Seit dem 22. Juni werden Daten von fast 93 Prozent aller LinkedIn-Nutzer in einem Hackerforum zum Verkauf angeboten. Der Blog Restoreprivacy bestätigt nach einer Prüfung einer veröffentlichten Stichprobe der 700 Millionen Nutzerdaten die Authentizität der Daten.
Die angebotenen Nutzerprofile enthalten Informationen wie vollständige Namen, Geschlecht, E-Mail-Adressen, Telefonnummern, Anschriften, persönliche und berufliche Erfahrungen sowie die Benutzernamen anderer Social-Media-Konten. Obwohl in der Stichprobe bisher keine Zugangs- oder Finanzdaten gefunden wurden, können die verfügbaren Informationen für den Zugriffserhalt zu anderen Konten ausgenutzt werden.
Während der Konzern LinkedIn sich selbst noch nicht zu dem Vorfall geäußert hat, warnt Restoreprivacy unter anderem vor Identitätsdiebstählen und Phishing-Angriffen.
Der Bundestag hat das “Gesetz zur Anpassung des Verfassungsschutzrechts” angenommen, mit dem alle deutschen Geheimdienste die Befugnis zum Einsatz des Staatstrojaners für Überwachungszwecke erhalten. Wie netzpolitik.org berichtet, hat die Bundespolizei zudem die Erlaubnis, Staatstrojaner schon präventiv bei Personen einzusetzen, die noch keine Straftat begangen haben.
Trojaner sind vergleichbar mit einer digitalen Wanze, die auf den Endgeräten der Zielpersonen positioniert wird. Unterstützung sollen die Behörden dabei durch Telekommunikationsanbieter erhalten, die den Trojaner zum Beispiel in Downloads einspeisen. Durch die Installation soll den Behörden dann der “Zugriff auf laufende Kommunikation plus die Kommunikation, die vor Installation der Schadsoftware, aber nach Anordnung der Überwachungsmaßnahme stattgefunden hat”1, ermöglicht sein.
Laut dem Bundestag sei diese Anordnung wichtig, um die innere Sicherheit und Abwehr von Cyber-Kriminalität und Terrorismus durch die Anpassung an aktuelle technische Verhältnisse zu verbessern. Der Chaos Computer Club kritisiert unter anderem jedoch, dass für die Installation der Trojaner Sicherheitslücken im Gerät vorliegen müssen. Diese würden für den Einsatz von den Behörden ausgenutzt und blieben aufgrund der Geheimhaltung offen. Somit wäre auch immer ein Angriff durch Cyber-Kriminelle möglich.
In unserem Blog wurde Digitale Souveränität als das Bestimmungsrecht über alle (digital) erfassten persönlichen Daten definiert. Durch die unkritische Hinnahme von umständlich formulierten Nutzungsbedingungen von Anbietern digitaler Systeme betritt man meistens eine Endlosschleife der Ausbeutung, Überwachung und Manipulation. Wie sich diese Methode im Alltag zeigt, macht Robert G. Reeve mit mehreren Twitter-Posts deutlich.
Robert G. Reeve ist selbsternannter Autor, Designer und Datenschutztechniker. In einem Tweed berichtet er davon, wie er nach einem Besuch bei seiner Mutter Werbung für deren genutzte Zahnpasta-Marke anzeigt bekommt, ohne diese je verbal (oder in einem mobilen Endgerät) aufgegriffen zu haben.
Gleich zu Beginn stellt Reeve klar, dass Social-Media-Apps ihre Nutzer aufgrund von günstigeren Alternativen nicht belauschen, um Daten zu sammeln. Denn schon alleine durch die alltäglichen Funktionen häufen sich Daten an, die von den jeweiligen Unternehmen genutzt werden können: “Ihre eindeutige Geräte-ID. Ihr Standort. Ihre Demografie. […] Wann benutze ich meine Rabattkarte im Supermarkt? Jeder Einkauf? Das ist ein Datensatz zum Verkauf”, so Reeve (übersetzt aus dem Englischen).
Durch die Zustimmung der jeweiligen Nutzungs- und Datenschutzbestimmungen ist es Anwendungen auch möglich, Verknüpfungen herzustellen und auszubauen. Reeve macht es folgendermaßen deutlich: “Befindet sich mein Telefon regelmäßig am selben GPS-Standort wie ein anderes Telefon, nehmen sie [Apps] dies zur Kenntnis. Sie [Apps] beginnen mit der Rekonstruktion des Netzes von Menschen, mit denen ich regelmäßig in Kontakt stehe” (übersetzt aus dem Englischen).
