Seit dem 22. Juni werden Daten von fast 93 Prozent aller LinkedIn-Nutzer in einem Hackerforum zum Verkauf angeboten. Der Blog Restoreprivacy bestätigt nach einer Prüfung einer veröffentlichten Stichprobe der 700 Millionen Nutzerdaten die Authentizität der Daten.
Die angebotenen Nutzerprofile enthalten Informationen wie vollständige Namen, Geschlecht, E-Mail-Adressen, Telefonnummern, Anschriften, persönliche und berufliche Erfahrungen sowie die Benutzernamen anderer Social-Media-Konten. Obwohl in der Stichprobe bisher keine Zugangs- oder Finanzdaten gefunden wurden, können die verfügbaren Informationen für den Zugriffserhalt zu anderen Konten ausgenutzt werden.
Während der Konzern LinkedIn sich selbst noch nicht zu dem Vorfall geäußert hat, warnt Restoreprivacy unter anderem vor Identitätsdiebstählen und Phishing-Angriffen.
Der Bundestag hat das “Gesetz zur Anpassung des Verfassungsschutzrechts” angenommen, mit dem alle deutschen Geheimdienste die Befugnis zum Einsatz des Staatstrojaners für Überwachungszwecke erhalten. Wie netzpolitik.org berichtet, hat die Bundespolizei zudem die Erlaubnis, Staatstrojaner schon präventiv bei Personen einzusetzen, die noch keine Straftat begangen haben.
Trojaner sind vergleichbar mit einer digitalen Wanze, die auf den Endgeräten der Zielpersonen positioniert wird. Unterstützung sollen die Behörden dabei durch Telekommunikationsanbieter erhalten, die den Trojaner zum Beispiel in Downloads einspeisen. Durch die Installation soll den Behörden dann der “Zugriff auf laufende Kommunikation plus die Kommunikation, die vor Installation der Schadsoftware, aber nach Anordnung der Überwachungsmaßnahme stattgefunden hat”1, ermöglicht sein.
Laut dem Bundestag sei diese Anordnung wichtig, um die innere Sicherheit und Abwehr von Cyber-Kriminalität und Terrorismus durch die Anpassung an aktuelle technische Verhältnisse zu verbessern. Der Chaos Computer Club kritisiert unter anderem jedoch, dass für die Installation der Trojaner Sicherheitslücken im Gerät vorliegen müssen. Diese würden für den Einsatz von den Behörden ausgenutzt und blieben aufgrund der Geheimhaltung offen. Somit wäre auch immer ein Angriff durch Cyber-Kriminelle möglich.
In unserem Blog wurde Digitale Souveränität als das Bestimmungsrecht über alle (digital) erfassten persönlichen Daten definiert. Durch die unkritische Hinnahme von umständlich formulierten Nutzungsbedingungen von Anbietern digitaler Systeme betritt man meistens eine Endlosschleife der Ausbeutung, Überwachung und Manipulation. Wie sich diese Methode im Alltag zeigt, macht Robert G. Reeve mit mehreren Twitter-Posts deutlich.
Robert G. Reeve ist selbsternannter Autor, Designer und Datenschutztechniker. In einem Tweed berichtet er davon, wie er nach einem Besuch bei seiner Mutter Werbung für deren genutzte Zahnpasta-Marke anzeigt bekommt, ohne diese je verbal (oder in einem mobilen Endgerät) aufgegriffen zu haben.
Gleich zu Beginn stellt Reeve klar, dass Social-Media-Apps ihre Nutzer aufgrund von günstigeren Alternativen nicht belauschen, um Daten zu sammeln. Denn schon alleine durch die alltäglichen Funktionen häufen sich Daten an, die von den jeweiligen Unternehmen genutzt werden können: “Ihre eindeutige Geräte-ID. Ihr Standort. Ihre Demografie. […] Wann benutze ich meine Rabattkarte im Supermarkt? Jeder Einkauf? Das ist ein Datensatz zum Verkauf”, so Reeve (übersetzt aus dem Englischen).
Durch die Zustimmung der jeweiligen Nutzungs- und Datenschutzbestimmungen ist es Anwendungen auch möglich, Verknüpfungen herzustellen und auszubauen. Reeve macht es folgendermaßen deutlich: “Befindet sich mein Telefon regelmäßig am selben GPS-Standort wie ein anderes Telefon, nehmen sie [Apps] dies zur Kenntnis. Sie [Apps] beginnen mit der Rekonstruktion des Netzes von Menschen, mit denen ich regelmäßig in Kontakt stehe” (übersetzt aus dem Englischen).
