auch das Thema Vielfalt und Diversität in der Digitalisierung aufrechtzuerhalten.
Hermann von Brevern: Als diejenigen, die mit Daten umgehen, haben wir eine moralische und rechtliche Verantwortung, der wir gegenüber unseren Nutzern gerecht werden müssen und wollen. Datenschutz ist aus unserer nationalen Historie bedingt als integraler Teil unserer freiheitlich-demokratischen Grundordnung anzusehen. Wie Herr Breitruck schon sagte, ist aber das Verständnis unserer Mitbürger im Bereich des Datenschutzes leider nicht immer ausreichend entwickelt. Deutlich wird dies, wenn zwar bei einem Staatsangebot wie der Corona-App (zu Recht) hoher Wert auf den Schutz der Daten gelegt wird, aber bei kostenlosen Angeboten von Amazon, Google, Facebook und Co. keinerlei Bedenken zur Verwendung der eigenen Daten aufkommen. Aber der Ansatz, nur durch Gesetze die Nutzer vor sich selbst und den Folgen ihrer naiven Freigiebigkeit zu schützen, greift auf die Dauer zu kurz. Es ist entscheidend, dass die Fähigkeit zur Selbstbestimmung und letztlich Mündigkeit der Bürger auf einer gesamtgesellschaftlichen Ebene gefördert wird, um eine nachhaltige Balance in der Verwendung von Daten zu erreichen.
Was hat Sie letztlich zur Beteiligung bei fair.digital angetrieben?
Berno Breitruck: fair.digital ist eine Mittelstandsinitiative – sie hat das Potential einen wichtigen Impuls in der Deutschen und Europäischen IT-Branche zu setzen. Das europäische Ökosystem muss so schnell wie möglich eigene “Werte digitalisieren” und durch eigene Innovationen weltweite Standards etablieren. Martin Hubschneider ist hier ein wichtiger Faktor und wir schätzen dievertrauensvolle Zusammenarbeit sehr.
Hermann von Brevern: Die Ideen von fair.digital sind einfach die Richtigen. Zusätzlich zu der vertrauensvollen Beziehung ist uns wichtig, mit dem Verein und der einhergehenden Selbstverpflichtung ein Signal zum Thema Datenschutz zu setzen. Einzig durch Eigeninitiative werden wir uns nach vorne bewegen und etwas verändern können.
Wie reagieren Ihre Kunden und Partner zu Ihrer Teilnahme bei fair.digital?
Berno Breitruck: Sowohl bei Studierenden mit denen wir in Kontakt stehen, als auch bei Unternehmen in deren Beirat ich bin, wird die fair.digital-Idee sehr positiv aufgenommen. Bei allen ist der Wunsch nach gemeinsamem Handeln angekommen. Wir müssen wieder auf das Spielfeld der internationalen Digitalisierung zurückkommen und dürfen unsere Gesellschaft nicht den Giganten der Branche schutzlos ausliefern.
Hermann von Brevern: Die Produktentwicklung und -zertifizierung macht bei uns als Unternehmensberatung nicht das Hauptgeschäftsfeld aus. Aber wir bringen das Thema an unsere Kunden und Mitarbeiter heran. Auch bei unseren Bewerbern stößt dieser Ansatz auf Interesse und Begeisterung. Denn fair.digital ist ein Teil der Antwort für mehr Digitale Souveränität des Einzelnen und der Gesellschaft.
Weitere Informationen zu dem Unternehmen attempto finden Sie hier.
Am 25. Mai 2021 feiert die Datenschutz-Grundverordnung (DSGVO) ihren dreijährigen Geburtstag. In dem Bericht “Drei Jahre unter der DSGVO” hat die Non-Profit-Organisation Access Now, die sich für die Verteidigung der digitalen Bürgerrechte einsetzt, nun mehrere Haupthindernisse bei der Durchsetzung des Gesetzes untersucht und festgestellt.
1. Das Problem der Auslegung
Gesetze sind in der Regel in abstrakter Rechtssprache verfasst, deren Umsetzung erst nach der Ermittlung der genauen Bedeutung angegangen werden kann. Diese “Ermittlung” ist ein Art von Interpretationsprozess, den man als “Auslegung” bezeichnet.
In Deutschland knüpft man dabei an Friedrich Carl von Savignys System der juristischen Hermeneutik an, die dafür vier Elemente in sich vereint (Schübel-Pfister, 2004, 124 – 132): Während beim grammatischen Element der Auslegung der natürliche Sinn der Worte im unmittelbaren Zusammenhang des Satzes zu ermitteln ist, umfasst die systematische Auslegung den Einbezug naheliegender Gesetze. Die teleologische Auslegung sucht indessen nach dem Sinn und Zweck des Gesetzes, während das historische Element der Auslegung auf die historischen Gründe für die Schaffung einer Norm abzielt.
