Praxisbeispiel: FeedBeat Stage Performance Plattform

FeedBeat ist eine Plattform für hybride und digitale Bühnensituationen mit vielen Teilnehmenden, wie es beispielsweise der Fall ist bei Webinaren, Konferenzen, Produktpräsentationen, Podiumsdiskussionen, Konzerten, Theater, Comedy oder Lesungen. FeedBeat erweitert den physischen Zuschauerraum in die digitale Dimension und ermöglicht mehr Publikum und mehr Teilhabe bei gleichzeitiger Reduktion des Carbon-Footprints. Sie verfügt über einzigartige Merkmale der Interaktion, Personalisierung und emotionalen Teilhabe. Dafür wurde sie ausgezeichnet von NRW Kultur.

Hybrid und digital:

Hybride Veranstaltungen sind Liveveranstaltungen, an denen gleichzeitig Menschen vor Ort als auch über digitale Kanäle teilnehmen. Insbesondere Bühnensituationen stellen dabei besondere Anforderungen an die Integration und Interaktion gemischter Gruppen. Beispielsweise bei Produktschulungen, Konferenzen oder Kulturveranstaltungen ist es wichtig ein Gefühl auch für das Onlinepublikum zu haben und dieses durch gezielte Ansprache in die Veranstaltung integrieren zu können. Starke Feedbackkanäle fördern Interaktion und Erlebnischarakter zusätzlich. Die Plattform bleibt im Hintergrund und präsentiert die Veranstaltung optimal. Zugänge über alle Endgeräte und ohne Login-Hürden erleichtern die Teilnahme auch wenig technikerfahrener Menschen.

Fairness eingebaut:

Die Plattform folgt einem konsequenten Privacy by Design Ansatz gemäß dem Grundsatz “Daten, die nicht gespeichert werden, können auch nicht weitergeben werden”. Als Cloud und On-Premise-Lösung selbstverständlich DSGVO-konform. Alle Rechte am Werk bleiben bei den Veranstaltern und Akteuren zur eigenen Verwertung.

Fazit:

FeedBeat gestaltet Digitalisierung auf zeitgemäße und zukunftsweisende Art. Die Plattform ist ein Beispiel dafür das Lösungen möglich sind, die den Schutz persönlicher Daten mit hohem Nutzen verbinden. Einfach Fair Digital.

Mehr Informationen zu FeedBeat finden Sie hier.

Warum fair.digital mit Hosting bei US-Anbietern nicht möglich ist

Eine Frage, die wir häufig erhalten, lautet: “Ist eine Zertifizierung mit fair.digital auch möglich, wenn die Lösung bei Hosting-Unternehmen aus den USA betrieben wird?” In diesem Beitrag erklären wir, warum wir dies zum derzeitigen Zeitpunkt verneinen müssen.

Das Siegelkriterium “Die EU-DSGVO wird gemäß geltender Rechtsprechung unterstützt”

Das erste fair.digital-Kriterium erfordert, dass Cloud-Lösung in der EU gehostet werden müssen. Nun könnte man meinen, dass die fair.digital-Kriterien erfüllt sind, wenn man eine Lösung z.B. bei Amazon Web Services (AWS) in einem Rechenzentrum in Europa betreibt. Warum ist dies zu kurz gegriffen?

Das Siegelkriterium “Datenhoheit”

Eine weitere zentrale Anforderung von fair.digital besagt: “Eine Weitergabe von Nutzerdaten erfolgt nur mit expliziter Zustimmung.” Mit diesem Kriterium soll sichergestellt werden, dass die Nutzer die Hoheit über ihre Daten behalten und selbst entscheiden können, ob und wie diese genutzt werden können. Genau dies kann beim Betrieb bei US-Hostern nicht erfüllt werden – selbst wenn sich die Data Center in Europa befinden. Der Grund hierfür ist der sogenannte “Cloud Act”.

