Rekordstrafe?

4. August 2021

Der Online-Konzern Amazon soll DSGVO-Rekordstrafe zahlen. Es wäre das höchste Bußgeld in der Geschichte der Datenschutzgrundverordnung: Amazon soll wegen missbräuchlichem Online-Targeting fast 750 Millionen Euro Strafe zahlen. Doch ob es wirklich dazu kommt, ist offen.

Amazon soll eine DSGVO-Strafe in Höhe von fast 750 Millionen Euro zahlen
Rekord-Bußgeld für Amazon Gemeinfrei-ähnlich freigegeben durch unsplash.com Christian Wiediger

Wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) hat die luxemburgische Datenschutzbehörde dem Digitalkonzern Amazon ein Rekord-Bußgeld in Höhe von 746 Millionen Euro aufgebrummt. Das geht aus einem Geschäftsbericht des Unternehmens hervor, über den am Freitag zuerst die Nachrichtenagentur Bloomberg berichtete.

Das Bußgeld in Höhe von umgerechnet 888 Millionen Dollar stellt die höchste Strafzahlung dar, die unter der DSGVO je angeordnet wurde. Amazon kündigte an, Widerspruch gegen die Entscheidung einzulegen.

Medienberichten zufolge richtet sich die Strafe der luxemburgischen Datenschutzbehörde CNPD (Commission Nationale pour la Protection des Données) gegen Amazons System des Online-Targeting. Das Unternehmen, das unter anderem wegen diverser wettbewerbsrechtlicher Verfahren unter Druck steht, betreibt den größten Online-Versandhandel der Welt und setzt dabei auf personalisierte Werbung. Sowohl auf den eigenen Seiten als auch auf Drittseiten sammelt Amazon im großen Stil Daten, um Menschen mit zugeschnittener Werbung zum Einkauf zu verleiten.

Da die Behörde sich zu ihrer Entscheidung noch nicht selbst geäußert hat, bleiben wichtige Details unklar. Es scheint jedoch festzustehen, dass die Strafe auf ein Verfahren zurückgeht, das die französische Nichtregierungsorganisation La Quadrature du Net mit mehr als zehntausend Unterstützer:innen angestoßen hat.

In einem Blogpost erklären die Digital-Rights-Aktivist:innen von La Quadrature, dass sie die Massenbeschwerde bei der luxemburgischen Datenschutzbehörde gegen Amazons Werbe-Targeting direkt nach Wirksamwerden der DSGVO im Mai 2018 eingereicht haben.

Amazon selbst erklärte, die Strafe anfechten zu wollen. „Es gab keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“, so ein Sprecher des Unternehmens zur DPA. „Im Hinblick darauf, wie wir Kund:innen relevante Werbung anzeigen, beruht diese Entscheidung der CNPD auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzrechts, und die beabsichtigte Geldbuße steht selbst bei dieser Auslegung in überhaupt keinem Verhältnis.“

Die Höhe von DSGVO-Bußgeldern ist immer wieder Gegenstand von Debatten und Gerichtsverfahren. Die bislang größte angekündigte Strafzahlung sollte die Fluggesellschaft British Airways treffen. Die britische Datenschutzbehörde hatte wegen eines Datenlecks mit hunderttausenden Betroffenen eigentlich ein Bußgeld von gut 200 Millionen Euro verkündet, die Höhe aufgrund der Belastungen durch die Corona-Pandemie dann aber auf gut 22 Millionen Euro (20 Millionen Pfund) herabgesetzt.

Das bisher größte tatsächliche Bußgeld bleibt daher die 50-Millionen-Strafe der französischen Datenschutzbehörde gegen Google. Auch dieses Verfahren ging auf eine Beschwerde von La Quadrature du Net zurück. Die zweithöchste Strafe in Höhe von 35 Millionen Euro kassierte der schwedische Modekonzern H&M wegen Überwachung von Mitarbeiter:innen, verhängt von der Hamburgischen Datenschutzaufsicht.

Während H&M die Sanktion akzeptierte, werden mehrere Millionenbußgelder in Deutschland derzeit vor Gericht verhandelt. So wollte etwa der Immobilienkonzern Deutsche Wohnen eine Strafe von 14,5 Millionen Euro nicht akzeptieren und bekam vor Gericht in erster Instanz Recht, das Revisionsverfahren läuft noch. Auch der IT-Versandhandel notebooksbilliger.de legte kürzlich Widerspruch gegen einen Bußgeldbescheid in Höhe von gut 10 Millionen Euro ein.

Einen Dämpfer erhielt 2020 der Bundesdatenschutzbeauftragte: Das Landgericht Bonn stutzte ein Bußgeld, das er gegen den Internetanbieter 1&1 verhängt hatte, von 9,5 Millionen Euro auf 900.000 Euro zurecht. Auch die österreichische Datenschutzbehörde musste jüngst eine herbe Schlappe einstecken: Ein Millionenbußgeld gegen die österreichische Post wegen illegalem Datenhandel wurde von einem Gericht gänzlich kassiert.


gegen Pläne der EU-Staaten

12. November 2020

Ein Vorschlag des EU-Ministerrats, dass verschlüsselte Kommunikation erheblich geschwächt werden soll, ruft starke Gegenreaktionen hervor. Sie kommen aus Zivilgesellschaft und Wirtschaft gleichermaßen.