Nun hat aber jedes Land eigene Formen der Auslegung: Während beispielsweise im angloamerikanischen Raum traditionell der Wortlaut eine größere Rolle bei der Auslegung spielt, umfasst die Interpretation nach französischem Verständnis auch die Lückenfüllung und Rechtsfortbildung (Schübel-Pfister, 2004, 125). Somit ist es möglich, dass Juristen aus anderen Ländern auf unterschiedliche Interpretationen eines Gesetzes kommen. Da bereits der Begriff der Auslegung selbst auslegungsfähig ist, kann selbst der Europäische Gerichtshof, der nach dem Vertrag zur Gründung der Europäischen Gemeinschaft (kurz EGV) ” ‘die Wahrung des Rechts bei der Auslegung und Anwendung’ ” zu sichern hat, zu keinem einheitlichen Ergebnis gelangen (Schübel-Pfister, 2004, 126).
Obwohl die DSGVO Erwägungsgründe sowie Begriffsbestimmungen in Artikel 4 beinhaltet, die zur Unterstützung bei der Auslegung herangezogen werden können, haben auch die Aufsichtsbehörden dieses Problem bemerkt. Laut dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit sind sie daher an der Erarbeitung von “Leitlinien und Empfehlungen für die Auslegung und Umsetzung der neuen Rechtsvorschriften im Europäischen Datenschutzausschuss” (übersetzt aus dem Englischen; GDPR evaluation after two years – Take the opportunity for changes! (2020), The Hamburg Commissioner for Data Protection and Freedom of Information)
2. Das Problem der praktischen Umsetzung
Für die Durchsetzung der Regelungen der DSGVO sind die nationalen Datenschutzbehörden zuständig. Im Zeitraum von Mai 2018 bis März 2021 wurden insgesamt 278.549.188 Euro von den Datenschutzbehörden an Geldbußen und Sanktionen verhängt (Access Now, S. 2) – fast die Hälfte dieser Strafen belief sich gegen Technologieunternehmen und Telekommunikationsbetreiber (Access Now, S. 6).
Neben einer großen Diskrepanz zwischen der Art und Weise, wie Datenschutzbehörden in verschiedenen Mitgliedsstaaten ihre Befugnisse nutzen (Access Now, S. 2), haben die Behörden auch erhebliche Probleme mit der Durchsetzung der DSGVO in grenzüberschreitenden Fällen (Access Now, S. 3). Gründe hierfür sind unter anderem die Verwendung unzureichender Kommunikationsmittel sowie die Unvereinbarkeit nationaler Verfahren (Access Now, S. 3). Letzteres kann beispielsweise dazu führen, dass eine Behörde einen Fall für ungültig erklärt, während eine andere dies nicht tut.
Zusätzlich kommt hinzu, dass sich jeweils die Datenschutzbehörde in dem Land, in dem sich auch die Hauptniederlassung eines Unternehmens befindet, zur “federführenden Behörde” entwickelt und somit für alle Beschwerden im Zusammenhang mit diesem Unternehmen verantwortlich ist (Access Now, S. 13). Ein bekanntes Beispiel hierfür ist das Unternehmen Facebook, das seine Hauptniederlassung in Irland registriert hat und jede Untersuchung gegen das Unternehmen somit von der irischen Datenschutzbehörde geleitet werden muss (Access Now, S. 13). Dieses System führt jedoch meistens zu Überlastungen einzelner Datenschutzbehörden und immer noch zu Unklarheiten darüber, wer einen Fall leiten sollte.
Prof. Dr. Dieter Kugelmannm, seit 2015 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, sagt in einem Interview mit Netzpolitik auch, dass die “größte Baustelle […] in der Tat eine effektive und europaweit einigermaßen harmonisierte Durchsetzung” ist.
Obwohl in Europa mit der DSGVO also eine gute Gesetzesgrundlage für den Datenschutz gegeben ist, muss die Umsetzung der Gesetze noch verbessert werden. Einheitliche Regelungen und Kommunikationskanäle wären wohl ein Anfang. Ebenfalls darf die Ausweitung der Gesetze nicht fehlen, um eine verfestigte Rechtsgrundlage beim Vorgehen gegen Unternehmen zu haben.
Am 15. Mai 2021 aktualisierte der Messenger WhatsApp seine Nutzungsbedingungen und Datenschutzrichtlinie. Die Ankündigung über die Änderungen führte zu Beginn des Jahres zu starken Protesten und der Abwanderung von Nutzern zu Alternativ-Messengern. Doch was hat es mit den Neuerungen auf sich, dass so viele Menschen erzürnt sind?
Der Messenger WhatsApp betont, dass es mit den neuen Nutzungsbedingungen zu keinen Änderungen der Ende-zu-Ende-Verschlüsselung der persönlichen Nachrichten kommen soll. Ebenfalls soll mit der Aktualisierung keine erweiterte Datenweitergabe an Facebook als Eigentümer vorgesehen sei.