Der Cloud Act

Aktuell geltendes US-Recht verpflichtet in den USA ansässigen Unternehmen über den “Cloud Act” dazu, US-Behörden auch Zugriff auf Daten, die bei ausländischen Konzerngesellschaften liegen, zu gewähren. Konkret könnte z.B. das FBI Amazon dazu zwingen, Daten einzusehen, die auf AWS-Rechenzentren in Europa gespeichert sind. Diese Zugriffsmöglichkeit der US-Dienste auf Nutzerdaten steht damit offensichtlich im Widerspruch zu dem Siegelkriterium “Datenhoheit”.

Wiederholte Anfragen an den Datenschutzbeauftragten

In seiner Bewertung richtet sich der Verein fair.digital e.V. stets nach geltendem Recht. Daher ist es uns wichtig, fortlaufend Anfragen an die zuständigen deutschen Behörden zu stellen, welche Einschätzung hinsichtlich des Cloud Act sie derzeit vertreten. Die letzte Anfrage fand 2022 statt. Die Antwort des Bayerisches Landesamt für Datenschutzaufsicht lautete:

“Zur Ehrlichkeit gehört es aber auch zu sagen, dass es Szenarien von Übermittlungen personenbezogener Daten in die USA gibt, bei denen möglicherweise keine rechtskonformen Lösungen gemessen am EU-Datenschutzrecht möglich sind – hier sind vor allem Fälle in den Blick zu nehmen, in denen der Datenempfänger dem US-Gesetz FISA 702 unterliegt und aber gleichzeitig Zugriff (für die Funktionalität der Daten) auf (aus der EU übermittelte) personenbezogene Daten im Klartext benötigt – denn in diesen Fällen sind die Daten den Zugriffsrechten von US-Behörden nach FISA 702 unterworfen, und gemäß Aussage des Europäischen Gerichtshofs im Schrems-II-Urteil sind diese Zugriffsrechte gemessen am EU-Datenhschutzrecht in ihrem Ausmaß und wegen Fehlen von Rechtsschutz für EU-Bürger datenschutzrechtlich nicht akzeptabel.”

Es wird also nicht ausgeschlossen, dass Drittländer Zugang auf Daten erhalten können. Sollte sich an dieser Bewertung zukünftig etwas ändern bzw. der Cloud Act angepasst werden, wird auch fair.digital seine entsprechend aktualisieren.

Migrationsmöglichkeiten

Gemäß Datenschutzbeauftragten wäre ein Lösungsansatz, europäische Dienstleister zwischenzuschalten, sodass sich der US-Anbieter selbst aus seinem Rechenzentrum “aussperrt”. Dann würden Anfragen von US-Behörden ins Leere laufen. Ein solches Modell wurde z.B. von Microsoft und der Telekom umgesetzt und wäre auch fair.digital-verträglich.

Alternativ gibt es natürlich auch die Möglichkeit, eine fair.digital-Zertifizierung zu erhalten, indem man auf US-Hosting verzichtet. In Europa gibt es durchaus Anbieter, die ähnliches Hyperscaling ermöglichen. Einige unserer Vereinsmitglieder können bei der Migration nach Europa helfen. Sprechen Sie uns gerne an!

Praxisbeispiel: Erfolgreiche Kombination von Colocation und Cloud

Die TelemaxX Telekommunikation GmbH ist fair.digital-zertifizierter Betreiber von fünf Hochsicherheitsrechenzentren in der TechnologieRegion Karlsruhe. Erfolgreich seit 1999 hat sie sich darauf spezialisiert, individuelle Rechenzentrumsflächen, Housing- sowie Managed-Service-Lösungen für die Anforderungen unserer Geschäftskunden zu realisieren – wobei die TelemaxX Cloud sowie die klassischen Telekommunikationsdienste das Gesamtportfolio abrunden.