Auf Grundlage dieser aggregierten Metadaten werden Anzeigen basierend auf den Interessen der Leute um einen herum angezeigt, mit denen man regelmäßig in Kontakt steht. Bei Reeve ist es mit der Zahnpasta-Marke wohl folgendermaßen abgelaufen:
“So. Sie [Apps] kennen die Zahnpasta meiner Mutter. Sie [Apps] wissen, dass ich bei meiner Mutter war. Sie [Apps] kennen mein Twitter. Jetzt bekomme ich Twitter-Anzeigen für Mamas Zahnpasta. Bei Ihren Daten geht es nicht nur um Sie. Es geht darum, wie sie gegen jede Person verwendet werden können, die Sie kennen, und gegen Personen, die Sie nicht kennen. Um Verhalten unbewusst gestalten.“
Robert G. Reeve (übersetzt aus dem Englischen)
Mit diesem Beispiel wird deutlich, wie persönliche Daten für manipulative Werbezwecke genutzt werden (können). Obwohl es Möglichkeiten gibt, das Tracking von Apps zu blockieren, sollte man diese nicht unbedacht nutzen. Das neuste Update von Apple, das Reeve beispielsweise empfiehlt, blockiert zwar die Möglichkeit des Trackings externer Apps, trackt jedoch selbst weiter, wie Sie hier lesen können.
Man kann an diesem Beispiel festmachen, dass es Anbietern von Smartphones und Apps etc. durch die Analyse von Daten möglich ist, uns zu überwachen und unser Verhalten unbewusst zu gestalten. Denn ist es nicht wahrscheinlicher, dass Sie eine Zahnpasta-Marke kaufen, die Ihre Mutter nutzt und Ihnen als Werbung vorgeschlagen wird? – Meistens ja, und damit bestätigt sich die Philosophie der Datenkraken: Überwachung und Manipulation, womit schrittweise das Bestimmungsrecht über die eigenen Daten verloren geht.
In einem exklusiven Interview erzählen Berno Breitruck, Geschäftsführer der IT-Unternehmensberatung attempto, und Hermann von Brevern, Leiter der Niederlassung Karlsruhe, über die Bedeutung der fair.digital-Werte – nicht nur für das Unternehmen und die Branche, sondern auch für die Gesellschaft.
Welche Werte schätzen Sie selbst an Ihrem eigenen Unternehmen am meisten?
Hermann von Brevern: Besonders inspirierend finde ich die Art, wie wir partnerschaftliche Beziehungen zu unseren Kunden aufbauen, um langfristig einen Wert zu vermitteln. Dazu kommt die Energie unserer Mitarbeiter für Exzellenz und gute Zusammenarbeit. Als Organisation haben wir sehr flache Hierarchien auf kollegialer Ebene, bei denen Vertrauen, Innovation und Professionalität immer im Mittelpunkt stehen. Dadurch schaffen wir gemeinsam ein soziales Umfeld, in dem man gerne arbeitet.
Berno Breitruck: Den Wert des Vertrauens – besonders innerhalb unseres Unternehmens schätze ich am meisten. Das ist Motivation und Verpflichtung der gesamten Geschäftsleitung. Wir möchten unseren Kollegen in jeder Lebensphase eine Heimat geben und eine vertrauensvolle Zusammenarbeit pflegen. Außerdem legen wir großen Wert auf die Weiterbildung und Kompetenzaufbau unserer Mitarbeiter – das ist der größte “Schatz”, den jeder Mitarbeiter für sich und seine Familie sukzessive aufbauen kann.
Innerhalb der attempto probieren Sie auch neue Wege aus und haben eine sogenannte Innovationsmanufaktur. Wie kann man sich diese vorstellen?
Berno Breitruck: Die attempto Innovations-Manufaktur ist ein system-immanenter Bestandteil der attempto. Seit der Gründung des Unternehmens vor 15 Jahren betreiben wir hier aktives Trendscouting und wurden bereits mehrfach für unsere innovativen Ideen und Produkte ausgezeichnet und prämiert. Auch die Erfahrungen aus dem Silicon Valley und China tragen dazu bei, Trends und technologische Möglichkeiten kennenlernen zu können. Dieses Wissen nutzen wir für Technologien, mit denen wir “IT for Good” schaffen und unsere Kunden zeitgemäß und transparent beraten zu können.
Hermann von Brevern: Wir wollen dieses Wissen bei allen Mitarbeitern verankern und sie dabei unterstützen, über den Tageshorizont hinauszudenken. Sie sollen einschätzen können, wofür ihre Tätigkeit wichtig ist, und was aus ihr in Zukunft erwachsen kann. Als Beratungsunternehmen müssen wir diejenigen sein die vorausgehen und auch mal “outside-the-box” denken, um gute und nachhaltige Lösungen zu finden. Nicht umsonst ist “Was morgen zählt” unser Motto, und dafür ist die Innovationsmanufaktur ein wichtiger Treiber.
Welche Innovationen haben Sie in der Innovationsmanufaktur schon herausgebracht?