Hintergrundinformation: WhatsApp speichert unter anderem persönliche Daten wie Account- und Smartphone-Informationen, Standortdaten und Kommunikationsdaten (mit wem hat man wie lange telefoniert/geschrieben). Seit dem Jahr 2016 tauscht der Konzern auch Anwenderdaten mit Facebook-Diensten aus. Welche der gespeicherten Daten das genau sind, wird in der Datenschutzrichtlinie nicht ersichtlich.
Da die Aktualisierungen neue Optionen erhalten, über die Personen mithilfe von WhatsApp Nachrichten an Unternehmen senden können, soll lediglich die Kommunikation mit und für den Einkauf von Unternehmen auf WhatsApp zur Verwaltung gespeichert werden. “Wenn du mit einem Unternehmen über Telefon, E-Mail oder WhatsApp kommunizierst, kann es die Informationen aus diesen Interaktionen mit dir für eigene Marketingzwecke verwenden. Dies kann auch Werbung auf Facebook einschließen”, hieß es in einer Erläuterung.
Für die Zustimmung wird seit ein paar Wochen ein Banner auf der App eingeblendet, das auf die Neuerungen hinweist. Sollten Nutzer dem Update nicht zustimmen, soll sich der Funktionsumfang der App ab dem 15. Mai schrittweise verringern. Man werde zwar noch eingehende Audio- und Videoanrufe annehmen, sowie über Benachrichtigungen auch Chat-Nachrichten beantworten können – diese sollen letztlich jedoch eingestellt werden.
Im Grunde lässt WhatsApp seinen Nutzern keine Wahl, wenn sie den Messenger weiter uneingeschränkt nutzen wollen: Man muss den neuen Nutzungsbedingungen zustimmen. Man hat jedoch die Wahl, auf eine Messenger-Alternative wie Signal oder Threema zurückzugreifen – wenn man denn möchte.
Apple gehört zu den wertvollsten Unternehmen der Welt und scheint einen deutlichen Schritt Richtung mehr Datenschutz zu gehen: Mit dem System-Update von iOS 14.5 hat Apple neue Anti-Tracking-Maßnahmen für Drittanbieter umgesetzt. Aber wie hält es Apple selbst mit dem Datenschutz?
Gerade in Bezug auf den Datenschutz verspricht Apple viel mit dem System-Update von iOS 14.5 und scheint Aufklärung in Bezug auf den digitalen Datenschutz zu betreiben. Die Aktualisierung für die aktuellen iPhones kommt mit einer Einstellung namens App Tracking Transparency, übersetzt: App-Verfolgungstransparenz.
Schon Ende Januar 2021 stellt der US-Konzern ein Paper zum Download zur Verfügung, das den Umgang mit anfallenden Daten durch Werbetreibende und Drittanbieter darstellt:
Am Beispiel eines imaginären Vater-Tochter-Ausflugs wird deutlich gemacht, dass Werbetreibenden durch digitale Geräte ein großflächiger Zugriff auf demografische Informationen geboten wird und diese Daten eine Branche von 227 Milliarden US-Dollar pro Jahr befeuern. Apple kritisiert in dem Paper die fehlende Transparenz über die gesammelten Daten und die fehlende Kontrolle des Nutzers über die Datenübertragung.
Die Limitierung des Trackings durch Drittanbieter ist generell natürlich ein Schritt, der zu begrüßen ist. Dennoch stellt sich die Frage, ob es sich hierbei um eine strategische Entscheidung für das Wohl der Nutzer oder gegen die Marktstellung der Drittanbieter handelt.
Ein Blick in Apples Datenschutzbestimmungen
Betrachtet man die Datenschutz-Bestimmungen von Apple, wird klar: Man soll mit dem neuen Anti-Tracking-Tool zwar den App-Anbietern das Sammeln von Daten verbieten können – aber damit verbietet man nicht Apple das Speichern, Analysieren und Verkaufen von Daten. Tatbestand liefern Apples Datenschutzrichtlinien, die man erst nach erweiterter Suche und Umgehung der für die Kampagne erstellten Webseite zu “Datenschutz” findet.
“Apple erhebt personenbezogene Daten, die zur Bereitstellung unserer Dienste erforderlich sind. Dazu können personenbezogene Daten gehören, die zur Personalisierung oder Verbesserung unserer Angebote, für interne Zwecke wie Prüfungen oder Datenanalysen oder zur Problembehebung erfasst werden.”
Deutschsprachiges PDF von Apples Datenschutzrichtlinien (Stand 14. Dezember 2020), S. 5
Das ist eine sehr allgemeine Formulierung für die Zwecke der Verwendung der persönlichen Daten. Im Grunde kann Apple personenbezogene Daten dann verarbeiten, wenn der Konzern es für notwendig erachtet. Und liest man dies dazu:
“Apple kann personenbezogene Daten an Dienstanbieter, die in unserem Auftrag handeln, an unsere Partner oder an andere in Ihrem Auftrag tätige Parteien weitergeben”
Deutschsprachiges PDF von Apples Datenschutzrichtlinien (Stand 14. Dezember 2020), S. 5
Drittanbieter scheinen trotz Ablehnung des Trackings vonseiten der Nutzer Daten von Apple zugespielt bekommen zu können.