Auf Grundlage dieser aggregierten Metadaten werden Anzeigen basierend auf den Interessen der Leute um einen herum angezeigt, mit denen man regelmäßig in Kontakt steht. Bei Reeve ist es mit der Zahnpasta-Marke wohl folgendermaßen abgelaufen:
“So. Sie [Apps] kennen die Zahnpasta meiner Mutter. Sie [Apps] wissen, dass ich bei meiner Mutter war. Sie [Apps] kennen mein Twitter. Jetzt bekomme ich Twitter-Anzeigen für Mamas Zahnpasta. Bei Ihren Daten geht es nicht nur um Sie. Es geht darum, wie sie gegen jede Person verwendet werden können, die Sie kennen, und gegen Personen, die Sie nicht kennen. Um Verhalten unbewusst gestalten.“
Robert G. Reeve (übersetzt aus dem Englischen)
Mit diesem Beispiel wird deutlich, wie persönliche Daten für manipulative Werbezwecke genutzt werden (können). Obwohl es Möglichkeiten gibt, das Tracking von Apps zu blockieren, sollte man diese nicht unbedacht nutzen. Das neuste Update von Apple, das Reeve beispielsweise empfiehlt, blockiert zwar die Möglichkeit des Trackings externer Apps, trackt jedoch selbst weiter, wie Sie hier lesen können.
Man kann an diesem Beispiel festmachen, dass es Anbietern von Smartphones und Apps etc. durch die Analyse von Daten möglich ist, uns zu überwachen und unser Verhalten unbewusst zu gestalten. Denn ist es nicht wahrscheinlicher, dass Sie eine Zahnpasta-Marke kaufen, die Ihre Mutter nutzt und Ihnen als Werbung vorgeschlagen wird? – Meistens ja, und damit bestätigt sich die Philosophie der Datenkraken: Überwachung und Manipulation, womit schrittweise das Bestimmungsrecht über die eigenen Daten verloren geht.
Am 25. Mai 2021 feiert die Datenschutz-Grundverordnung (DSGVO) ihren dreijährigen Geburtstag. In dem Bericht “Drei Jahre unter der DSGVO” hat die Non-Profit-Organisation Access Now, die sich für die Verteidigung der digitalen Bürgerrechte einsetzt, nun mehrere Haupthindernisse bei der Durchsetzung des Gesetzes untersucht und festgestellt.
1. Das Problem der Auslegung
Gesetze sind in der Regel in abstrakter Rechtssprache verfasst, deren Umsetzung erst nach der Ermittlung der genauen Bedeutung angegangen werden kann. Diese “Ermittlung” ist ein Art von Interpretationsprozess, den man als “Auslegung” bezeichnet.
In Deutschland knüpft man dabei an Friedrich Carl von Savignys System der juristischen Hermeneutik an, die dafür vier Elemente in sich vereint (Schübel-Pfister, 2004, 124 – 132): Während beim grammatischen Element der Auslegung der natürliche Sinn der Worte im unmittelbaren Zusammenhang des Satzes zu ermitteln ist, umfasst die systematische Auslegung den Einbezug naheliegender Gesetze. Die teleologische Auslegung sucht indessen nach dem Sinn und Zweck des Gesetzes, während das historische Element der Auslegung auf die historischen Gründe für die Schaffung einer Norm abzielt.
Nun hat aber jedes Land eigene Formen der Auslegung: Während beispielsweise im angloamerikanischen Raum traditionell der Wortlaut eine größere Rolle bei der Auslegung spielt, umfasst die Interpretation nach französischem Verständnis auch die Lückenfüllung und Rechtsfortbildung (Schübel-Pfister, 2004, 125). Somit ist es möglich, dass Juristen aus anderen Ländern auf unterschiedliche Interpretationen eines Gesetzes kommen. Da bereits der Begriff der Auslegung selbst auslegungsfähig ist, kann selbst der Europäische Gerichtshof, der nach dem Vertrag zur Gründung der Europäischen Gemeinschaft (kurz EGV) ” ‘die Wahrung des Rechts bei der Auslegung und Anwendung’ ” zu sichern hat, zu keinem einheitlichen Ergebnis gelangen (Schübel-Pfister, 2004, 126).