Hermann von Brevern: Wir haben zum Beispiel schon 2008 die erste Bio-App entwickelt, die seitdem schon mehrfach ausgezeichnet und prämiert wurde. bio123 ist eines der führenden Branchen-Ökosysteme, das Warenwirtschaft, Kassensysteme und Produktdatenbanken vereint. Im Mittelpunkt stehen bei dem Portal die Regionalität und damit einhergehend die Schonung der Umwelt, verantwortungsvoller Konsum und das Schaffen eines Erlebnisses für den Verbraucher, da ein Zugang zu bisher wenig bekannten Produkten ermöglicht wird. Bio- und Regional-Erzeuger können sich kostenlos registrieren und ihr gesamtes Sortiment abbilden. Der Anbieter kann dann direkt mit seinen Kunden in Beziehung und in Kommunikation treten. Letztlich geht es hier auch darum, Menschen zusammen zu bringen.
Berno Breitruck: Ein weiteres Beispiel ist das Stresspräventionstool iCope. Es wurde in Zusammenarbeit mit einer namhaften Universität realisiert, ist klinisch wirksam und wurde bereits in der Praxis erprobt. Das kognitive Tool unterliegt mit seinem Online-Training gängigen Therapiemaßnahmen und soll bei der Verbesserung der Resilienz gegenüber Stresssituationen unterstützen. Das Ziel ist, dass das Tool künftig von Unternehmen und Organisationen ihren Mitarbeitern zur Verfügung gestellt wird, um ihre mentale Gesundheit zu unterstützen. Ebenso wird unser Treeam Portal mit dem persönlich Ökdepot und CO2 Ausgleich auf Basis der Wiederaufforstung der Regenwälder wegweisend. Wir haben bereits einen eigenen attempto-Wald, dem sich andere Unternehmen angeschlossen haben.
Welche Stellung nimmt Datenschutz bei attempto ein?
Berno Breitruck: Datenschutz und Daten-Souveränität genießen höchste Priorität. Unser Bestreben ist es, die Einhaltung des Datenschutzes als Mehrwert in Bezug auf die Plattformökonomie und die Digitalisierung zu verstehen.
Hermann von Brevern: Datenschutz ist ein hohes Gut und gegenwärtig von mehreren Seiten unter großem Druck. Uns ist wichtig, dass Nutzer jederzeit im Blick haben, was mit ihren Daten passiert und die Hoheit über deren Verwendung behalten. Leider ist das im Augenblick nicht unbedingt Standard. Wir wollen hier aber keine Aktivisten sein, sondern Vorbilder. Wir möchten zeigen, wie man auch mit Datensparsamkeit Erfolg haben kann, und hoffen, dass unser Beispiel Andere inspiriert. Aus diesem Grund unterstützen wir Initiativen wie fair.digital, deren Werte wir voll und ganz teilen.
Wie sehen Sie die Rolle und Bedeutung von Datenschutz in der Gesellschaft?
Berno Breitruck: Meine Wahrnehmung ist, dass der persönliche Datenschutz beim Umgang einiger Apps zu leichtfertig ignoriert wird. Die Sorglosigkeit einiger Nutzergruppen beim Umgang mit den eigenen persönlichen Daten ist zum Teil erschreckend. Hier besteht der Auftrag des gegenseitigen Schutzes. Die Gefahr, die von künstlicher Intelligenz in diesem Zusammenhang ausgehen kann, darf nicht unterschätzt werden. Datenschutz und Daten-Souveränität hilft ergänzend auch bei der Unterbindung der monopolistischen Trends, die wir im Moment feststellen. Deswegen ist es für uns eine Verpflichtung, nicht nur Daten zu schützen, sondern auch das Thema Vielfalt und Diversität in der Digitalisierung aufrechtzuerhalten.
Hermann von Brevern: Als diejenigen, die mit Daten umgehen, haben wir eine moralische und rechtliche Verantwortung, der wir gegenüber unseren Nutzern gerecht werden müssen und wollen. Datenschutz ist aus unserer nationalen Historie bedingt als integraler Teil unserer freiheitlich-demokratischen Grundordnung anzusehen. Wie Herr Breitruck schon sagte, ist aber das Verständnis unserer Mitbürger im Bereich des Datenschutzes leider nicht immer ausreichend entwickelt. Deutlich wird dies, wenn zwar bei einem Staatsangebot wie der Corona-App (zu Recht) hoher Wert auf den Schutz der Daten gelegt wird, aber bei kostenlosen Angeboten von Amazon, Google, Facebook und Co. keinerlei Bedenken zur Verwendung der eigenen Daten aufkommen. Aber der Ansatz, nur durch Gesetze die Nutzer vor sich selbst und den Folgen ihrer naiven Freigiebigkeit zu schützen, greift auf die Dauer zu kurz. Es ist entscheidend, dass die Fähigkeit zur Selbstbestimmung und letztlich Mündigkeit der Bürger auf einer gesamtgesellschaftlichen Ebene gefördert wird, um eine nachhaltige Balance in der Verwendung von Daten zu erreichen.
Was hat Sie letztlich zur Beteiligung bei fair.digital angetrieben?
Berno Breitruck: fair.digital ist eine Mittelstandsinitiative – sie hat das Potential einen wichtigen Impuls in der Deutschen und Europäischen IT-Branche zu setzen. Das europäische Ökosystem muss so schnell wie möglich eigene “Werte digitalisieren” und durch eigene Innovationen weltweite Standards etablieren. Martin Hubschneider ist hier ein wichtiger Faktor und wir schätzen die vertrauensvolle Zusammenarbeit sehr.