Die Rechenzentren

Kennzeichnend für die TelemaxX-Rechenzentren ist die sehr hohe Verfügbarkeit. Die gesamte Infrastruktur, wie zum Beispiel die Stromversorgung, Klimatisierung und Internetanbindung, ist redundant aufgebaut und über ein hochsensibles Monitoring-System permanent überwacht. Diese Faktoren ermöglichen das Angebot von Colocation (auch Serverhousing genannt), bei dem Unternehmen ihre Hardware in die Rechenzentren unterbringen. Die Colocation Services der TelemaxX untergliedern sich in die folgenden Servicevarianten: Höheneinheit, Rack und Cage.

Praxisbeispiel: Umzug zu Colocation

Aufgrund des Wachstums und der steigenden Unternehmensgröße stieg bei dem Kunden in diesem Beispiel auch die Beschaffung für Hardware sowie der Aufwand für das eigene IT-Personal. Damit mehr Sicherheit gewährleistet werden kann, entschied sich der Kunde, seine Hardware innerhalb eines Rechenzentrums in Form von Colocation unterzubringen. Im Rahmen der Gespräche fiel die Entscheidung auf 2 plus 1 Racks, in denen die eigenen Server untergebracht werden sollten.

Gemeinsam wurde ein Konzept inklusive der technischen Planung für den Kunden erarbeitet. Innerhalb weiterer Gespräche wurden die Anforderungen evaluiert und ein Angebot an den Kunden versendet. Nach Annahme des Angebots und Vertragsabschluss begann die detaillierte Planung. So konnten alle Anforderungen erfasst werden und die Realisierung innerhalb der Rechenzentrums erfolgen.

Das Managed Service Team plante mit dem Kunden den Umzug in das Rechenzentrum. Vorab wurden die Server-Racks bestellt und im Rechenzentrum aufgebaut. Gemeinsam mit dem Auftraggeber wurden die Server im Rack platziert und mit der entsprechenden Verkabelung ausgestattet. Um eine höhere Sicherheit und Verfügbarkeit durch Georedundanz zu gewährleisten, wurde anschließend ein Backup-System in einem weitere TelemaxX-Rechenzentrum aufgebaut.

Im laufenden Betrieb stellt das Datacenter Maintenance Team die optimale Kühlung sicher und misst den individuellen Stromverbrauch des Unternehmens. Zusätzlich kann der Kunde nach Sicherheitsprüfungen und mit eigenem Schlüssel für die Racks, jederzeit innerhalb des Rechenzentrums Bearbeitungen vornehmen.

Kombination mit der Cloud

Nach dem Umzug in die TelemaxX-Rechenzentren strebte das Unternehmen eine effizientere Arbeitsweise an. In diesem Zusammenhang entstand die Planung für den Einsatz der TelemaxX Cloud als Infrastructure as a Service. Das Konzept beinhaltet die Nutzung von Colocation für kritische Daten und den Einsatz von Rechenressourcen sowie die Auslagerung von unkritischen Daten in die Cloud. Innerhalb dieses Konstruktes werden kritische Daten On-Premises gespeichert und verarbeitet. Zudem wird die DSGVO und weitere Regularien eingehalten. Bei der TelemaxX Cloud handelt es sich um Cloud made in Germany und dieses Kriterium war für den Kunden von entscheidender Bedeutung.

Vom bereits bestehenden Server-Rack des Unternehmens wurde eine Verbindung zur Cloud aufgebaut. Schrittweise begann die Migration und der Kunde erhielt einen eigenen Zugang zu unserem Self-Service-Portal. In diesem können jederzeit weitere Rechenressourcen (vCPU, vRAM und vStorage) erhöht oder gesenkt werden.

Fazit

Die beschriebene enge Zusammenarbeit zeigt, wie wichtig die Unterstützung und somit die gemeinsame technische Planung ist. Mithilfe eines georedundanten Konzepts ist die Verfügbarkeit jederzeit sichergestellt. Neben der Sicherheit kann auch die Skalierbarkeit durch den Einsatz DSGVO-konformer Cloud-Services enorm gesteigert, inklusive der fair.digital-Zertifizierung!

Mehr Informationen zu TelemaxX und den Services finden Sie hier.