Die “Privacy”-Kampagne von Apple ist eine Illusion
Zum einen erklärt Apples CEO Tim Cook in einem Interview, dass die Verantwortung für den Schutz der Daten bei den Unternehmen selbst liege, und bemängelt in seinem Paper zusätzlich die fehlende Transparenz über die gesammelten Daten und die fehlende Kontrolle des Nutzers über die Datenübertragung. Zum anderen verstößt Apple mit seiner “Privacy”-Kampagne jedoch gegen den eigenen Grundsatz der Benutzertransparenz.
Es scheint, dass Facebook-Chef Mark Zuckerbergs Kritik zutrifft, dass Apple mit seiner Kampagne um Datenschutz nur den derzeitigen Wettbewerbsinteressen folge, um damit seinen Ertrag zu steigern. Denn wie Apple selbst die Tracking-Industrie kommentiert: “You have become the product”
Mit den Prinzipien Datenschutz, Transparenz und Fairness stellt der gemeinnützige Verein fair.digital e.V. eine Gegenbewegung zu Daten-Monopolen dar. Der von “fair.digital” vertretene Netzwerk-Gedanke und die zentrale Rolle der Digitalen Souveränität wird auch beim CyberForum als größtes europäisches Netzwerk mit über 1.200 Mitgliedern aus der Digitalwirtschaft fokussiert.
David Hermanns
Martin Hubschneider
David Hermanns, Geschäftsführer des CyberForum und Unterstützer der Initiative fair.digital, und Martin Hubschneider, Vorsitzender des Vereins fair.digital und Vorstandsmitglied des CyberForum, sprechen in einem aktuellen Interview über die zentrale Rolle von Netzwerken und Digitaler Souveränität – auch außerhalb der IT-Branche.
David Hermanns betont, dass durch die Auszeichnung mit dem Gütesiegel von fair.digital gleichzeitig ein Überblick über faire digitale Produkte und Dienstleistungen geschaffen wird. Denn für die Zertifizierung müssen sieben Kriterien erfüllt sein, die dem Ziel der Digitalen Souveränität folgend datensparsam gestaltet sind. Die Nutzung dieser fairen Alternativen macht Europa unabhängig von Daten-Monopolen. Hermanns führt aus:
“Mit dem Verein fair.digital vereinen wir Unternehmen mit einheitlich übereinstimmenden Werten, um unsere Zukunft digital souverän zu gestalten.”
David Hermanns
Hubschneider identifiziert den Erfolg des Vereins durch die zahlreichen positiven Rückmeldungen und der wachsenden Bedeutung von Digitaler Souveränität in der Öffentlichkeit. Auch Hermanns beobachtet, dass sich immer mehr Mitglieder des CyberForum mit der nachhaltigen Gestaltung der Digitalisierung beschäftigen und bei der Umsetzung der fair.digital-Ziele mitwirken wollen. Letztlich geht damit nämlich eine Stärkung des gesamten Netzwerks einher, so das Resümee von David Hermanns.
Das Bewusstsein für Digitale Souveränität soll, so Hubschneider zum Schluss des Interviews, mit Vorträgen und einer vermehrten öffentlichen Präsenz von “fair.digital” gestärkt werden, damit durch ein wachsenden Netzwerk schließlich die Digitale Souveränität Europas vorangetrieben werden kann.
Das vollständige Interview von Martin Hubschneider und David Hermanns steht hier auf TECHTAG zur Verfügung.
Eigener Screenshot von der App “Clubhouse” im App Store auf einem Apple Smartphone
Die Audioplattform “Clubhouse” hat Anfang 2021 innerhalb kürzester Zeit den ersten Rang bei den Social Networking Charts im App Store von Apple erklommen. Gleichzeitig berichtetder Vorstand der Verbraucherzentrale Bundesverband, Klaus Müller, über Twitter über die Abmahnung der Anbieter von “Clubhouse” aufgrund von gravierenden rechtlichen Mängeln. Was hat es mit der App und den Mängeln – gerade hinsichtlich des Datenschutzes – auf sich?
Die Social-Networking-Site Clubhouse gehört zum Unternehmen Alpha Exploration Co. aus der Nähe von San Francisco. Gründer der amerikanischen App sind Paul Davison (vormals bei Pinterest) und Rohan Seth (vormals bei Google).
Aufbau und Angebot der App
Als reine Audioplattform bietet “Clubhouse” das Erstellen von virtuellen Räumen an, um sich mit anderen Nutzern zum Austausch zu treffen. Zur Veranschaulichung kann man sich die App als eine Life-Podcasts-Plattform vorstellen, durch die den Nutzern die theoretische Teilnahme an hunderten Gesprächsräumen ermöglicht ist. Teilnehmen kann man als Sprecher oder Zuhörer, wobei die jeweiligen Gastgeber der Konversation Zuhörenden auch das Sprechen gestatten können. Die Nutzer können sich auch in sogenannten Clubs organisieren, in denen das Vorausplanen von Gesprächsräumen möglich ist.