Hermann von Brevern: Die Ideen von fair.digital sind einfach die Richtigen. Zusätzlich zu der vertrauensvollen Beziehung ist uns wichtig, mit dem Verein und der einhergehenden Selbstverpflichtung ein Signal zum Thema Datenschutz zu setzen. Einzig durch Eigeninitiative werden wir uns nach vorne bewegen und etwas verändern können.
Wie reagieren Ihre Kunden und Partner zu Ihrer Teilnahme bei fair.digital?
Berno Breitruck: Sowohl bei Studierenden mit denen wir in Kontakt stehen, als auch bei Unternehmen in deren Beirat ich bin, wird die fair.digital-Idee sehr positiv aufgenommen. Bei allen ist der Wunsch nach gemeinsamem Handeln angekommen. Wir müssen wieder auf das Spielfeld der internationalen Digitalisierung zurückkommen und dürfen unsere Gesellschaft nicht den Giganten der Branche schutzlos ausliefern.
Hermann von Brevern: Die Produktentwicklung und -zertifizierung macht bei uns als Unternehmensberatung nicht das Hauptgeschäftsfeld aus. Aber wir bringen das Thema an unsere Kunden und Mitarbeiter heran. Auch bei unseren Bewerbern stößt dieser Ansatz auf Interesse und Begeisterung. Denn fair.digital ist ein Teil der Antwort für mehr Digitale Souveränität des Einzelnen und der Gesellschaft.
Weitere Informationen zu dem Unternehmen attempto finden Sie hier.
Am 25. Mai 2021 feiert die Datenschutz-Grundverordnung (DSGVO) ihren dreijährigen Geburtstag. In dem Bericht “Drei Jahre unter der DSGVO” hat die Non-Profit-Organisation Access Now, die sich für die Verteidigung der digitalen Bürgerrechte einsetzt, nun mehrere Haupthindernisse bei der Durchsetzung des Gesetzes untersucht und festgestellt.
1. Das Problem der Auslegung
Gesetze sind in der Regel in abstrakter Rechtssprache verfasst, deren Umsetzung erst nach der Ermittlung der genauen Bedeutung angegangen werden kann. Diese “Ermittlung” ist ein Art von Interpretationsprozess, den man als “Auslegung” bezeichnet.
In Deutschland knüpft man dabei an Friedrich Carl von Savignys System der juristischen Hermeneutik an, die dafür vier Elemente in sich vereint (Schübel-Pfister, 2004, 124 – 132): Während beim grammatischen Element der Auslegung der natürliche Sinn der Worte im unmittelbaren Zusammenhang des Satzes zu ermitteln ist, umfasst die systematische Auslegung den Einbezug naheliegender Gesetze. Die teleologische Auslegung sucht indessen nach dem Sinn und Zweck des Gesetzes, während das historische Element der Auslegung auf die historischen Gründe für die Schaffung einer Norm abzielt.
Nun hat aber jedes Land eigene Formen der Auslegung: Während beispielsweise im angloamerikanischen Raum traditionell der Wortlaut eine größere Rolle bei der Auslegung spielt, umfasst die Interpretation nach französischem Verständnis auch die Lückenfüllung und Rechtsfortbildung (Schübel-Pfister, 2004, 125). Somit ist es möglich, dass Juristen aus anderen Ländern auf unterschiedliche Interpretationen eines Gesetzes kommen. Da bereits der Begriff der Auslegung selbst auslegungsfähig ist, kann selbst der Europäische Gerichtshof, der nach dem Vertrag zur Gründung der Europäischen Gemeinschaft (kurz EGV) ” ‘die Wahrung des Rechts bei der Auslegung und Anwendung’ ” zu sichern hat, zu keinem einheitlichen Ergebnis gelangen (Schübel-Pfister, 2004, 126).
Obwohl die DSGVO Erwägungsgründe sowie Begriffsbestimmungen in Artikel 4 beinhaltet, die zur Unterstützung bei der Auslegung herangezogen werden können, haben auch die Aufsichtsbehörden dieses Problem bemerkt. Laut dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit sind sie daher an der Erarbeitung von “Leitlinien und Empfehlungen für die Auslegung und Umsetzung der neuen Rechtsvorschriften im Europäischen Datenschutzausschuss” (übersetzt aus dem Englischen; GDPR evaluation after two years – Take the opportunity for changes! (2020), The Hamburg Commissioner for Data Protection and Freedom of Information)
2. Das Problem der praktischen Umsetzung
Für die Durchsetzung der Regelungen der DSGVO sind die nationalen Datenschutzbehörden zuständig. Im Zeitraum von Mai 2018 bis März 2021 wurden insgesamt 278.549.188 Euro von den Datenschutzbehörden an Geldbußen und Sanktionen verhängt (Access Now, S. 2) – fast die Hälfte dieser Strafen belief sich gegen Technologieunternehmen und Telekommunikationsbetreiber (Access Now, S. 6).