Obwohl die DSGVO Erwägungsgründe sowie Begriffsbestimmungen in Artikel 4 beinhaltet, die zur Unterstützung bei der Auslegung herangezogen werden können, haben auch die Aufsichtsbehörden dieses Problem bemerkt. Laut dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit sind sie daher an der Erarbeitung von “Leitlinien und Empfehlungen für die Auslegung und Umsetzung der neuen Rechtsvorschriften im Europäischen Datenschutzausschuss” (übersetzt aus dem Englischen; GDPR evaluation after two years – Take the opportunity for changes! (2020), The Hamburg Commissioner for Data Protection and Freedom of Information)
2. Das Problem der praktischen Umsetzung
Für die Durchsetzung der Regelungen der DSGVO sind die nationalen Datenschutzbehörden zuständig. Im Zeitraum von Mai 2018 bis März 2021 wurden insgesamt 278.549.188 Euro von den Datenschutzbehörden an Geldbußen und Sanktionen verhängt (Access Now, S. 2) – fast die Hälfte dieser Strafen belief sich gegen Technologieunternehmen und Telekommunikationsbetreiber (Access Now, S. 6).
Neben einer großen Diskrepanz zwischen der Art und Weise, wie Datenschutzbehörden in verschiedenen Mitgliedsstaaten ihre Befugnisse nutzen (Access Now, S. 2), haben die Behörden auch erhebliche Probleme mit der Durchsetzung der DSGVO in grenzüberschreitenden Fällen (Access Now, S. 3). Gründe hierfür sind unter anderem die Verwendung unzureichender Kommunikationsmittel sowie die Unvereinbarkeit nationaler Verfahren (Access Now, S. 3). Letzteres kann beispielsweise dazu führen, dass eine Behörde einen Fall für ungültig erklärt, während eine andere dies nicht tut.
Zusätzlich kommt hinzu, dass sich jeweils die Datenschutzbehörde in dem Land, in dem sich auch die Hauptniederlassung eines Unternehmens befindet, zur “federführenden Behörde” entwickelt und somit für alle Beschwerden im Zusammenhang mit diesem Unternehmen verantwortlich ist (Access Now, S. 13). Ein bekanntes Beispiel hierfür ist das Unternehmen Facebook, das seine Hauptniederlassung in Irland registriert hat und jede Untersuchung gegen das Unternehmen somit von der irischen Datenschutzbehörde geleitet werden muss (Access Now, S. 13). Dieses System führt jedoch meistens zu Überlastungen einzelner Datenschutzbehörden und immer noch zu Unklarheiten darüber, wer einen Fall leiten sollte.
Prof. Dr. Dieter Kugelmannm, seit 2015 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, sagt in einem Interview mit Netzpolitik auch, dass die “größte Baustelle […] in der Tat eine effektive und europaweit einigermaßen harmonisierte Durchsetzung” ist.
Obwohl in Europa mit der DSGVO also eine gute Gesetzesgrundlage für den Datenschutz gegeben ist, muss die Umsetzung der Gesetze noch verbessert werden. Einheitliche Regelungen und Kommunikationskanäle wären wohl ein Anfang. Ebenfalls darf die Ausweitung der Gesetze nicht fehlen, um eine verfestigte Rechtsgrundlage beim Vorgehen gegen Unternehmen zu haben.
Am 15. Mai 2021 aktualisierte der Messenger WhatsApp seine Nutzungsbedingungen und Datenschutzrichtlinie. Die Ankündigung über die Änderungen führte zu Beginn des Jahres zu starken Protesten und der Abwanderung von Nutzern zu Alternativ-Messengern. Doch was hat es mit den Neuerungen auf sich, dass so viele Menschen erzürnt sind?
Der Messenger WhatsApp betont, dass es mit den neuen Nutzungsbedingungen zu keinen Änderungen der Ende-zu-Ende-Verschlüsselung der persönlichen Nachrichten kommen soll. Ebenfalls soll mit der Aktualisierung keine erweiterte Datenweitergabe an Facebook als Eigentümer vorgesehen sei.
Hintergrundinformation: WhatsApp speichert unter anderem persönliche Daten wie Account- und Smartphone-Informationen, Standortdaten und Kommunikationsdaten (mit wem hat man wie lange telefoniert/geschrieben). Seit dem Jahr 2016 tauscht der Konzern auch Anwenderdaten mit Facebook-Diensten aus. Welche der gespeicherten Daten das genau sind, wird in der Datenschutzrichtlinie nicht ersichtlich.