Auffällig ist die künstliche Verknappung der App: Mitmachen kann man derzeitig nur durch eine Einladung eines bereits beigetretenen Nutzers. Dabei darf jeder Nutzer nur zwei Einladungen versenden. Außerdem ist die App zurzeit nur für Apple-Geräte mit iOS erhältlich, wodurch alle Nutzer von Android-Smartphones ausgeschlossen sind.
Insbesondere dieser exklusive Zugang dürfte zu der Entstehung des aktuellen Hypes beigetragen haben. Ein Effekt namens “Fear of Missing out”, also die Angst vor dem Verpassen, regt Menschen zur Teilnahme an.
“Clubhouse” und der Datenschutz
Da man die App zurzeit nur mit einer Einladung gebrauchen kann, muss man “Clubhouse” bei der Registrierung als Nutzer den Zugriff auf alle gespeicherten Kontakte auf dem Smartphone gewähren, um selbst Freunde einzuladen. Die Daten aus dem Adressbuch werden auf die Server der Alpha Exploration Co. in den Vereinigten Staaten übertragen. Diese Übertragung ist problematisch, da die USA datenschutzrechtlich als unsicher gilt. Außerdem müssen laut Artikel 14 der Datenschutz-Grundverordnung (DSGVO) alle betroffenen Kontakte der Clubhouse Nutzer vor der Gewährung des Zugriffs über die Nutzung ihrer persönlichen Daten informiert werden – sonst liegt ein Verstoß vor.
Kritisch zu betrachten ist auch die Anlage von sogenannten “Schattenprofilen” von den Kontakten, die die App nicht nutzen. Dabei werden die Namen und (Kontakt-)Daten der Personen abgespeichert.
In Deutschland wird Clubhouse derzeitig auch noch ohne das erforderliche Impressum betrieben. Außerdem liegen die Allgemeinen Geschäftsbedingungen und Datenschutz-Hinweise nicht wie vorgeschrieben auf Deutsch, sondern nur auf Englisch vor. In ebendiesen Nutzungsbedingungen gibt Clubhouse auch folgendes an: „By using the Service, you consent to having your audio temporarily recorded when you speak in a room“, zu Deutsch: Wenn Sie diesen Service nutzen, willigen Sie der temporären Aufnahme von Audiomitschnitten zu. Laut “Clubhouse” selbst erfolgen diese Aufzeichnungen zur Meldung und Ahndung von Regelverstößen während der Live-Gespräche.
Die App sammelt auch Informationen über den Nutzer selbst, um ein Kommunikationsprofil zu erstellen. Unter diesen Informationen sind Daten über Accounts und Gruppen, mit denen sich der Nutzer austauscht, und auch Informationen darüber, wie oft und wie lange der Nutzer zu welcher Tageszeit aktiv ist.
Neben dem Datenschutz bietet die App auch inhaltliche Risiken: „In den USA kamen schon bald nach dem Start erste Berichte auf über Antisemitismus, Rassismus und Sexismus in der App. So werden eben nicht nur spannende Ideen und Wissen diskutiert, sondern auch Menschen angefeindet oder Falschinformationen verbreitet“, so Thomas Moßburger vom BR24. Das ist aber ein anderes Thema, mit dem sich jeder einzelne kritisch auseinandersetzen muss.
Für die Zukunft stellt sich die Frage, wie das Unternehmen Geld verdienen will. Mit dem Schalten von Audiowerbung? Oder stellen unsere persönlichen Daten das Kapital des Unternehmens dar?
Hunderte Seiten der Allgemeinen Geschäftsbedingungen (AGBs) vor jeder Online-Bestellung lesen? Oder lieber von einer künstlichen Intelligenz (KI) prüfen lassen, ob ein Vertrag fair aufgesetzt ist? Klingt nach Science-Fiction? – Ist es wahrlich nicht. In Karlsruhe entstand ein Projekt beim Preisträger “KI-Champion Baden-Württemberg 2020”, das genau das möglich macht. Timo Haberl von der thingsTHINKING GmbH im Interview:
Ihre KI namens “semantha” wird bei dem Projekt “IstDasFair” verwendet. Doch was kann Ihre KI?
Timo Haberl: Seit unserer Gründung im Jahr 2017 aus dem KIT heraus arbeiten wir an der stetigen Weiterentwicklung von “semantha”.Wo man bei normalen Suchfunktionen genau das gesuchte Wort eingeben muss, kann unsere KI auf semantischer Ebene arbeiten und Texte auf Bedeutungsebene zusammenbringen. Dadurch kann man mit unserer KI zum Beispiel eine große Anzahl von Dokumenten auf Überschneidungen oder bestimmte Hot Spots hin überprüfen.
Wie ist das Projekt “IstDasFair” entstanden?