Neben einer großen Diskrepanz zwischen der Art und Weise, wie Datenschutzbehörden in verschiedenen Mitgliedsstaaten ihre Befugnisse nutzen (Access Now, S. 2), haben die Behörden auch erhebliche Probleme mit der Durchsetzung der DSGVO in grenzüberschreitenden Fällen (Access Now, S. 3). Gründe hierfür sind unter anderem die Verwendung unzureichender Kommunikationsmittel sowie die Unvereinbarkeit nationaler Verfahren (Access Now, S. 3). Letzteres kann beispielsweise dazu führen, dass eine Behörde einen Fall für ungültig erklärt, während eine andere dies nicht tut.
Zusätzlich kommt hinzu, dass sich jeweils die Datenschutzbehörde in dem Land, in dem sich auch die Hauptniederlassung eines Unternehmens befindet, zur “federführenden Behörde” entwickelt und somit für alle Beschwerden im Zusammenhang mit diesem Unternehmen verantwortlich ist (Access Now, S. 13). Ein bekanntes Beispiel hierfür ist das Unternehmen Facebook, das seine Hauptniederlassung in Irland registriert hat und jede Untersuchung gegen das Unternehmen somit von der irischen Datenschutzbehörde geleitet werden muss (Access Now, S. 13). Dieses System führt jedoch meistens zu Überlastungen einzelner Datenschutzbehörden und immer noch zu Unklarheiten darüber, wer einen Fall leiten sollte.
Prof. Dr. Dieter Kugelmannm, seit 2015 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, sagt in einem Interview mit Netzpolitik auch, dass die “größte Baustelle […] in der Tat eine effektive und europaweit einigermaßen harmonisierte Durchsetzung” ist.
Obwohl in Europa mit der DSGVO also eine gute Gesetzesgrundlage für den Datenschutz gegeben ist, muss die Umsetzung der Gesetze noch verbessert werden. Einheitliche Regelungen und Kommunikationskanäle wären wohl ein Anfang. Ebenfalls darf die Ausweitung der Gesetze nicht fehlen, um eine verfestigte Rechtsgrundlage beim Vorgehen gegen Unternehmen zu haben.
Am 15. Mai 2021 aktualisierte der Messenger WhatsApp seine Nutzungsbedingungen und Datenschutzrichtlinie. Die Ankündigung über die Änderungen führte zu Beginn des Jahres zu starken Protesten und der Abwanderung von Nutzern zu Alternativ-Messengern. Doch was hat es mit den Neuerungen auf sich, dass so viele Menschen erzürnt sind?
Der Messenger WhatsApp betont, dass es mit den neuen Nutzungsbedingungen zu keinen Änderungen der Ende-zu-Ende-Verschlüsselung der persönlichen Nachrichten kommen soll. Ebenfalls soll mit der Aktualisierung keine erweiterte Datenweitergabe an Facebook als Eigentümer vorgesehen sei.
Hintergrundinformation: WhatsApp speichert unter anderem persönliche Daten wie Account- und Smartphone-Informationen, Standortdaten und Kommunikationsdaten (mit wem hat man wie lange telefoniert/geschrieben). Seit dem Jahr 2016 tauscht der Konzern auch Anwenderdaten mit Facebook-Diensten aus. Welche der gespeicherten Daten das genau sind, wird in der Datenschutzrichtlinie nicht ersichtlich.
Da die Aktualisierungen neue Optionen erhalten, über die Personen mithilfe von WhatsApp Nachrichten an Unternehmen senden können, soll lediglich die Kommunikation mit und für den Einkauf von Unternehmen auf WhatsApp zur Verwaltung gespeichert werden. “Wenn du mit einem Unternehmen über Telefon, E-Mail oder WhatsApp kommunizierst, kann es die Informationen aus diesen Interaktionen mit dir für eigene Marketingzwecke verwenden. Dies kann auch Werbung auf Facebook einschließen”, hieß es in einer Erläuterung.
Für die Zustimmung wird seit ein paar Wochen ein Banner auf der App eingeblendet, das auf die Neuerungen hinweist. Sollten Nutzer dem Update nicht zustimmen, soll sich der Funktionsumfang der App ab dem 15. Mai schrittweise verringern. Man werde zwar noch eingehende Audio- und Videoanrufe annehmen, sowie über Benachrichtigungen auch Chat-Nachrichten beantworten können – diese sollen letztlich jedoch eingestellt werden.
Im Grunde lässt WhatsApp seinen Nutzern keine Wahl, wenn sie den Messenger weiter uneingeschränkt nutzen wollen: Man muss den neuen Nutzungsbedingungen zustimmen. Man hat jedoch die Wahl, auf eine Messenger-Alternative wie Signal oder Threema zurückzugreifen – wenn man denn möchte.