Da die Aktualisierungen neue Optionen erhalten, über die Personen mithilfe von WhatsApp Nachrichten an Unternehmen senden können, soll lediglich die Kommunikation mit und für den Einkauf von Unternehmen auf WhatsApp zur Verwaltung gespeichert werden. “Wenn du mit einem Unternehmen über Telefon, E-Mail oder WhatsApp kommunizierst, kann es die Informationen aus diesen Interaktionen mit dir für eigene Marketingzwecke verwenden. Dies kann auch Werbung auf Facebook einschließen”, hieß es in einer Erläuterung.
Für die Zustimmung wird seit ein paar Wochen ein Banner auf der App eingeblendet, das auf die Neuerungen hinweist. Sollten Nutzer dem Update nicht zustimmen, soll sich der Funktionsumfang der App ab dem 15. Mai schrittweise verringern. Man werde zwar noch eingehende Audio- und Videoanrufe annehmen, sowie über Benachrichtigungen auch Chat-Nachrichten beantworten können – diese sollen letztlich jedoch eingestellt werden.
Im Grunde lässt WhatsApp seinen Nutzern keine Wahl, wenn sie den Messenger weiter uneingeschränkt nutzen wollen: Man muss den neuen Nutzungsbedingungen zustimmen. Man hat jedoch die Wahl, auf eine Messenger-Alternative wie Signal oder Threema zurückzugreifen – wenn man denn möchte.
Apple gehört zu den wertvollsten Unternehmen der Welt und scheint einen deutlichen Schritt Richtung mehr Datenschutz zu gehen: Mit dem System-Update von iOS 14.5 hat Apple neue Anti-Tracking-Maßnahmen für Drittanbieter umgesetzt. Aber wie hält es Apple selbst mit dem Datenschutz?
Gerade in Bezug auf den Datenschutz verspricht Apple viel mit dem System-Update von iOS 14.5 und scheint Aufklärung in Bezug auf den digitalen Datenschutz zu betreiben. Die Aktualisierung für die aktuellen iPhones kommt mit einer Einstellung namens App Tracking Transparency, übersetzt: App-Verfolgungstransparenz.
Schon Ende Januar 2021 stellt der US-Konzern ein Paper zum Download zur Verfügung, das den Umgang mit anfallenden Daten durch Werbetreibende und Drittanbieter darstellt:
Am Beispiel eines imaginären Vater-Tochter-Ausflugs wird deutlich gemacht, dass Werbetreibenden durch digitale Geräte ein großflächiger Zugriff auf demografische Informationen geboten wird und diese Daten eine Branche von 227 Milliarden US-Dollar pro Jahr befeuern. Apple kritisiert in dem Paper die fehlende Transparenz über die gesammelten Daten und die fehlende Kontrolle des Nutzers über die Datenübertragung.
Die Limitierung des Trackings durch Drittanbieter ist generell natürlich ein Schritt, der zu begrüßen ist. Dennoch stellt sich die Frage, ob es sich hierbei um eine strategische Entscheidung für das Wohl der Nutzer oder gegen die Marktstellung der Drittanbieter handelt.
Ein Blick in Apples Datenschutzbestimmungen
Betrachtet man die Datenschutz-Bestimmungen von Apple, wird klar: Man soll mit dem neuen Anti-Tracking-Tool zwar den App-Anbietern das Sammeln von Daten verbieten können – aber damit verbietet man nicht Apple das Speichern, Analysieren und Verkaufen von Daten. Tatbestand liefern Apples Datenschutzrichtlinien, die man erst nach erweiterter Suche und Umgehung der für die Kampagne erstellten Webseite zu “Datenschutz” findet.
“Apple erhebt personenbezogene Daten, die zur Bereitstellung unserer Dienste erforderlich sind. Dazu können personenbezogene Daten gehören, die zur Personalisierung oder Verbesserung unserer Angebote, für interne Zwecke wie Prüfungen oder Datenanalysen oder zur Problembehebung erfasst werden.”