Timo Haberl: Folgender Fall bei uns im Unternehmen hat das Projekt eingeleitet: Ein Produkt wurde online bestellt, das Geld abgebucht, und drei Monate später wurde der Vertrag vonseiten des Händlers storniert. In diesen drei Monaten konnte der Händler jedoch mit dem Geld haushalten. Rechtlich ist das wasserdicht, allerdings fanden wir das überhaupt nicht fair dem Kunden gegenüber. Und das ist nur ein Beispiel unter vielen: Tagtäglich werden Verträge geschlossen, die man aufgrund von Zeitmangel nicht liest oder aufgrund des Fachvokabulars nicht vollständig versteht und dann Nachteile hat.
Was ermöglichen Sie mit “IstDasFair”?
Timo Haberl: Mit “IstDasFair” wollen wir das Thema KI sinnvoll nutzen, um Fairness in Form von – ich nenne es mal – “Waffengleichheit” sicherzustellen, dass also jeder das Recht hat, einen fairen Vertrag abzuschließen. Wer ein Dokument bei “IstDasFair” hochlädt, bekommt in Sekundenschnelle ein kommentiertes PDF- oder Word-Dokument zurück, wo genau ersichtlich ist, welche Stellen man sich nochmal anschauen sollte, da diese zum Nachteil des Verbrauchers sein könnten. Im Nachgang kann jeder für sich selbst entscheiden, ob ein Rechtsbeistand hinzugezogen werden soll oder nicht, da wir auf keinen Fall einen Rechtsanwalt ersetzen können. Wir können lediglich Hinweise geben.
Wie funktioniert “IstDasFair”?
Timo Haberl: Das Angebot bedient sich an einer Datenbank, die mit fairen und unfairen Passagen aus Vertragsdokumenten wie Arbeitsverträgen, aber auch AGBs etc. gefüllt ist. Die Inhalte der Datenbank stammen von Juristen und Fachexperten, die uns auch bei der stetigen Erweiterung dieser unterstützen. Mithilfe unserer KI “semantha” können wir dann auf Basis dieser Datenbank hochgeladene Dokumente auf Bedeutungsebene hin untersuchen.
Wie stellen Sie Datenschutz bei Ihrer KI sicher?
Timo Haberl: Bei Unternehmen, die mit sensiblen Daten umgehen müssen, läuft unsere Software “semantha” nicht in der Cloud, sondern tatsächlich beim Kunden selbst. Außerdem können wir “semantha” in jeder Branche Out-of-the-Box einsetzen, ohne die KI mit Dokumenten vom Kunden zu trainieren. Mehr zum Thema Datensicherheit kann man auch auf unserer Webseite einsehen, wo wir die ganzen Verschlüsselungsverfahren aufzeigen.
Wie wird es mit Ihrer KI und Ihrem Projekt “IstDasFair” weitergehen?
Timo Haberl: Wir möchten “semanthas” Funktionsumfang erweitern und sie als unterstützendes Werkzeug in anderen Branchen und Unternehmen implementieren. Bei “IstDasFair” herrscht ein ähnlicher Ansatz: Wir möchten die Datenbank schnellstmöglich erweitern, um noch mehr Themengebiete abdecken zu können. Außerdem soll das Thema noch mehr Aufmerksamkeit bekommen, um die nach wie vor vorherrschende Skepsis gegenüber KI zu ändern. Wir möchten nämlich aufzeigen, dass künstliche Intelligenzen für durchaus nützliche Vorgänge eingesetzt werden können.
Weitere Informationen zu dem Unternehmen und seiner KI finden Sie hier.
Das Angebot “IstDasFair” zur Dokumentprüfung können Sie hier aufrufen.
Für “fair.digital” ist digitale Souveränität die Selbstbestimmung der persönlichen Daten und die Kompetenz, die Digitalisierung zielgerichtet zu nutzen. Somit lehnt “fair.digital” eine Überwachung, Ausbeutung, Manipulation, Intransparenz sowie einen Aufbau von Abhängigkeiten ab.
Spätestens seit 2013, als die globale Datenüberwachung digitaler Informationseinflüsse durch die US-amerikanische NSA und weitere Geheimdienste öffentlich wurde, ist digitale Souveränität von großer Wichtigkeit (Misterek, 2017, S. 1). Mit dem Begriff der digitalen Souveränität ist eine Zielvorstellung verbunden, die als Kompass dienen kann und deren Maßnahmen kontextgebunden variieren können (Bitkom, 2019, S. 9). Ein Teilaspekt der Digitalen Souveränität ist das Konzept der Datensouveränität (Bitkom, 2019, S. 9), das hier fokussiert werden soll.
Digitale Souveränität ist das Bestimmungsrecht über alle persönlichen digital erfassten Daten (Werden, 2016, S. 35). Dieses Recht wird jedoch durch zwei Gründe eingeschränkt (Wittpahl, 2017, S. 5): Zum einen führt die beschleunigte Entwicklung infolge der Digitalisierung zu Unverständnis der Funktionsweisen von digitalen Technologien. Zum anderen werden die eingeschränkten Nutzungsbedingungen der Anbieter digitaler Systeme meist unverständlich formuliert und einfach von den Nutzern hingenommen.