Apple gehört zu den wertvollsten Unternehmen der Welt und scheint einen deutlichen Schritt Richtung mehr Datenschutz zu gehen: Mit dem System-Update von iOS 14.5 hat Apple neue Anti-Tracking-Maßnahmen für Drittanbieter umgesetzt. Aber wie hält es Apple selbst mit dem Datenschutz?
Gerade in Bezug auf den Datenschutz verspricht Apple viel mit dem System-Update von iOS 14.5 und scheint Aufklärung in Bezug auf den digitalen Datenschutz zu betreiben. Die Aktualisierung für die aktuellen iPhones kommt mit einer Einstellung namens App Tracking Transparency, übersetzt: App-Verfolgungstransparenz.
Schon Ende Januar 2021 stellt der US-Konzern ein Paper zum Download zur Verfügung, das den Umgang mit anfallenden Daten durch Werbetreibende und Drittanbieter darstellt:
Am Beispiel eines imaginären Vater-Tochter-Ausflugs wird deutlich gemacht, dass Werbetreibenden durch digitale Geräte ein großflächiger Zugriff auf demografische Informationen geboten wird und diese Daten eine Branche von 227 Milliarden US-Dollar pro Jahr befeuern. Apple kritisiert in dem Paper die fehlende Transparenz über die gesammelten Daten und die fehlende Kontrolle des Nutzers über die Datenübertragung.
Die Limitierung des Trackings durch Drittanbieter ist generell natürlich ein Schritt, der zu begrüßen ist. Dennoch stellt sich die Frage, ob es sich hierbei um eine strategische Entscheidung für das Wohl der Nutzer oder gegen die Marktstellung der Drittanbieter handelt.
Ein Blick in Apples Datenschutzbestimmungen
Betrachtet man die Datenschutz-Bestimmungen von Apple, wird klar: Man soll mit dem neuen Anti-Tracking-Tool zwar den App-Anbietern das Sammeln von Daten verbieten können – aber damit verbietet man nicht Apple das Speichern, Analysieren und Verkaufen von Daten. Tatbestand liefern Apples Datenschutzrichtlinien, die man erst nach erweiterter Suche und Umgehung der für die Kampagne erstellten Webseite zu “Datenschutz” findet.
“Apple erhebt personenbezogene Daten, die zur Bereitstellung unserer Dienste erforderlich sind. Dazu können personenbezogene Daten gehören, die zur Personalisierung oder Verbesserung unserer Angebote, für interne Zwecke wie Prüfungen oder Datenanalysen oder zur Problembehebung erfasst werden.”
Deutschsprachiges PDF von Apples Datenschutzrichtlinien (Stand 14. Dezember 2020), S. 5
Das ist eine sehr allgemeine Formulierung für die Zwecke der Verwendung der persönlichen Daten. Im Grunde kann Apple personenbezogene Daten dann verarbeiten, wenn der Konzern es für notwendig erachtet. Und liest man dies dazu:
“Apple kann personenbezogene Daten an Dienstanbieter, die in unserem Auftrag handeln, an unsere Partner oder an andere in Ihrem Auftrag tätige Parteien weitergeben”
Deutschsprachiges PDF von Apples Datenschutzrichtlinien (Stand 14. Dezember 2020), S. 5
Drittanbieter scheinen trotz Ablehnung des Trackings vonseiten der Nutzer Daten von Apple zugespielt bekommen zu können.
Die “Privacy”-Kampagne von Apple ist eine Illusion
Zum einen erklärt Apples CEO Tim Cook in einem Interview, dass die Verantwortung für den Schutz der Daten bei den Unternehmen selbst liege, und bemängelt in seinem Paper zusätzlich die fehlende Transparenz über die gesammelten Daten und die fehlende Kontrolle des Nutzers über die Datenübertragung. Zum anderen verstößt Apple mit seiner “Privacy”-Kampagne jedoch gegen den eigenen Grundsatz der Benutzertransparenz.
Es scheint, dass Facebook-Chef Mark Zuckerbergs Kritik zutrifft, dass Apple mit seiner Kampagne um Datenschutz nur den derzeitigen Wettbewerbsinteressen folge, um damit seinen Ertrag zu steigern. Denn wie Apple selbst die Tracking-Industrie kommentiert: “You have become the product”
Mit den Prinzipien Datenschutz, Transparenz und Fairness stellt der gemeinnützige Verein fair.digital e.V. eine Gegenbewegung zu Daten-Monopolen dar. Der von “fair.digital” vertretene Netzwerk-Gedanke und die zentrale Rolle der Digitalen Souveränität wird auch beim CyberForum als größtes europäisches Netzwerk mit über 1.200 Mitgliedern aus der Digitalwirtschaft fokussiert.
David Hermanns
Martin Hubschneider
David Hermanns, Geschäftsführer des CyberForum und Unterstützer der Initiative fair.digital, und Martin Hubschneider, Vorsitzender des Vereins fair.digital und Vorstandsmitglied des CyberForum, sprechen in einem aktuellen Interview über die zentrale Rolle von Netzwerken und Digitaler Souveränität – auch außerhalb der IT-Branche.