Deutschsprachiges PDF von Apples Datenschutzrichtlinien (Stand 14. Dezember 2020), S. 5
Das ist eine sehr allgemeine Formulierung für die Zwecke der Verwendung der persönlichen Daten. Im Grunde kann Apple personenbezogene Daten dann verarbeiten, wenn der Konzern es für notwendig erachtet. Und liest man dies dazu:
“Apple kann personenbezogene Daten an Dienstanbieter, die in unserem Auftrag handeln, an unsere Partner oder an andere in Ihrem Auftrag tätige Parteien weitergeben”
Deutschsprachiges PDF von Apples Datenschutzrichtlinien (Stand 14. Dezember 2020), S. 5
Drittanbieter scheinen trotz Ablehnung des Trackings vonseiten der Nutzer Daten von Apple zugespielt bekommen zu können.
Die “Privacy”-Kampagne von Apple ist eine Illusion
Zum einen erklärt Apples CEO Tim Cook in einem Interview, dass die Verantwortung für den Schutz der Daten bei den Unternehmen selbst liege, und bemängelt in seinem Paper zusätzlich die fehlende Transparenz über die gesammelten Daten und die fehlende Kontrolle des Nutzers über die Datenübertragung. Zum anderen verstößt Apple mit seiner “Privacy”-Kampagne jedoch gegen den eigenen Grundsatz der Benutzertransparenz.
Es scheint, dass Facebook-Chef Mark Zuckerbergs Kritik zutrifft, dass Apple mit seiner Kampagne um Datenschutz nur den derzeitigen Wettbewerbsinteressen folge, um damit seinen Ertrag zu steigern. Denn wie Apple selbst die Tracking-Industrie kommentiert: “You have become the product”
Eigener Screenshot von der App “Clubhouse” im App Store auf einem Apple Smartphone
Die Audioplattform “Clubhouse” hat Anfang 2021 innerhalb kürzester Zeit den ersten Rang bei den Social Networking Charts im App Store von Apple erklommen. Gleichzeitig berichtetder Vorstand der Verbraucherzentrale Bundesverband, Klaus Müller, über Twitter über die Abmahnung der Anbieter von “Clubhouse” aufgrund von gravierenden rechtlichen Mängeln. Was hat es mit der App und den Mängeln – gerade hinsichtlich des Datenschutzes – auf sich?
Die Social-Networking-Site Clubhouse gehört zum Unternehmen Alpha Exploration Co. aus der Nähe von San Francisco. Gründer der amerikanischen App sind Paul Davison (vormals bei Pinterest) und Rohan Seth (vormals bei Google).
Aufbau und Angebot der App
Als reine Audioplattform bietet “Clubhouse” das Erstellen von virtuellen Räumen an, um sich mit anderen Nutzern zum Austausch zu treffen. Zur Veranschaulichung kann man sich die App als eine Life-Podcasts-Plattform vorstellen, durch die den Nutzern die theoretische Teilnahme an hunderten Gesprächsräumen ermöglicht ist. Teilnehmen kann man als Sprecher oder Zuhörer, wobei die jeweiligen Gastgeber der Konversation Zuhörenden auch das Sprechen gestatten können. Die Nutzer können sich auch in sogenannten Clubs organisieren, in denen das Vorausplanen von Gesprächsräumen möglich ist.
Auffällig ist die künstliche Verknappung der App: Mitmachen kann man derzeitig nur durch eine Einladung eines bereits beigetretenen Nutzers. Dabei darf jeder Nutzer nur zwei Einladungen versenden. Außerdem ist die App zurzeit nur für Apple-Geräte mit iOS erhältlich, wodurch alle Nutzer von Android-Smartphones ausgeschlossen sind.
Insbesondere dieser exklusive Zugang dürfte zu der Entstehung des aktuellen Hypes beigetragen haben. Ein Effekt namens “Fear of Missing out”, also die Angst vor dem Verpassen, regt Menschen zur Teilnahme an.
“Clubhouse” und der Datenschutz
Da man die App zurzeit nur mit einer Einladung gebrauchen kann, muss man “Clubhouse” bei der Registrierung als Nutzer den Zugriff auf alle gespeicherten Kontakte auf dem Smartphone gewähren, um selbst Freunde einzuladen. Die Daten aus dem Adressbuch werden auf die Server der Alpha Exploration Co. in den Vereinigten Staaten übertragen. Diese Übertragung ist problematisch, da die USA datenschutzrechtlich als unsicher gilt. Außerdem müssen laut Artikel 14 der Datenschutz-Grundverordnung (DSGVO) alle betroffenen Kontakte der Clubhouse Nutzer vor der Gewährung des Zugriffs über die Nutzung ihrer persönlichen Daten informiert werden – sonst liegt ein Verstoß vor.