Eine Hintertür, die auf eine Betonwand stößt, schwarz-weiß-Bild
Hintertüren offenzuhalten, ist nicht nur wenig hilfreich, sondern auch eine Gefahr für alle. CC-BY-SA 2.0 Vincent Truchseß

Nach dem Anschlag in Wien hat es nicht lange gedauert, bis der EU-Ministerrat eine Resolution vorbereitet hat, der zufolge Anbieter verschlüsselter Kommunikationsdienste staatlichen Stellen einfacheren Zugang geben sollen. Ermittler sollen so verschlüsselte Nachrichten mitlesen können. Genauso schnell wie der Resolutionsvorschlag formierte sich breiter Widerstand gegen die Pläne, die als klarer Angriff auf die IT-Sicherheit und Datenschutz wahrgenommen werden.

Kritik kam dabei aus Zivilgesellschaft und Wirtschaft gleichermaßen. Susanne Dehmel, Mitglied der Geschäftsleitung im Verband der deutschen Telekommunikationsbranche Bitkom, erklärt:

„Wer Verschlüsselungen aufweicht, schwächt die IT-Sicherheit insgesamt. Backdoors sind nicht dauerhaft kontrollierbar und zugleich eine Einladung an Cyberkriminelle und ausländische Nachrichtendienste.“ Statt diese Sicherheit aufzugeben, solle man sich auf qualifizierte Mitarbeiter in den Behörden konzentrieren, „die im digitalen Raum ermitteln können“.

Ähnlich argumentiert der Verband der Internetwirtschaft eco. Dessen stellvertretender Vorstandsvorsitzender Klaus Landefeld weist darauf hin, dass auch bei dem Anschlag in Wien andere Schwachstellen deutlich geworden sind, „wie beispielsweise die mangelhafte Kommunikation zwischen Behörden und Geheimdiensten der unterschiedlichen Mitgliedstaaten“.

Zweifel gibt es auch daran, was eine Schwächung von sicheren Kommunikationslösungen überhaupt etwas bringen würde und ob sich Kriminelle nicht einfach andere Möglichkeiten zur Kommunikation suchen würden. So schreibt der Chaos Computer Club in einer Pressemitteilung:

Verschlüsselung kann nicht zwischen Gut und Böse unterscheiden. Entweder ist sie sicher oder sie ist es nicht. Man kann Verschlüsselung nicht so schwächen, dass die Schwächen nur durch Strafverfolgungsbehörden ausgenutzt werden können. Wohl aber können versierte Nutzer auf kaputte Kryptographie verzichten. Im Ergebnis hätten nur noch Kriminelle wahren Schutz: If privacy is outlawed, only outlaws will have privacy.

Auch der Bundesverband IT-Sicherheit TeleTrusT macht auf das Problem aufmerksam, dass sich Straftäter Verschlüsselungslösungen ohne staatliche Hintertüren besorgen können, selbst wenn diese verboten werden sollen. Der stellvertretende TeleTrusT-Vorstandsvorsitzende Karsten Bartels mahnt außerdem an, dass es nicht mit der Datenschutzgrundverordnung und dem IT-Sicherheitsgesetz vereinbar sei, auf einen schlechteren Technologiestandard durch ausgehöhlte Verschlüsselung zurückzufallen.

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung FifF weist ebenfalls auf die Datenschutzgrundverordnung hin, durch die sich die EU eine „Signalfunktion in der Welt“ erarbeitet habe:

Wenn also hierzulande Technologiefirmen gezwungen werden sollten, Ende-zu-Ende-Verschlüsselung zurückzubauen, dann verlieren nicht allein die Bürger*innen der EU: Menschenrechts- und Umweltaktivist*innen, Anwält*innen, Ärzt*innen, Bürgerechtler*innen und Journalist*innen – sie alle sind für ihre Arbeit auf sichere Kommunikationskanäle angewiesen.

„Das politische Signal aus der EU muss daher klar sein: Es kann keine Kompromisse bei Ende-zu-Ende Verschlüsselung geben“, so Alexander Prehn vom FIfF.

Der Präsident der Gesellschaft für Informatik, Prof. Dr. Hannes Federrath, macht deutlich, dass das Vorhaben nicht nur dem Ansehen der EU und vielen Personen schaden würde. Auch Betriebs- und Geschäftsgeheimnisse von Unternehmen seien in Gefahr: „Indem sämtliche Bemühungen um rechtsverbindliche Unternehmenskommunikation durch eine Aufweichung von Verschlüsselung unterlaufen werden, wird letztlich die notwendige Digitalisierung der europäischen Wirtschaft behindert.“

Auch für die politische Willensbildung und Gestaltung einer freien Gesellschaft sei eine verlässlich vertrauliche Kommunikation notwendig. „Das Grundrecht auf Verschlüsselung ist wichtig für unsere Demokratie – so wie es das Postgeheimnis in der analogen Welt war“, so Federrath weiter.