Zustimmungs-Pop-ups verstoßen gegen Datenschutzgrundverordnung / Google Fonts auf Webseiten rechtswidrig

fair.digital e.V. begrüßt aktuelle Entscheidungen für mehr Transparenz und das Recht auf informationelle Selbstbestimmung

Karlsruhe 10.02.2022. Das als „Transparency & Consent Framework” (TCF) bekannte Zustimmungs-Popup-System ist auf über 80 Prozent der Webseiten in Europa nicht DSGVO-konform. Zu dieser Entscheidung kommen aktuell die Datenschutzbehörden der Europäischen Union. Auch die Einbindung von dynamischen Webinhalten von Google Fonts ist ohne Einwilligung der Besucher nach einem jüngsten Urteil des Landgerichts München rechtswidrig.

„Große Internetkonzerne bedrohen nach wie vor die digitale Souveränität von Bürgern und Unternehmen in Europa. Als Verein, der sich für den Erhalt der digitalen Grundrechte in Europa einsetzt, begrüßen wir sowohl die Entscheidung der europäischen Datenschutzbehörden als auch das jüngste Gerichtsurteil aus München ganz ausdrücklich, weil es die Grundrechte und -freiheiten von Millionen Bürgern in Europa und Deutschland schützen möchte”, so Martin Hubschneider, Vorsitzender des Vereins fair.digital aus Karlsruhe und Vorstand der CAS Software AG.

„Es kann nicht sein, dass große Internetkonzerne ohne eine wirkliche Zustimmung des Internetnutzers in großem Umfang personenbezogene Daten sammeln können, die womöglich in Profiling-Aktivitäten, Verhaltensprognosen und in eine daraus resultierende Überwachung der Bevölkerung münden. Wir fordern stattdessen Transparenz, Vertrauenswürdigkeit und Fairness beim Umgang mit sensiblen Daten der Bürgerinnen und Bürger”, so Martin Hubschneider weiter.

EU-Datenschutzbehörden stoppen Pop-up-Plage
In der Entscheidung vom 2. Februar 2022 stellen 28 EU-Datenschutzbehörden, angeführt von der belgischen Datenschutzbehörde als führende Aufsichtsbehörde, fest, dass der Branchenverband der Online-Werbebranche “IAB Europe” bei der Verarbeitung personenbezogener Daten im Zusammenhang mit seinem „Transparency and Consent Framework” (TCF) mehrfach gegen die DSGVO verstößt. Demnach sei nicht sichergestellt, dass personenbezogene Daten sicher und vertraulich behandelt werden. So etwa werde die Einwilligung nicht ordnungsgemäß eingeholt und keine Transparenz darüber hergestellt, was mit den Daten der jeweiligen Internetnutzer geschieht. Insgesamt wurden keine Maßnahmen ergriffen, die sicherstellen, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt.

Landgericht München: Übermittlung der IP-Adresse ohne explizite Zustimmung an Google rechtswidrig
Nach dem Urteil des Gerichts muss eine Webseiten-Betreiberin 100 Euro Schadensersatz entrichten, weil die IP-Adresse eines Nutzers ohne dessen Zustimmung über die Font-Library an Google übermittelt wurde. Die Entscheidung bezieht sich nicht auf Google Fonts, die vom eigenen Server ausgeliefert werden, sondern nur auf jene, die extern über Google-Server bereitgestellt werden. Der Verstoß führe dazu, so das Urteil des Landgerichts, dass der Kläger die Kontrolle über seine persönlichen Daten verliere.

Google Analytics verstößt gegen DSGVO
Sowohl die Entscheidung der europäischen Datenschützer als auch das Urteil des Münchner Landgerichts reiht sich ein in weitere Entscheidungen der jüngsten Vergangenheit. In einer wegweisenden Entscheidung hat die österreichische Datenschutzbehörde nun entschieden, dass die Nutzung von Google Analytics gegen die DSGVO verstößt. Bereits im Jahr 2020 entschied der Europäische Gerichtshof (EuGH), dass die Nutzung von US-Anbietern gegen die DSGVO verstößt, da US-Überwachungsgesetze US-Anbieter wie Google oder Facebook dazu verpflichten, persönliche Daten an US-Behörden zu übermitteln.