Kritisch zu betrachten ist auch die Anlage von sogenannten “Schattenprofilen” von den Kontakten, die die App nicht nutzen. Dabei werden die Namen und (Kontakt-)Daten der Personen abgespeichert.
In Deutschland wird Clubhouse derzeitig auch noch ohne das erforderliche Impressum betrieben. Außerdem liegen die Allgemeinen Geschäftsbedingungen und Datenschutz-Hinweise nicht wie vorgeschrieben auf Deutsch, sondern nur auf Englisch vor. In ebendiesen Nutzungsbedingungen gibt Clubhouse auch folgendes an: „By using the Service, you consent to having your audio temporarily recorded when you speak in a room“, zu Deutsch: Wenn Sie diesen Service nutzen, willigen Sie der temporären Aufnahme von Audiomitschnitten zu. Laut “Clubhouse” selbst erfolgen diese Aufzeichnungen zur Meldung und Ahndung von Regelverstößen während der Live-Gespräche.
Die App sammelt auch Informationen über den Nutzer selbst, um ein Kommunikationsprofil zu erstellen. Unter diesen Informationen sind Daten über Accounts und Gruppen, mit denen sich der Nutzer austauscht, und auch Informationen darüber, wie oft und wie lange der Nutzer zu welcher Tageszeit aktiv ist.
Neben dem Datenschutz bietet die App auch inhaltliche Risiken: „In den USA kamen schon bald nach dem Start erste Berichte auf über Antisemitismus, Rassismus und Sexismus in der App. So werden eben nicht nur spannende Ideen und Wissen diskutiert, sondern auch Menschen angefeindet oder Falschinformationen verbreitet“, so Thomas Moßburger vom BR24. Das ist aber ein anderes Thema, mit dem sich jeder einzelne kritisch auseinandersetzen muss.
Für die Zukunft stellt sich die Frage, wie das Unternehmen Geld verdienen will. Mit dem Schalten von Audiowerbung? Oder stellen unsere persönlichen Daten das Kapital des Unternehmens dar?
Der „Tätigkeitsbericht 2021 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein“ gibt einen Überblick über die wichtigsten und interessantesten Datenschutz-Themen im Jahr 2020. Besonderen Fokus legt Marit Hansen als Landesbeauftragte für Datenschutz Schleswig-Holstein im Bericht auf die Umsetzung von Datenschutzgrundsätzen in der Pandemiesituation. Aufgegriffen werden außerdem auch immer aktuelle Themen rund um den Beschäftigungsdatenschutz, Videoüberwachung und den Schutz von Patientendaten.
Wie wichtig das Thema Datenschutz ist, verdeutlichen die um knapp 16 Prozent gestiegenen gemeldeten Verletzungen des Schutzes personenbezogener Daten und die vom Vorjahr von 1.194 auf fast 1.500 vermehrten schriftlichen Beschwerden (1Tätigkeitsbericht 2021, S. 10f).
In diesem Zusammenhang kann man zwar generell festhalten, dass die meisten untersuchten Fälle keine absichtlichen Verstöße darstellen, sondern aufgrund des fehlenden oder vergessenen Wissens um die Pflichten der Verantwortlichen zu begründen waren. Jedoch stehen im Gegensatz dazu auch Vorfälle, bei denen vorsätzlich gegen die Datenschutzgesetze verstoßen wurde. Beispielhaft nennt das Unabhängige Landeszentrum für Datenschutz (ULD) das heimliche Erstellen von Videoaufnahmen in Umkleiden und medizinischen Untersuchungen.2
Datenschutz im Homeoffice
Das Jahresthema „Corona“ fokussiert den stark angestiegenen örtlichen Wechsel der Beschäftigen in das eigene Zuhause. Mit dem Homeoffice gestörte Arbeitsabläufe wurden oftmals mit Möglichkeiten gelöst, die nicht immer im Einklang mit der Datenschutz-Grundverordnung standen und zu Verletzungen des Schutzes personenbezogener Daten führten (1Tätigkeitsbericht 2021, S. 71). Um in einer improvisierten und konzeptionellen Phase eine Überbrückung zu schaffen (1Tätigkeitsbericht 2021, S. 87), bietet der ULD Handreichungen als Hilfestellung zu dem Umgang mit personenbezogenen Daten, die man online z.B. hier einsehen kann.