Nicht nur zivilgesellschaftliche Organisationen und Branchenverbände aus Deutschland haben ihre Kritik geäußert. In einem offenen Brief an die deutsche EU-Ratspräsidentschaft fordern verschiedene internationale Organisationen wie der europäische Dachverband der digitalen Bürgerrechtsorganisationen, EDRi, und Access Now, die Pläne zur Schwächung von Verschlüsselung fallenzulassen.

„Wir können nicht akzeptieren, dass den Strafverfolgungsbehörden und Geheimdiensten das Recht eingeräumt wird, Nachrichten zu überwachen, die von Verbrauchergeräten gesendet werden sollen, bevor sie durch eine Ende-zu-Ende-Verschlüsselung geschützt werden. Das käme einer unrechtmäßigen Massenüberwachung gleich“, so einer der vielen Punkte in ihrem Schreiben.

Der Entwurf für die Resolution des Ministerrats ist zunächst ein nicht verbindlicher Vorschlag. Er erhöht aber den Druck auf die EU-Kommission, gesetzgeberische Schritte zu gehen. Umso wichtiger ist der frühe Gegendruck, damit die reflexartigen Vorschläge nicht irgendwann zur gesetzlichen Realität werden.

BürgerFerne

11. November 2020

Manchmal ärgere ich mich einfach nur, bisweilen sogar doppelt: Dazu dieses kleine Baustellenbeispiel aus unserer Stadt: Unsere Stadtratsmitglieder der BürgerNahen haben den Vorschlag gemacht, die neue Kindertagesstätte auf dem Gelände der ehemaligen Tenisvereins GrünWeiß an den Kiesbergstraße (Arbeitstitel „2. Kita am Kiesbergwald“) nicht nach einer christlichen Märtyrerin wie andere Kindergärten sondern nach dem jüngsten Holocaust-Opfer Lingens, dem zweijährigen Nico de Jong, zu benennen, der im Vernichtungslager Sobibor ermordet wurde. Wir wollten und wollen, dass an den kleinen Neffen unseres Ehrenbürgers Bernard Grünberg (97) dauerhaft erinnert wird.
Die CDU, die SPD und alle anderen, die im Jugendhilfeausschuss unserer Stadt Sitz und/oder Stimme haben, haben diesen Antrag abgelehnt, weil man „auch an die Kinder denken“ müsse, die die Kita besuchen und diesen der Name Nico de Jong (im Gegensatz zu einer christlichen Märtyrerin) nicht zu vermitteln sei. Das ist falsch und das war ein falscher und vor allem geschichtsloser Beschluss. Darüber habe ich in diesem kleinen Blog geschrieben. Vor der Sitzung hatte ich am Wochenende zuvor allen stimmberechtigten Mitgliedern des Jugendhilfeausschusses dazu Material zumailen wollen. Daran bin ich -nach Stunden (!) vergeblichen Suchens der E-Mailadressen- gescheitert, weil viele der Ausschussmitglieder ihre E-Mailadressen einfach verschweigen – eine besondere Art der BürgerFerne, wie ich finde. Am 27. September habe ich deshakb an die zuständige Dezernentin Monika Schwegmann, die auch Stadtkämmerin ist, und die für die Ratsarbeit zuständige Verwaltungsmitarbeiterin Sophia Gebken dies geschrieben:

Sehr geehrte Frau Stadtkämmerin,

Sie haben eben von mir als BN-Fraktionsvorsitzenden eine E-Mail zum Tagesordnungspunkt „Benennung der zweiten Kita pp.“ [der Sitzung des Jugendhilfeausschusses]  erhalten. Diese E-Mail ist vom Unterzeichner an die stimmberechtigten Mitglieder Ausschusses gesandt worden, wobei es ausgesprochen mühsam war, die jeweiligen E-Mailadressen zu ermitteln. 
Daher bitte ich Sie namens unserer Fraktion, die E-Mail Montagfrüh auch noch an die nicht-stimmberechtigten Mitglieder des Jugendhilfe-Ausschusses weiterzuleiten. Ich nehme an, dass Ihnen ein entsprechender Verteiler leicht zugänglich ist. Herzlichen Dank dafür im Voraus.
Frau Gebken bitte ich namens der Fraktion gleichzeitig, über eine Zusammenstellung der Mitglieder der Ratsausschüsse auf der städt. Webseite nachzudenken, damit diese ggf. problemlos mit einem Klick und gemeinsam per E-Mail informiert werden können. 
Denn die jetzige Handhabung ist mit hohem, überflüssigem Aufwand verbunden, was nicht sein muss. Insbesondere ist eben eine E-Mail an alle Ausschussmitglieder ohne mehrstündigen Ermittlungsaufwand schlicht nicht machbar Auch die Kontaktformulare, die manche Kolleginn/en nutzen, sind nicht hilfreich, wenn man E-Mails an mehrere Ausschusskolleginn/en zu versenden hat. Die Visitenkarten funktionieren (jedenfalls auf iOS) nicht. Ggf. mag dies zeitnah im Ältestenrat besprochen werden.
Mit freundlichen Grüßen
Die BürgerNahen – Stadtratsfraktion
Robert Koop, Vors.
Nun weiß ich bislang nicht, ob die Stadtkämmerin unser Informationsschreiben den Mitgliedern des Jugendhilfeausschusses übermitteln ließ. Angesichts der Entscheidung der Ausschussmitglieder hoffe ich für diese fast, dass sie die Argumentation nicht kannten. Es dauerte dann einige Wochen; doch gestern gab es jedenfalls zu den anderen Punkten diese Antwort von Sophia Gebken:

Sehr geehrter Herr Koop,

http://www.koop.de/NicoDeJong.AnDenJuhiAusschuss.pdfzu Ihrer Anfrage hinsichtlich SD.NET kann ich Ihnen folgendes mitteilen:

Alle Personen, die im [Ratsinformationssystem] RIM aufgeführt sind, haben aus datenschutzrechtlichen Gründen selbst bestimmt, welche persönlichen Daten (z. B. E-Mail-Adresse) veröffentlicht werden und welche nicht. Es ist in der Tat so, dass viele Personen die E-Mail-Adresse nicht zur Veröffentlichung freigegeben haben. Daran kann die Verwaltung allerdings nichts ändern, da die Entscheidung bei der jeweiligen Person liegt.

Wenn man eine Person im RIM aufruft, kann man das Kontaktformular und die Visitenkarte anklicken. Über das Kontaktformular erscheint keine E-Mail-Adresse, aber in der Visitenkarte ist diese im Klartext sichtbar.

Nach Rücksprache mit der Firma Sternberg wurde bestätigt, dass die Visitenkarten auf iOS nicht funktionieren. Das Problem konnte dort nachgestellt werden und wurde an die Entwicklung weitergegeben. Das Problem wird somit hoffentlich durch eines der nächsten Updates behoben.

Ein E-Mail-Verteiler für ein gesamtes Gremium kann über das Ratsinformationssystem nicht erstellt werden. Nur der Versand an Einzelpersonen ist technisch möglich, so die Firma Sternberg.

Freundliche Grüße

Sophia Gebken

Und jetzt frage ich mich, weshalb die Mitglieder eines kommunalen Ausschusses, die für die Einwohnerinnen und Einwohner unserer Stadt in einem öffentlich Gremien ehrenamtlich tätig sind, „aus datenschutzrechtlichen Gründen“ ihre elektronische Erreichbarkeit für eben all diese Einwohnerinnen und Einwohner verschleiern und erschweren. Ehrlich gesagt ist das nämlich gar kein Datenschutz und es wird weder des Amtes noch der Aufgabe der Ausschussmitglieder gerecht. Oder?

für jede/n gleich

9. August 2020

Die Zentrale Bußgeldstelle in Rheinland-Pfalz verschickt keine unverschlüsselten PDF-Dokumente per E-Mail. Es sei denn, der Betroffene ist ausdrücklich damit einverstanden. Was natürlich erst mal niemand ist.

Damit die Versendung verschlüsselter PDF-Dokumente aber nicht so übermäßig kompliziert ist, weil mangels Passwort kein Empfänger die Datei öffnen kann, lässt sich das benötigte Passwort direkt im Merkblatt nachlesen, das jedem Anhörungsbogen der Behörde beiliegt:

Das Passwort ist übrigens für jede/n gleich…


gefunden im LawBlog von Udo Vetter

nicht ausspionieren

19. Juni 2020

Die Hildmann&Co-Dummverschwörer toben gerade wieder auf Facebook und andernorts herum, dass die Corona-Warn-App sie ausspioniere und sie sie niemals…. Man kennt das und fragt sich: Wie? Auf Facebook rumheulen? Auf FACEBOOK? Nun denn, #das_kfmw hat dazu diesen Text von Philipp S.Hollstein, gefunden, der die Trotteligkeit der vermeintlich rebellischen Kommentare ganz vorzüglich zusammenfasst: 

Peter Petersen auf Facebook:
„Ich lasse mich doch nicht verarschen!!1!
Diese Corona-App werde ich niemals installieren!
ICH LASSE MICH NICHT AUSSPIONIERN!!“