Google Analytics als DSGVO-widrig erklärt

Mit der Grundlage des Schrems-II-Urteils aus dem Jahr 2020 reichte das Europäische Zentrum für digitale Rechte (noyb) eine Musterbeschwerde bei der österreichischen Datenschutzbehörde (DSB) ein. Die DSB erklärte Ende Dezember 2021 die Nutzung des Statistikprogramms Google Analytics nun für rechtswidrig, da die Daten-Übermittlung an US-Provider gegen die DSGVO verstößt.

Durch das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 verstößt die Nutzung von US-Anbietern gegen die DSGVO, da das US-Überwachungsgesetz bekannte US-amerikanische Unternehmen wie Google und Facebook nämlich zur Übermittlung persönlicher Daten an US-Behörden verpflichtet. Das Europäische Zentrum für digitale Rechte (noyb) teilt jedoch mit, dass US-Anbieter und EU-Unternehmen die Entscheidung weitgehend ignoriert haben.

Mit der Entscheidung der österreichischen Datenschutzbehörde (DSB) steigt nun jedoch der Druck auf die Anbieter und Unternehmen. Der Kern des Urteils besagt, dass EU-Unternehmen keine US-Cloud-Dienste mehr nutzen dürfen. Für EU-Unternehmen wird also ein Wechsel auf legale Alternativen zu Google Analytics notwendig, die in Europa gehostet werden. Wahlweise müssen US-Gesetze einen besseren Datenschutz bieten oder US-Anbieter ihre Daten außerhalb der Vereinigten Staaten verarbeiten, so das Europäische Zentrum für digitale Rechte (noyb).

Unternehmen, die gegen die DSGVO verstoßen, erwartet normalerweise eine Strafe von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Umsatzes. Da bei dem amtlichen Durchsetzungsverfahren der DSB jedoch keine Anhörung des Beschwerdeführers erfolgte, gibt es keine Informationen darüber, ob eine Strafe verhängt wurde.

In unserem Beitrag “US-Cloud-Dienste: Fehlende Rechtsgrundlage in der EU” erfahren Sie mehr über die historische Entwicklung der Gesetzeslage. Weiterführendes Infos gibt es unter: https://noyb.eu/de/oesterr-dsb-eu-us-datenuebermittlung-google-analytics-illegal

US-Cloud-Dienste: Fehlende Rechtsgrundlage in der EU

Der Beschluss der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) wurde im Juli 2020 von dem Europäischen Gerichtshof (EuGH) für unwirksam erklärt. Jetzt stehen Unternehmen ohne eine Rechtsgrundlage da, wenn sie US-Cloud-Dienste wie Amazon und Microsoft nutzen.

Ein Blick in die Historie des Privacy Shield

Der österreichische Jurist Maximilian Schrems hat es sich zur Aufgabe gemacht, Datenschutzrechte durchzusetzen. Deswegen beantragte er vor der irischen Datenschutzbehörde, alle Datenübermittlungen von der nationalen Facebook-Tochter an den Mutterkonzern in den USA auszusetzen. Der Erfolg zeigte sich in Form eines Beschlusses des Europäischen Gerichtshofs (EuGH) im Jahr 2020: Der transatlantische “Privacy Shield”, der als Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA galt, wurde für nichtig erklärt und erhielt den Beinamen “Schrems II-Urteil”. Begründet wurde diese Entscheidung mit den datenschutzrechtlich ungenügenden US-amerikanischen Gesetzen, die beispielweise ihren Sicherheitsbehörden die Überwachung ausländischer Kommunikation gestatten.¹