Steigende Bedeutung von Digitaler Souveränität
Marit Hansen betont, dass gerade in der heutigen Zeit, in der eine steigende Abhängigkeit von technischen Produkten festzustellen ist, Verantwortliche ihrer Verantwortung nachkommen müssen. Unbedingt muss in diesem Zusammenhang auch die Digitale Souveränität gestärkt werden, die laut dem ULD die Selbstständigkeit, Selbstbestimmtheit und Sicherheit von Individuen in der digitalen Welt widerspiegelt. Dafür soll beispielsweise die datenschutzrechtliche Beurteilung von digitalen Produkten und Dienstleistungen verbessert werden (1Tätigkeitsbericht 2021, S. 17). Das Siegel von “fair.digital” trägt einen Beitrag zu der Schaffung von Digitaler Souveränität bei, indem es digitale Produkte und Dienstleistungen ausgezeichnet, die die Prinzipien Fairness, Datenschutz und Transparenz vertreten.
Die Nutzungsbedingungen der meisten Apps machen deutlich, dass es nach einer Zustimmung zu der Speicherung von persönlichen Daten kommen kann – und dabei handelt es sich unter anderem um Standortinformationen, Kontakt- und Bankdaten. Eine Analyse des auf Datenschutz bedachten Cloud-Dienstes pCloud macht nun deutlich, wie viele dieser Daten an Dritte weitergegeben werden.
Sogenannte “Dritte” Unternehmen sind entweder mit dem eigentlichen Unternehmen verbunden oder zahlen nur einen Beitrag für den Zugriff auf Nutzerdaten. Für die Nutzer kann die unternehmensinterne Verwendung und Analyse von Vorteil sein, wenn es dadurch zu einer Verbesserung der Erfahrungen und der Funktionsweise innerhalb der App kommt. Kritisch betrachtet werden hingegen die Nutzung der Daten für Werbung durch die Ansprache mit Anzeigen auf anderen Plattformen und die besagte Weitergabe an Dritte. Sucht man auf der Videoplattform YouTube beispielsweise nach einem Video, werden schon alleine 42% der persönlichen Daten weiterverkauft. Die größten Preisgeber sind jedoch die Sozialen Medien Facebook und Instagram: Diese teilen 57% (Facebook) und 79% (Instagram) der Daten mit Dritten.
Wenn Fremde persönliche Corona-Testergebnisse einsehen können
Es ist Normalität geworden, dass man sich für die Durchführung eines Antigen- oder PCR-Tests auf die Angebote von Testzentren einlässt. Keinesfalls “normal” sollte in Anbetracht der dabei gesammelten hochsensitiven Daten jedoch ein nicht-ausreichender Datenschutz sein. Die Befunde der Gruppe “Zerforschung” des “Chaos Computer Clubs” haben jedoch gezeigt, dass Unbefugte durch eine Sicherheitslücke in der für Testzentren entwickelten Software “safeplay” vom Anbieter Medicus AI Zugriff auf persönlichen Daten hatten. Betroffen waren davon Einrichtungen vom Unternehmen 21Dx in München, Berlin, Mannheim und vielen anderen Orten.
Hatte man einen Account auf der Plattform angelegt, konnte man ungehindert auf sämtliche Testergebnisse und personenbezogene Daten der anderen Nutzer zugreifen. Außerdem war es möglich, Statistiken einzusehen, die eigentlich nur für Mitarbeiter gedacht waren. Nachdem das Team von “Zerforschung” das Bundesamt für Sicherheit in der Informationstechnik (BSI) alarmiert hatte, wurde der Betreiber Medicus AI informiert und gab wiederum den softwarenutzenden Firmen Bescheid. Laut Medicus AI wurde die Schwachstelle inzwischen behoben.
Für “fair.digital” ist digitale Souveränität die Selbstbestimmung der persönlichen Daten und die Kompetenz, die Digitalisierung zielgerichtet zu nutzen. Somit lehnt “fair.digital” eine Überwachung, Ausbeutung, Manipulation, Intransparenz sowie einen Aufbau von Abhängigkeiten ab.
Spätestens seit 2013, als die globale Datenüberwachung digitaler Informationseinflüsse durch die US-amerikanische NSA und weitere Geheimdienste öffentlich wurde, ist digitale Souveränität von großer Wichtigkeit (Misterek, 2017, S. 1). Mit dem Begriff der digitalen Souveränität ist eine Zielvorstellung verbunden, die als Kompass dienen kann und deren Maßnahmen kontextgebunden variieren können (Bitkom, 2019, S. 9). Ein Teilaspekt der Digitalen Souveränität ist das Konzept der Datensouveränität (Bitkom, 2019, S. 9), das hier fokussiert werden soll.