Facebook so:
Oh, Peter Petersen,
35-40Jahre alt,
männlich,
wohnt in „Sydney“,
loggt sich normalerweise in Wuppertal und Umgebung ein,
politisch eher konservativ,
katholisch,
798 Kontakte ersten Grades,
6712494 Kontakte zweiten Grades,
Name vermutlich korrekt, da in den Adressbüchern der Freunde so vorhanden,
hat 2 Kinder mit „Petra Petersen“ die in 2 Monaten Geburtstag hat und sich aktuell in einer Beziehung mit „Lurchi Mommsen“ befindet,
mag Musik von den Flippers, Andrea Berg und Mötley Crüe, hat gestern Abend auf Netflix „Suits“ geschaut,
war danach auf Pornhub, Stern, und TAZ um Artikel über Reisen zu lesen,
bevorzugt Reiseziele in Bergregionen,
hat in 4 Tagen Geburtstag,
kauft eher impulsiv und online,
interessiert sich für hochpreisige Marken,
hat BMW, Ferrari und Glashütte Uhren abonniert, Haushaltsnettoeinkommen ca 30-50.000 Euro,
hat 1999 an der Kalle Grabowski Universität Unna einen Abschluss in Literaturwissenschaft gemacht,
wohnt weit entfernt von den Eltern,
hat in letzten 4 Jahren mindestens 4 Beziehungen gehabt,
ist aktuell Single,
wird vermutlich demnächst ein Auto der Marken Mazda oder Honda kaufen,
ist technisch interessiert, aber eher skeptisch,
gilt als „late adopter“,
hat gerade einen neuen Post verfasst:
//Ich lasse mich doch nicht verarschen!!1!
Diese Corona-App werde ich niemals installieren!
ICH LASSE MICH NICHT AUSSPIONIERN!!//
Geschrieben mit der Facebook App Version X.X
in der Nähe Marktplatz Wuppertal,
auf einem Apple Iphone X, 256GB,
IOS ältere Version,
Gerätesprache Deutsch
Akkustand 23%
Netzbetreiber Telekom
Das speicher ich gleich mal auf meinen Servern in den USA, Deutschland, Norwegen, Dänemark, ………

[Völlig unbeteiligte Corona-App von Betatester,
auch auf dem Marktplatz in Wuppertal:
Oh. 221h273bd77 hat gerade 5 Minuten unter 2m entfernt von 23882bdw810 gestanden.
Wenn in zwei Wochen keiner von denen gemeldet hat, dass positiv getestet wurde, lösche ich diese Info wieder.
Sonst bekommt die jeweils andere ID eine Nachricht, dass ein Test empfohlen wird.]
Von Philipp S.Hollstein

Corona-Warn-App

14. Juni 2020

Die 20 Millionen Euro teure Corona-Warn-App kommt in dieser Woche. Eigentlich wollte die Bundesregierung bereits Mitte April eine sogenannte Contact-Tracing-App auf den Markt bringen, um die Kontakte von mit dem Coronavirus Infizierten schnell nachverfolgen zu können. Eine grundsätzliche Debatte über die Art und Weise der Speicherung verzögerte die Fertigstellung. Die wesentliche Frage war: „Wollen wir die Kontaktdaten zentral oder dezentral speichern?“. Sie wurde  wohl nicht von besserer Einsicht, aber von Apple gegen die zentrale Lösung entschieden und dann wurde auch ein Zuständigkeitsproblem gelöst. Am Dienstag kann jetzt die Warn-App der Öffentlichkeit vorgestellt werden. Manch Wissenswertes zur Corona-Warn-App findet man bei tagesschau.de hier

Mitarbeiter der TÜV Informationstechnik (TÜVit), einer auf IT-Sicherheit spezialisierten Tochter des TÜV Nord, haben die Warn-App seit Anfang des Monats auf Sicherheitslücken geprüft; dabei haben sie mehrere Mängel entdeckt und an die Entwickler gemeldet, damit diese die Fehler vor dem Start der App in dieser Woche beheben können. Eins der gefundenen Sicherheitsprobleme wurde von den TÜV-Prüfern dabei als recht schwerwiegend eingestuft, schrieb heise.de nach einem Gespräch mit TÜVit-Geschäftsführer Dirk Kretzschmar.

Die größte Sorge vieler potenzieller Anwender der Corona-Warn-App ist sicherlich die Frage nach der Privatheit ihrer Daten. Auf die Privatsphäre der App angesprochen, äußerte sich Kretzschmar recht zuversichtlich. Bisher sieht es wohl so aus, als ob die Corona-App in dieser Hinsicht das hält, was die Regierung versprochen hat. Tracking-Technologien, die über das im Apple/Google-API umgesetzte hinausgehen, habe man nicht gefunden, so der TÜVit-Chef. (hier mehr…)

(Quellen: Tagesschau, heise.de, SZ)

nicht vorausgefüllt

28. Mai 2020

Der Bundesgerichtshof (BGH) hat manipulatives Design in den Blick genommen: Cookie-Einwilligungen dürfen nicht vorausgefüllt werden, stellte das Gericht heute unter anderem klar. Notwendig geworden war die Entscheidung, weil Bundesregierung und Große Koalition seit Jahren eine Gesetzesaktualisierung verschleppen.

Wer sich eine Einwilligung von Nutzer:innen holen möchte, um auf ihren Geräten Werbe-Cookies zu speichern, darf das Ankreuzkästchen nicht vorher für sie ausfüllen. Das hat am heutigen Donnerstag der Bundesgerichtshof nach einem jahrelangen Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und dem Glücksspiel-Unternehmen Planet 49 entschieden.