Mit dem Schrems II-Urteil soll der Datentransfer in die USA und andere Drittländer also unterbunden werden. Konkret bedeutet das, dass z.B. Dienstleistungen von Microsoft, Zoom etc. nicht mehr genutzt werden dürfen, wenn diese die Daten auf Servern in den EU-Mitgliedstaaten nicht wirksam vor dem Zugriff der US-Behörden schützen. Zusätzlich wurde vonseiten des Europäischen Gerichthofs festgelegt, dass bei Datenübermittlungen in die USA Standardvertragsklauseln grundsätzlich nicht ausreichen und mit zusätzlich verbindlichen Datenschutzvorschriften gesichert werden müssen. Damit soll für die übermittelten Daten ein gleichwertiges Datenschutzniveau wie in der EU garantieren werden.²

Die Schlüsselrolle für die Durchsetzung des Beschlusses des Europäischen Gerichtshofs (EuGH) tragen die Aufsichtsbehörden. Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann kündigte schon Mitte 2021 ein schärferes Vorgehen an, um Verstöße in Unternehmen und öffentliche Stellen vorzubeugen und gegebenenfalls mit Bußgeldern zu rügen. Das “Schrems II-Urteil” betreffe als Grundsatzentscheidung nämlich “fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis”³. Diese übermitteln die personenbezogenen Daten oftmals unbewusst in Länder außerhalb der EU und müssen daher verstärkt über das Schrems II-Urteil informiert werden, damit sich etwas ändert.

Obwohl Kontrollen der Aufsichtsbehörden anstehen und die Rechtsgrundlage nicht mehr vorhanden ist, nutzen zahlreich deutsche Firmen noch immer US-Cloud-Dienste im täglichen Routinegeschäft. Der Vizepräsident des SPD-Wirtschaftsforums, Matthias Machnig, sagte daher gegenüber dem Handelsblatt: „Ein Hauptanliegen der neuen Bundesregierung muss sein, sich auf europäischer und internationaler Ebene mit Nachdruck für einen rechtssicheren und DSGVO-konformen Datentransfer einzusetzen, der Innovation ermöglicht. Hierzu gehören ein Nachfolgeabkommen für das EU-US-Privacy-Shield sowie regulatorische Übergangslösungen, bis ein neues Abkommen in Kraft treten kann“.⁴

Auf den ersten Blick scheinen die Datenschutzrechte der EU-Bürger mit dem Urteil gestärkt zu werden. Praktisch ist dies jedoch erst dann der Fall, wenn Unternehmen den Datentransfer auch wirklich einstellen und in Drittländer exportierte Daten vertraglich an europäisches Recht binden. Es wird sich zeigen, welche Schritte von politischer Seite ergriffen werden, um diesen Fall endlich zu bewahrheiten.

Quellen:

Grundrechte für Digitale Selbstbestimmung

Die Initiative JEDER MENSCH der Stiftung Jeder Mensch e.V. hat sich zum Ziel gesetzt, die Charta der Grundrechte der Europäischen Union mit sechs Grundrechten zu erweitern und erneuern.

Die Gründung der Stiftung wurde angetrieben durch das Buch „Jeder Mensch“ von Ferdinand von Schirach, der spätestens nach seinem millionenfach verkauften Roman „Der Fall Collini“ Berühmtheit erlangte. “Die alten Verfassungen Europas kennen auf die enormen Umwälzungen der letzten Jahre keine klaren Antworten.” – Deswegen fokussiert die Initiative Forderungen für eine geschützte Umwelt, Wahrheit in den Äußerungen von Amtsträgern und die Wahrung der universellen Menschenrechte im Kontext der Globalisierung. Dazu kommen neben der Möglichkeit der Erhebung einer Grundrechtsklage bei Verletzung der Charta besonders Themen aus der Digitalen Welt:

In Artikel 2 und 3 wird nach Digitaler Selbstbestimmung und transparenten Algorithmen gefordert, um Entscheidungen selbstständig zu treffen und der Manipulation durch die Ausnutzung von personenbezogenen Daten für personalisierte Werbung zu entgehen.