Wichtig für die Schaffung von digitaler Souveränität ist folglich eine digitale Aufklärung, die die Nutzer aus der digitalen Unmündigkeit und aus dem sorglosen Umgang mit den eigenen Daten befreien kann (Wittpahl, 2017, S. 6). Diese Möglichkeit der unabhängigen Selbstbestimmung (Bitkom, 2019, S. 4) zeichnet einen selbstbestimmten Bürger aus. Nach Dr. Jäger (2016), Bereichsleiter Infrastruktur im Bundesrechenzentrum Wien, sind „[s]elbstbestimmte Bürger [. . .] Herren Ihrer eigenen Daten und können damit auch die Souveränität über Ihre digitale Identität und Ihre digitale Privatsphäre faktisch ausüben“ (S. 24).
Der bürgerliche Traum von „technischer Vertraulichkeit, Integrität, Authentizität, Anonymität, Freiheit, Gleichheit, Netzneutralität, Privatheit, Verfügbarkeit etc. …“ (Pohl, 2016, S. 10) könnte also durch digitale Souveränität verwirklicht werden.
Dafür ist jedoch eine Vermeidung von Abhängigkeit auf internationaler Ebene vonnöten (Bitkom, 2019, S. 4). In Bezug auf die digitale Souveränität Europas geht es mit der Abhängigkeitsvermeidung um die Schaffung und Nutzung eigener Produkte, Ideen und Standards (Oettinger, 2016, S. V). Laut Pohl (2016) würde außerdem auch nur eine internationale Vereinbarung zur Bestrafung von digitaler Überwachung dabei helfen, digitale Souveränität zu etablieren (S. 22).
Durch digitale Souveränität soll ein unabhängiges, selbstbestimmtes und selbstständiges Handeln von Individuen und Unternehmen in der digitalen Welt erreicht werden.
Jäger, W. (2016). Neue Rolle öffentlicher Rechenzentren für Bürger-Datenschutz und Bürger Befähigung. In M. Friedrichsen, & P.-J. Bisa (Hg.), Digitale Souveränität. Vertrauen in der Netzwerkgesellschaft (S. 23–34). Springer VS. DOI 10.1007/978-3-658-07349-7_5
Misterek, F. (2017). Working Paper. Digitale Souveränität: Technikutopien und Gestaltungsansprüche demokratischer Politik.MPIfG Discussion Paper, 17(11), Max Planck Institute for the Study of Societies. http://hdl.handle.net/11858/00-001M-0000-002D-6FCF-0
Oettinger, G. (2016). Europa und die Souveränität im Netz. In M. Friedrichsen, & P.-J. Bisa (Hg.), Digitale Souveränität. Vertrauen in der Netzwerkgesellschaft (S. V–VI). Springer VS. DOI 10.1007/978-3-658-07349-7_5
Pohl, H. (2016). Der bürgerliche Traum von digitaler Souveränität. In M. Friedrichsen, & P.-J. Bisa (Hg.), Digitale Souveränität. Vertrauen in der Netzwerkgesellschaft (S. 9–22). Springer VS. DOI 10.1007/978-3-658-07349-7_5
Wittpahl, V. (2017). Vorwort. In Volker Wittpahl (Hg.), iit-Themenband. Digitale Souveränität. Bürger. Unternehmen. Staat (S. 5– 8). Springer Vieweg.
Werden, S. (2016). Digitale Souveränität, ein Orientierungsversuch. In M. Friedrichsen, & P.-J. Bisa (Hg.), Digitale Souveränität. Vertrauen in der Netzwerkgesellschaft (S. 35–51). Springer VS. DOI 10.1007/978-3-658-07349-7_5
Neben “fair.digital” verfolgen erfreulicherweise auch weitere Initiativen Ziele, die die digitale Souveränität des Einzelnen und der Gesellschaft in Bezug auf Datenschutz, Fairness und Transparenz stärken wollen. Hier ein Überblick zu fünf Initiativen und Vereine:
Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. arbeitet seit seiner Gründung im Jahr 1989 an der Weiterentwicklung des Datenschutzes. Teilnehmer sind neben den 1.810 Mitgliedern (Stand: Februar 2021) in Form von betrieblichen und behördlichen Datenschutzbeauftragten auch die Politik, Wirtschaft und Aufsichtsbehörden.
Der BvD setzt sich durch den Austausch in neun Arbeitskreisen und zwölf Regionalgruppen für einen modernen und machbaren Datenschutz ein. Verbandsinterne Fort- und Weiterbildungen werden dafür unterstützend vom Verein angeboten.
Ziel ist die stärkere Verankerung der Arbeit von Datenschutzbeauftragten im Bewusstsein der Öffentlichkeit und die Förderung der Interessen der betrieblichen und behördlichen Datenschutzbeauftragten. Dafür wurde in Zusammenarbeit mit Aufsichtsbehörden und Datenschutzexperten auch ein Berufsbild des Datenschutzbeauftragten entwickelt, auf das eine Verpflichtung erfolgen kann. Bisher verpflichteten sich schon 332 Personen auf das „berufliche Leitbild“, mit denen bestimmte Qualitäts- und Sicherheitsstandards in der Tätigkeitsausübung garantiert werden.