Planet 49 wollte bei einem Online-Gewinnspiel die Einwilligung der Teilnehmenden dafür einholen, auf ihren Geräten Cookies zu speichern. Mit diesen können Werbepartner/innen ihre Nutzer/innen wiedererkennen und Informationen über ihr Online-Verhalten sammeln, um Werbung auf sie zuzuschneiden. Der vzbv hatte argumentiert, dass dieses Vorausfüllen nicht den Vorgaben von EU-Datenschutzgesetzen entspricht, nach denen Einwilligungen aktiv, informiert und freiwillig erteilt werden müssen.

Der BGH hat sich nun auf die Seite der Verbraucherschützer:innen gestellt. Er folgt damit der Rechtsauffassung des Europäischen Gerichtshofes, der 2019 mehrere Grundsatzfragen zu dem Fall entschieden hat. Das Gericht sieht in vorausgefüllten Cookie-Einwilligungen eine unangemessene Benachteiligung der Nutzer:innen. Dies gelte sowohl unter der EU-Datenschutzgrundverordnung als auch unter älteren Datenschutzregeln der EU. Nicht von der Entscheidung betroffen sind Cookies, die für den Betrieb von Websites notwendig sind.

BGH kritisiert manipulatives Design

Auch eine zweite Einwilligung von Planet 49 war laut dem BGH nicht rechtskonform. Mit dieser sollten Teilnehmer/innen des Gewinnspiels bestätigten, dass sie von diversen Firmen telefonisch und schriftlich für Werbezwecke kontaktiert werden dürfen. Dabei bestand die Möglichkeit, die Werbefirmen aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Sofern man keine Auswahl getroffen hat, behielt sich Planet49 das Recht vor, selbst die Entscheidung zu treffen.

Diese Einwilligung habe nicht den rechtlichen Vorschriften an die Informiertheit der Nutzer:innen entsprochen, „weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen“, so der BGH.

Mit der Entscheidung rücken einmal mehr die Gestaltungsfragen von Nutzungsoberflächen in den Vordergrund. Datenschützer:/nnen kritisieren seit langem, dass durch manipulatives Interface-Design, auch „Dark Patterns“ genannt, die Entscheidungshoheit von Nutzer/innen eingeschränkt werde. Die Datenethikkommission der Bundesregierung hatte 2019 empfohlen, wirksamer gegen die Masche vorzugehen. 2018 hatten mehrere zivilgesellschaftliche Organisationen Datenschutzbeschwerden wegen der Verwendung von Dark Patterns durch Google eingelegt. Erst vor wenigen Tagen hatte ein Think Tank mehrere konkrete Vorschläge gemacht, wie Politik und Behörden das Thema aktiver angehen können.

Wie das Telemediengesetz zum Problem wurde

Das Gericht setzt mit seiner Entscheidung zur Gestaltung von Online-Einwilligungen auch einen Schlussstrich unter eine jahrelange Debatte zwischen Werbeindustrie und Daten- sowie Verbraucherschützer:innen. Denn auch wenn die Datenschutzgrundverordnung (DSGVO) klare Anforderungen an die Einwilligung formuliert, herrscht beim Thema Online-Tracking in Deutschland bisher Chaos, weil Parlament und Regierung die Aktualisierung des Telemediengesetzes jahrelang verschlafen haben.

In dem Gesetz heißt es nämlich heute noch, dass die Betreiber/innen von Websites und anderen Telemediendiensten für Werbezwecke individuelle Nutzungsprofile erstellen dürfen. Einzige Einschränkung: Die Daten dürfen nicht unter Klarnamen gespeichert werden, sondern unter einem Pseudonym. Nutzer/innen haben außerdem ein Widerspruchsrecht.

Für Seitenbetreiber/innen ist das eine ziemlich komfortable Regelung, doch mit der Datenschutzgrundverordnung ist sie nicht vereinbar.

Das jedenfalls sagen die deutschen Datenschutzbehörden. Einen Monat vor Inkrafttreten der DSGVO im Mai 2018 veröffentlichte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder eine Positionsbestimmung zum Online-Tracking [PDF]. Die entsprechenden Regelungen des Telemediengesetzes seien unter der DSGVO nicht mehr anwendbar. Stattdessen bräuchten Tracking-Dienste, die individuelle Profile erstellen wollen, eine explizite und vorherige Einwilligung – Opt-In statt Opt-Out.

Zwischen Einwilligungsmüdigkeit und Entmündigung

Wenig überraschend lehnt die Online-Werbewirtschaft diese Sichtweise der Datenschutzkonferenz ab. Viele Websites haben daher ihre Praxis nicht geändert. Selbst wenn Einwilligungs-Banner erscheinen, sind sie oft vorausgefüllt oder lassen Nutzer:innen gar keine Entscheidungsmöglichkeit. Die Folge: allgemeine Einwilligungsmüdigkeit. Fast automatisch klicken wohl die meisten auf „Zustimmen“, sobald sich der Cookie-Hinweis ins Bild schiebt.