Die Ergänzung der Grundrechtecharta um diese zeitgemäßen Grundrechte kann nur durch einen Grundrechtekonvent umgesetzt werden, der wiederum von der einfachen Mehrheit der EU-Mitgliedsstaaten einberufen werden kann. Da dies nicht mit der Europäischen Bürgerinitiative möglich ist, hat sich die Initiative das Ziel gesetzt, politischen Druck auf die Mitgliedsstaaten auszuüben – und das mit mindestens einer Million Unterschriften.

Um die Grundsteine unserer Gesellschaft zu modernisieren und Digitale Souveränität zu erlangen, ist jede/r dazu aufgerufen, sich an der Umsetzung dieses Ziels zu beteiligen. Hier können alle Bürgerinnen und Bürger der Europäischen Union die Initiative unterstützen und den Impuls für einen Verfassungskonvent geben.

Quellen:

LinkedIn: 700 Millionen Nutzerdaten stehen zum Verkauf

Seit dem 22. Juni werden Daten von fast 93 Prozent aller LinkedIn-Nutzer in einem Hackerforum zum Verkauf angeboten. Der Blog Restoreprivacy bestätigt nach einer Prüfung einer veröffentlichten Stichprobe der 700 Millionen Nutzerdaten die Authentizität der Daten.

Die angebotenen Nutzerprofile enthalten Informationen wie vollständige Namen, Geschlecht, E-Mail-Adressen, Telefonnummern, Anschriften, persönliche und berufliche Erfahrungen sowie die Benutzernamen anderer Social-Media-Konten. Obwohl in der Stichprobe bisher keine Zugangs- oder Finanzdaten gefunden wurden, können die verfügbaren Informationen für den Zugriffserhalt zu anderen Konten ausgenutzt werden.

Während der Konzern LinkedIn sich selbst noch nicht zu dem Vorfall geäußert hat, warnt Restoreprivacy unter anderem vor Identitätsdiebstählen und Phishing-Angriffen.

Staatstrojaner für deutsche Geheimdienste

Der Bundestag hat das “Gesetz zur Anpassung des Verfassungsschutzrechts” angenommen, mit dem alle deutschen Geheimdienste die Befugnis zum Einsatz des Staatstrojaners für Überwachungszwecke erhalten. Wie netzpolitik.org berichtet, hat die Bundespolizei zudem die Erlaubnis, Staatstrojaner schon präventiv bei Personen einzusetzen, die noch keine Straftat begangen haben.

Trojaner sind vergleichbar mit einer digitalen Wanze, die auf den Endgeräten der Zielpersonen positioniert wird. Unterstützung sollen die Behörden dabei durch Telekommunikationsanbieter erhalten, die den Trojaner zum Beispiel in Downloads einspeisen. Durch die Installation soll den Behörden dann der “Zugriff auf laufende Kommunikation plus die Kommunikation, die vor Installation der Schadsoftware, aber nach Anordnung der Überwachungsmaßnahme stattgefunden hat”¹, ermöglicht sein.

Laut dem Bundestag sei diese Anordnung wichtig, um die innere Sicherheit und Abwehr von Cyber-Kriminalität und Terrorismus durch die Anpassung an aktuelle technische Verhältnisse zu verbessern. Der Chaos Computer Club kritisiert unter anderem jedoch, dass für die Installation der Trojaner Sicherheitslücken im Gerät vorliegen müssen. Diese würden für den Einsatz von den Behörden ausgenutzt und blieben aufgrund der Geheimhaltung offen. Somit wäre auch immer ein Angriff durch Cyber-Kriminelle möglich.

Digitale Überwachung – KEIN Beispiel für Digitale Souveränität

I'm back from a week at my mom's house and now I'm getting ads for her toothpaste brand, the brand I've been putting in my mouth for a week. We never talked about this brand or googled it or anything like that.