Digitale Souveränität ist das Bestimmungsrecht über alle persönlichen digital erfassten Daten (Werden, 2016, S. 35). Dieses Recht wird jedoch durch zwei Gründe eingeschränkt (Wittpahl, 2017, S. 5): Zum einen führt die beschleunigte Entwicklung infolge der Digitalisierung zu Unverständnis der Funktionsweisen von digitalen Technologien. Zum anderen werden die eingeschränkten Nutzungsbedingungen der Anbieter digitaler Systeme meist unverständlich formuliert und einfach von den Nutzern hingenommen.
Wichtig für die Schaffung von digitaler Souveränität ist folglich eine digitale Aufklärung, die die Nutzer aus der digitalen Unmündigkeit und aus dem sorglosen Umgang mit den eigenen Daten befreien kann (Wittpahl, 2017, S. 6). Diese Möglichkeit der unabhängigen Selbstbestimmung (Bitkom, 2019, S. 4) zeichnet einen selbstbestimmten Bürger aus. Nach Dr. Jäger (2016), Bereichsleiter Infrastruktur im Bundesrechenzentrum Wien, sind „[s]elbstbestimmte Bürger [. . .] Herren Ihrer eigenen Daten und können damit auch die Souveränität über Ihre digitale Identität und Ihre digitale Privatsphäre faktisch ausüben“ (S. 24).
Der bürgerliche Traum von „technischer Vertraulichkeit, Integrität, Authentizität, Anonymität, Freiheit, Gleichheit, Netzneutralität, Privatheit, Verfügbarkeit etc. …“ (Pohl, 2016, S. 10) könnte also durch digitale Souveränität verwirklicht werden.
Dafür ist jedoch eine Vermeidung von Abhängigkeit auf internationaler Ebene vonnöten (Bitkom, 2019, S. 4). In Bezug auf die digitale Souveränität Europas geht es mit der Abhängigkeitsvermeidung um die Schaffung und Nutzung eigener Produkte, Ideen und Standards (Oettinger, 2016, S. V). Laut Pohl (2016) würde außerdem auch nur eine internationale Vereinbarung zur Bestrafung von digitaler Überwachung dabei helfen, digitale Souveränität zu etablieren (S. 22).
Durch digitale Souveränität soll ein unabhängiges, selbstbestimmtes und selbstständiges Handeln von Individuen und Unternehmen in der digitalen Welt erreicht werden.
Jäger, W. (2016). Neue Rolle öffentlicher Rechenzentren für Bürger-Datenschutz und Bürger Befähigung. In M. Friedrichsen, & P.-J. Bisa (Hg.), Digitale Souveränität. Vertrauen in der Netzwerkgesellschaft (S. 23–34). Springer VS. DOI 10.1007/978-3-658-07349-7_5
Misterek, F. (2017). Working Paper. Digitale Souveränität: Technikutopien und Gestaltungsansprüche demokratischer Politik.MPIfG Discussion Paper, 17(11), Max Planck Institute for the Study of Societies. http://hdl.handle.net/11858/00-001M-0000-002D-6FCF-0
Oettinger, G. (2016). Europa und die Souveränität im Netz. In M. Friedrichsen, & P.-J. Bisa (Hg.), Digitale Souveränität. Vertrauen in der Netzwerkgesellschaft (S. V–VI). Springer VS. DOI 10.1007/978-3-658-07349-7_5
Pohl, H. (2016). Der bürgerliche Traum von digitaler Souveränität. In M. Friedrichsen, & P.-J. Bisa (Hg.), Digitale Souveränität. Vertrauen in der Netzwerkgesellschaft (S. 9–22). Springer VS. DOI 10.1007/978-3-658-07349-7_5
Wittpahl, V. (2017). Vorwort. In Volker Wittpahl (Hg.), iit-Themenband. Digitale Souveränität. Bürger. Unternehmen. Staat (S. 5– 8). Springer Vieweg.
Werden, S. (2016). Digitale Souveränität, ein Orientierungsversuch. In M. Friedrichsen, & P.-J. Bisa (Hg.), Digitale Souveränität. Vertrauen in der Netzwerkgesellschaft (S. 35–51). Springer VS. DOI 10.1007/978-3-658-07349-7_5