Ein Jahr später hat die Datenschutzkonferenz deshalb nochmal nachgelegt. In einer ausführlichen Orientierungshilfe [PDF] stellten die Aufsichtsbehörden im April 2019 dar, unter welchen Bedingungen Tracking erlaubt ist. Wieder kommen die Datenschützer zu dem Ergebnis: In den allermeisten Fällen benötigen Anbieter eine explizite Einwilligung der Betroffenen. Eine Abwägung zwischen den Interessen der Betroffenen und denen der Werbetreibenden müsse in den meisten Fällen ergeben, dass das Schutzbedürfnis der Nutzer:innen überwiege.

Außerdem könne es nicht als Einwilligung angesehen werden, wenn Menschen nicht auf das Tracking-Banner reagieren, sondern einfach weiter auf der Seite surfen. Auch vorausgefüllte Kästchen seien nicht erlaubt.

Irreführende Rechtslage seit 2009

Es gibt zudem bereits eine EU-Richtlinie, die das Thema Online-Tracking seit 2009 explizit regelt: die 2002 verabschiedete und 2009 überarbeitete ePrivacy-Richtlinie. Als kleine Schwester der Datenschutzgrundverordnung ergänzte und spezifizierte sie die alte EU-Datenschutzrichtlinie von 1995.

Eigentlich sollte sie im Anschluss an die Verabschiedung der Datenschutzgrundverordnung generalüberholt und spätestens im Frühjahr 2018 verabschiedet werden. Gerade in Sachen Online-Tracking sollte die Richtlinie, die dann zur ePrivacy-Verordnung aufgewertet worden wäre, Nutzer/innen mehr Selbstbestimmung ermöglichen. Verabschiedet wurde die Verordnung jedoch bis heute nicht, zu groß ist der Druck der Werbeindustrie.

Das führt zu der bizarren Situation, dass die Datenschutzgrundverordnung dem Online-Tracking nach Auslegung der Datenschutzbehörden engere Grenzen setzt als es das deutsche Datenschutzrecht formell tut.

Aktive Zustimmung oder aktive Ablehnung?

Noch dazu kommt, dass bereits die deutsche Umsetzung der alten ePrivacy-Richtlinie mangelhaft gewesen ist. Denn schon in ihr heißt es seit 2009, dass Nutzer:innen Online-Tracking bewusst zustimmen müssen. Die deutsche Opt-Out-Regelung hat dieser Vorgabe nicht entsprochen. Das sagen die deutschen Datenschutzbehörden und das sagte auch der EuGH in seiner Erklärung zum Fall Planet 49.

Der BGH ermöglicht der Bundesregierung mit seiner kreativen Rechtsauslegung nun aber ihr Gesicht zu wahren. Er bestätigt zwar, dass Werbe-Cookies ein aktives Opt-In voraussetzen, sagt aber, dass dies auch aus der alten Formulierung im Telemediengesetz hervorgehe. Dort steht zwar, dass Nutzer/innen aktiv widersprechen müssen, wenn sie mit der Sammlung ihrer Daten nicht einverstanden sind, der Gesetzgeber habe damit aber in Wirklichkeit gemeint, dass sie aktiv zustimmen müssen.

Für die Praxis ist diese Frage am Ende egal. Denn so oder so stellt der BGH mit seinem Urteil klar: Wer Nutzer/innen heute noch Cookie-Einwilligungen unterjubelt, handelt illegal.

(Bundesgerichtshof, Urteil vom 2805.2020 – I ZR 7/16 – Cookie-Einwilligung II)

En Beitrag von Ingo Dachwitz auf Netzpolitik.org – Creative Commons BY-NC-SA 4.0.
(Foto: BGH in Karlsruhe, ComQuat CC BY-SA 3.0)

Trotz einer Weisung des Hamburgischen Datenschutzbeauftragten will die Polizei der Hansestadt nicht auf ihr neues Gesichtserkennung-System verzichten. In vier Wochen verhandelt das Verwaltungsgericht über die eigens angelegte Lichtbilddatei. Ohne das Urteil abzuwarten, entzieht die Landesregierung dem Datenschützer sein schärfstes Schwert.

Auch nach der Löschungsanordnung durch den Beauftragten für Datenschutz und Informationsfreiheit nutzt die Polizei in Hamburg weiterhin ein System zur Gesichtserkennung. Das schreibt der rot-grüne [!] Senat in der Antwort auf eine Anfrage der Linksfraktion in der Hamburger Bürgerschaft. Seit dem 18. Dezember 2018 wurden weitere 92 Recherchen in Bild- und Videodateien durchgeführt. Damit summieren sich die gesamten Suchvorgänge nach Tatverdächtigen auf 782.