David Hermanns betont, dass durch die Auszeichnung mit dem Gütesiegel von fair.digital gleichzeitig ein Überblick über faire digitale Produkte und Dienstleistungen geschaffen wird. Denn für die Zertifizierung müssen sieben Kriterien erfüllt sein, die dem Ziel der Digitalen Souveränität folgend datensparsam gestaltet sind. Die Nutzung dieser fairen Alternativen macht Europa unabhängig von Daten-Monopolen. Hermanns führt aus:
“Mit dem Verein fair.digital vereinen wir Unternehmen mit einheitlich übereinstimmenden Werten, um unsere Zukunft digital souverän zu gestalten.”
David Hermanns
Hubschneider identifiziert den Erfolg des Vereins durch die zahlreichen positiven Rückmeldungen und der wachsenden Bedeutung von Digitaler Souveränität in der Öffentlichkeit. Auch Hermanns beobachtet, dass sich immer mehr Mitglieder des CyberForum mit der nachhaltigen Gestaltung der Digitalisierung beschäftigen und bei der Umsetzung der fair.digital-Ziele mitwirken wollen. Letztlich geht damit nämlich eine Stärkung des gesamten Netzwerks einher, so das Resümee von David Hermanns.
Das Bewusstsein für Digitale Souveränität soll, so Hubschneider zum Schluss des Interviews, mit Vorträgen und einer vermehrten öffentlichen Präsenz von “fair.digital” gestärkt werden, damit durch ein wachsenden Netzwerk schließlich die Digitale Souveränität Europas vorangetrieben werden kann.
Das vollständige Interview von Martin Hubschneider und David Hermanns steht hier auf TECHTAG zur Verfügung.
Eigener Screenshot von der App “Clubhouse” im App Store auf einem Apple Smartphone
Die Audioplattform “Clubhouse” hat Anfang 2021 innerhalb kürzester Zeit den ersten Rang bei den Social Networking Charts im App Store von Apple erklommen. Gleichzeitig berichtetder Vorstand der Verbraucherzentrale Bundesverband, Klaus Müller, über Twitter über die Abmahnung der Anbieter von “Clubhouse” aufgrund von gravierenden rechtlichen Mängeln. Was hat es mit der App und den Mängeln – gerade hinsichtlich des Datenschutzes – auf sich?
Die Social-Networking-Site Clubhouse gehört zum Unternehmen Alpha Exploration Co. aus der Nähe von San Francisco. Gründer der amerikanischen App sind Paul Davison (vormals bei Pinterest) und Rohan Seth (vormals bei Google).
Aufbau und Angebot der App
Als reine Audioplattform bietet “Clubhouse” das Erstellen von virtuellen Räumen an, um sich mit anderen Nutzern zum Austausch zu treffen. Zur Veranschaulichung kann man sich die App als eine Life-Podcasts-Plattform vorstellen, durch die den Nutzern die theoretische Teilnahme an hunderten Gesprächsräumen ermöglicht ist. Teilnehmen kann man als Sprecher oder Zuhörer, wobei die jeweiligen Gastgeber der Konversation Zuhörenden auch das Sprechen gestatten können. Die Nutzer können sich auch in sogenannten Clubs organisieren, in denen das Vorausplanen von Gesprächsräumen möglich ist.
Auffällig ist die künstliche Verknappung der App: Mitmachen kann man derzeitig nur durch eine Einladung eines bereits beigetretenen Nutzers. Dabei darf jeder Nutzer nur zwei Einladungen versenden. Außerdem ist die App zurzeit nur für Apple-Geräte mit iOS erhältlich, wodurch alle Nutzer von Android-Smartphones ausgeschlossen sind.
Insbesondere dieser exklusive Zugang dürfte zu der Entstehung des aktuellen Hypes beigetragen haben. Ein Effekt namens “Fear of Missing out”, also die Angst vor dem Verpassen, regt Menschen zur Teilnahme an.
“Clubhouse” und der Datenschutz
Da man die App zurzeit nur mit einer Einladung gebrauchen kann, muss man “Clubhouse” bei der Registrierung als Nutzer den Zugriff auf alle gespeicherten Kontakte auf dem Smartphone gewähren, um selbst Freunde einzuladen. Die Daten aus dem Adressbuch werden auf die Server der Alpha Exploration Co. in den Vereinigten Staaten übertragen. Diese Übertragung ist problematisch, da die USA datenschutzrechtlich als unsicher gilt. Außerdem müssen laut Artikel 14 der Datenschutz-Grundverordnung (DSGVO) alle betroffenen Kontakte der Clubhouse Nutzer vor der Gewährung des Zugriffs über die Nutzung ihrer persönlichen Daten informiert werden – sonst liegt ein Verstoß vor.
Kritisch zu betrachten ist auch die Anlage von sogenannten “Schattenprofilen” von den Kontakten, die die App nicht nutzen. Dabei werden die Namen und (Kontakt-)Daten der Personen abgespeichert.