As a privacy tech worker, let me explain why this is happening. 🧵
— Robert G. Reeve (@RobertGReeve) May 25, 2021

In unserem Blog wurde Digitale Souveränität als das Bestimmungsrecht über alle (digital) erfassten persönlichen Daten definiert. Durch die unkritische Hinnahme von umständlich formulierten Nutzungsbedingungen von Anbietern digitaler Systeme betritt man meistens eine Endlosschleife der Ausbeutung, Überwachung und Manipulation. Wie sich diese Methode im Alltag zeigt, macht Robert G. Reeve mit mehreren Twitter-Posts deutlich.

Robert G. Reeve ist selbsternannter Autor, Designer und Datenschutztechniker. In einem Tweed berichtet er davon, wie er nach einem Besuch bei seiner Mutter Werbung für deren genutzte Zahnpasta-Marke anzeigt bekommt, ohne diese je verbal (oder in einem mobilen Endgerät) aufgegriffen zu haben.

Gleich zu Beginn stellt Reeve klar, dass Social-Media-Apps ihre Nutzer aufgrund von günstigeren Alternativen nicht belauschen, um Daten zu sammeln. Denn schon alleine durch die alltäglichen Funktionen häufen sich Daten an, die von den jeweiligen Unternehmen genutzt werden können: “Ihre eindeutige Geräte-ID. Ihr Standort. Ihre Demografie. […] Wann benutze ich meine Rabattkarte im Supermarkt? Jeder Einkauf? Das ist ein Datensatz zum Verkauf”, so Reeve (übersetzt aus dem Englischen).

Durch die Zustimmung der jeweiligen Nutzungs- und Datenschutzbestimmungen ist es Anwendungen auch möglich, Verknüpfungen herzustellen und auszubauen. Reeve macht es folgendermaßen deutlich: “Befindet sich mein Telefon regelmäßig am selben GPS-Standort wie ein anderes Telefon, nehmen sie [Apps] dies zur Kenntnis. Sie [Apps] beginnen mit der Rekonstruktion des Netzes von Menschen, mit denen ich regelmäßig in Kontakt stehe” (übersetzt aus dem Englischen).

Auf Grundlage dieser aggregierten Metadaten werden Anzeigen basierend auf den Interessen der Leute um einen herum angezeigt, mit denen man regelmäßig in Kontakt steht. Bei Reeve ist es mit der Zahnpasta-Marke wohl folgendermaßen abgelaufen:

“So. Sie [Apps] kennen die Zahnpasta meiner Mutter. Sie [Apps] wissen, dass ich bei meiner Mutter war. Sie [Apps] kennen mein Twitter. Jetzt bekomme ich Twitter-Anzeigen für Mamas Zahnpasta. Bei Ihren Daten geht es nicht nur um Sie. Es geht darum, wie sie gegen jede Person verwendet werden können, die Sie kennen, und gegen Personen, die Sie nicht kennen. Um Verhalten unbewusst gestalten.“
Robert G. Reeve (übersetzt aus dem Englischen)

Mit diesem Beispiel wird deutlich, wie persönliche Daten für manipulative Werbezwecke genutzt werden (können). Obwohl es Möglichkeiten gibt, das Tracking von Apps zu blockieren, sollte man diese nicht unbedacht nutzen. Das neuste Update von Apple, das Reeve beispielsweise empfiehlt, blockiert zwar die Möglichkeit des Trackings externer Apps, trackt jedoch selbst weiter, wie Sie hier lesen können.

Man kann an diesem Beispiel festmachen, dass es Anbietern von Smartphones und Apps etc. durch die Analyse von Daten möglich ist, uns zu überwachen und unser Verhalten unbewusst zu gestalten. Denn ist es nicht wahrscheinlicher, dass Sie eine Zahnpasta-Marke kaufen, die Ihre Mutter nutzt und Ihnen als Werbung vorgeschlagen wird? – Meistens ja, und damit bestätigt sich die Philosophie der Datenkraken: Überwachung und Manipulation, womit schrittweise das Bestimmungsrecht über die eigenen Daten verloren geht.