Der Bundesverband IT-Mittelstand e.V. (BITMi) ist ein Zusammenschluss von mehr als 2.000 mittelständischen IT-Unternehmen in Kooperation mit dem Bundeswirtschaftsministerium.
Als IT-Fachverband setzt sich der BITMi für die politische Vertretung der mittelständischen Interessen von etablierten IT-Unternehmen und Start-Ups ein. Mithilfe von gemeinsamen Veranstaltungen und Werbekampagnen wird ein Netzwerk gebildet, das zu profitablen Synergieeffekten führen und das Unternehmenswachstum beschleunigen soll. Die Gütesiegel „Software Made in Germany” und „Software Hosted in Germany” sollen den Standort Deutschland stärken und die Datenschutzfreundlichkeit, hervorragende Qualität und den großartigen Service der zertifizierten Unternehmen verdeutlichen.
Der BITMi bietet gleichzeitig eine Kontaktstelle für Endkunden an, die über den Stand der Informationstechnologie und Lösungen für Probleme informieren wollen. Durch Projekt-Publikationen von Fachgruppen erfolgt außerdem ein Wissenstransfer zu Universitäten und Forschungseinrichtungen.
Corporate Digital Responsibility (CDR) – Initiative
Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat im Mai 2018 gemeinsam mit anderen Institutionen die „Corporate Digital Responsibility (CDR) – Initiative“ ins Leben gerufen. Als Lernpartnerschaft setzt sich die Initiative für die Prägung und Definition des Begriffes der Corporate Digital Responsibility (CDR) und dem Tragen von digitaler Verantwortung ein.
Durch die Erarbeitung von Prinzipien und Leitlinien sollen Unternehmen aller Branchen zur Umsetzung einer menschen- und werteorientierten Gestaltung von Digitalisierung angeregt werden. Neben dem Marktvorteil der Unternehmen sollen Verbraucher dadurch auch einen besseren Überblick über diese „ehrbaren Kaufleute“ bekommen. Für dieses Ziel engagieren sich neben dem BMJV auch Institutionen wie die Deutsche Telekom, Miele und SAP (und weitere).
Im Jahr 1999 gründete sich die Initiative D21 als gemeinnütziger und parteiübergreifender Verein durch Bundeskanzler a.D. Gerhardt Schröder und Erwin Staudt.2 Mit dem Ziel der Verhinderung der digitalen Spaltung der Gesellschaft3 sollte das Interesse und die Bereitschaft für den Wandel zur Informationsgesellschaft gefördert werden2. Für dieses Ziel erfolgte ein Zusammenschluss führender Unternehmen und Wirtschaftsführer der Informationsgesellschaft zur Unterstützung der Herausgabe von Gütezeichen, um Vertrauen in den E-Commerce aufzubauen und zu gewährleisten.
Die Initiative D21 setzt sich außerdem für die Durchleuchtung von gesellschaftlichen Herausforderungen im digitalen Wandel (in Form von jährlichen Lagebildern) ein. Damit sollen Debatten angestoßen werden, um die Zukunft der Digitalen Gesellschaft sinnvoll zu gestalten. Außerdem ist die Initiative D21 Mit-Initiatorin des bundesweiten Aktionstags Girls’Day, mit dem jungen Frauen die Vielfalt von MINT-Berufsbildern näher gebracht werden sollen.
Das „Virtuelle Datenschutzbüro“ ist eine zentrale Informations- und Anlaufstelle für Datenschutzfragen, die von zahlreichen offiziellen Datenschutzinstitutionen mitgetragen wird. Verantwortlicher im Sinne des Telemediengesetzes und des Rundfunkstaatsvertrages ist Marit Hansen, Landesbeauftragte für Datenschutz des Landes Schleswig-Holstein. Die beteiligten Datenschutzinstitutionen sind institutionalisierte Datenschutzkontrollinstanzen und stellen als Projektpartner die Träger der „Virtuellen Datenschutzbüros“ dar.
Diese Projektpartner aus Deutschland, der Schweiz und Liechtenstein verlinken aktuelle Meldungen. Diese bilden zusammen mit den einleitenden Texten zu Datenschutzthemen auf der Webseite des „Virtuellen Datenschutzbüros“ das Fundament zur Informationsgewinnung. Außerdem hat man dort Zugriff auf (thematisch geordnete) Musterschreiben und Formulierungshilfen zu Unterthemen wie der „Löschung von Daten“ oder „Widerspruch gegen Verarbeitung von Daten von Betroffenen“. Ziel dieses Informationsangebots ist die Förderung des Datenschutzes durch die Nutzung von aktuellen technischen Möglichkeiten, die Verbesserung der Zusammenarbeit der beteiligten Stellen und die gemeinsame Öffentlichkeitsarbeit.