In Deutschland wird Clubhouse derzeitig auch noch ohne das erforderliche Impressum betrieben. Außerdem liegen die Allgemeinen Geschäftsbedingungen und Datenschutz-Hinweise nicht wie vorgeschrieben auf Deutsch, sondern nur auf Englisch vor. In ebendiesen Nutzungsbedingungen gibt Clubhouse auch folgendes an: „By using the Service, you consent to having your audio temporarily recorded when you speak in a room“, zu Deutsch: Wenn Sie diesen Service nutzen, willigen Sie der temporären Aufnahme von Audiomitschnitten zu. Laut “Clubhouse” selbst erfolgen diese Aufzeichnungen zur Meldung und Ahndung von Regelverstößen während der Live-Gespräche.
Die App sammelt auch Informationen über den Nutzer selbst, um ein Kommunikationsprofil zu erstellen. Unter diesen Informationen sind Daten über Accounts und Gruppen, mit denen sich der Nutzer austauscht, und auch Informationen darüber, wie oft und wie lange der Nutzer zu welcher Tageszeit aktiv ist.
Neben dem Datenschutz bietet die App auch inhaltliche Risiken: „In den USA kamen schon bald nach dem Start erste Berichte auf über Antisemitismus, Rassismus und Sexismus in der App. So werden eben nicht nur spannende Ideen und Wissen diskutiert, sondern auch Menschen angefeindet oder Falschinformationen verbreitet“, so Thomas Moßburger vom BR24. Das ist aber ein anderes Thema, mit dem sich jeder einzelne kritisch auseinandersetzen muss.
Für die Zukunft stellt sich die Frage, wie das Unternehmen Geld verdienen will. Mit dem Schalten von Audiowerbung? Oder stellen unsere persönlichen Daten das Kapital des Unternehmens dar?
Der „Tätigkeitsbericht 2021 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein“ gibt einen Überblick über die wichtigsten und interessantesten Datenschutz-Themen im Jahr 2020. Besonderen Fokus legt Marit Hansen als Landesbeauftragte für Datenschutz Schleswig-Holstein im Bericht auf die Umsetzung von Datenschutzgrundsätzen in der Pandemiesituation. Aufgegriffen werden außerdem auch immer aktuelle Themen rund um den Beschäftigungsdatenschutz, Videoüberwachung und den Schutz von Patientendaten.
Wie wichtig das Thema Datenschutz ist, verdeutlichen die um knapp 16 Prozent gestiegenen gemeldeten Verletzungen des Schutzes personenbezogener Daten und die vom Vorjahr von 1.194 auf fast 1.500 vermehrten schriftlichen Beschwerden (1Tätigkeitsbericht 2021, S. 10f).
In diesem Zusammenhang kann man zwar generell festhalten, dass die meisten untersuchten Fälle keine absichtlichen Verstöße darstellen, sondern aufgrund des fehlenden oder vergessenen Wissens um die Pflichten der Verantwortlichen zu begründen waren. Jedoch stehen im Gegensatz dazu auch Vorfälle, bei denen vorsätzlich gegen die Datenschutzgesetze verstoßen wurde. Beispielhaft nennt das Unabhängige Landeszentrum für Datenschutz (ULD) das heimliche Erstellen von Videoaufnahmen in Umkleiden und medizinischen Untersuchungen.2
Datenschutz im Homeoffice
Das Jahresthema „Corona“ fokussiert den stark angestiegenen örtlichen Wechsel der Beschäftigen in das eigene Zuhause. Mit dem Homeoffice gestörte Arbeitsabläufe wurden oftmals mit Möglichkeiten gelöst, die nicht immer im Einklang mit der Datenschutz-Grundverordnung standen und zu Verletzungen des Schutzes personenbezogener Daten führten (1Tätigkeitsbericht 2021, S. 71). Um in einer improvisierten und konzeptionellen Phase eine Überbrückung zu schaffen (1Tätigkeitsbericht 2021, S. 87), bietet der ULD Handreichungen als Hilfestellung zu dem Umgang mit personenbezogenen Daten, die man online z.B. hier einsehen kann.
Steigende Bedeutung von Digitaler Souveränität
Marit Hansen betont, dass gerade in der heutigen Zeit, in der eine steigende Abhängigkeit von technischen Produkten festzustellen ist, Verantwortliche ihrer Verantwortung nachkommen müssen. Unbedingt muss in diesem Zusammenhang auch die Digitale Souveränität gestärkt werden, die laut dem ULD die Selbstständigkeit, Selbstbestimmtheit und Sicherheit von Individuen in der digitalen Welt widerspiegelt. Dafür soll beispielsweise die datenschutzrechtliche Beurteilung von digitalen Produkten und Dienstleistungen verbessert werden (1Tätigkeitsbericht 2021, S. 17). Das Siegel von “fair.digital” trägt einen Beitrag zu der Schaffung von Digitaler Souveränität bei, indem es digitale Produkte und Dienstleistungen ausgezeichnet, die die Prinzipien Fairness, Datenschutz und Transparenz vertreten.