Nach dem G20-Gipfel hatte die Polizei eine „Sonderkommission Schwarzer Block“ eingerichtet. Zur Identifizierung mutmaßlicher StraftäterInnen hat die Abteilung 3,57 Terabyte polizeieigenes Bild- und Videomaterial in ein „System Gesichtserkennungssoftware“ eingespielt. Weitere 9,90 TB an polizeifremdem Material stammen aus einem Hinweisportal, das vom Bundeskriminalamt für den freiwilligen Upload eingerichtet wurde. Derzeit enthält das System mehr als 15.000 Videos und 16.000 Bilder.

Fotos von erkennungsdienstlicher Behandlung

Die in Hamburg genutzte Anlage stammt von der deutschen Firma Videmo. Beim Einspielen der Rohdaten berechnet die Software mithilfe von Augen- und Ohrabständen, Nasenform, Mundwinkel und Haaransatz alle darin enthaltenen Gesichter. Jedes einzelne Gesicht wird als bekannte oder unbekannte Identität der betreffenden Person in einer weiteren Datenbank gespeichert und für die weitere Verarbeitung genutzt. Auf diese Referenzdatei bezieht sich die Anordnung zur Löschung des Datenschutzbeauftragten Johannes Caspar.

Zur Identifizierung von Personen verwendet die Polizei Lichtbilder von erkennungsdienstlichen („ED“-) Maßnahmen, die während des Gipfels erhoben wurden. Auch diese Fotos werden in die Referenzdatei eingespielt und in den Bild- und Videodaten gesucht. Auf diese Weise will die Polizei den Betroffenen weitere Straftaten nachweisen. Etwa ein Drittel aller Recherchen in dem Gesichtserkennungssystem erfolgten mit namentlich bekannten Tatverdächtigen.

Laut Caspar werden dabei auch ED-Bilder genutzt, die nicht im Rahmen des G20-Gipfels abgenommen wurden. Weitere Fotos stammen aus dem Auskunftssystem POLAS der Hamburger Polizei sowie der INPOL-Datei, die das Bundeskriminalamts (BKA) gemeinsam mit den Landeskriminalämtern betreibt.

Kaum Erfolg beim BKA

Um welche einzelnen INPOL-Datenbestände es sich dabei handelt, schreibt die Landesregierung nicht. Möglich wären Lichtbilder, die in der Kategorie „Politisch motivierte Kriminalität – Links“ gespeichert sind. Die Fotos aus INPOL seien jedoch manuell und nicht automatisiert in das Hamburger System übertragen worden, betont der Senat.

Die Identitäten unbekannter Tatverdächtiger haben die ErmittlerInnen anschließend auch im Gesichtserkennungssystem (GES) des BKA gesucht. Dabei wird ebenfalls die polizeiliche INPOL-Datei abgefragt. Dort sind rund 5,6 Millionen Lichtbilder von circa 5 Millionen Personen gespeichert.

Die Nutzung des GES steigt jedes Jahr deutlich an, in 2018 haben die Bundes- und Landesbehörden über 40.000 Recherchen durchgeführt und dabei rund 1.000 Personen identifiziert. Dem Senat zufolge hat die Hamburger Polizei das BKA mit 75 Suchvorgängen beauftragt. Nur in drei Fällen wurden allerdings Personentreffer erzielt. Jedes fünfte Bild war nicht für eine GES-Recherche geeignet und musste ausgesondert werden.

Kein Rechtsbehelf möglich

Im Interview mit Netzpolitik.org hatte Caspar die Technologie als „neue Dimension staatlicher Ermittlungs- und Kontrolloptionen“ bezeichnet. Das im öffentlichen Raum verdachtslos eingesammelte Bildmaterial erlaube „Schlüsse auf Verhaltensmuster und Präferenzen des Einzelnen“.

Seine Löschanordnung begründet der Datenschutzbeauftragte mit einem erheblichen Eingriff in die Rechte und Freiheiten einer Vielzahl von Betroffenen, die in dem System gespeichert werden. Die biometrische Erfassung betrifft demnach „massenhaft Personen, die nicht tatverdächtig sind und dies zu keinem Zeitpunkt waren“.

Ohne Kenntnis werden die Gesichtsmodelle der aufgezeichneten Personen mathematisch berechnet, gespeichert und durchsucht. Die Polizei erstellt daraus Profile über deren Standort, Verhalten und soziale Kontakte. Ein Rechtsbehelf ist nicht möglich, da die Betroffenen von der Verarbeitung ihrer Daten nicht erfahren.

Datenschützer soll nur noch warnen dürfen

Auch nach Auflösung der „Sonderkommission Schwarzer Block“ will die Polizei die Gesichtsbilder weiter nutzen. Die Innenbehörde der Stadt Hamburg hat deshalb im Januar eine Klage gegen die Anordnung von Caspar eingereicht, die mündliche Verhandlung vor dem Verwaltungsgericht ist für den 23. Oktober geplant. Das Verfahren ist von so großer Bedeutung, dass die unterlegene Partei in die Berufung gehen dürfte.

Ohne das Urteil abzuwarten, rächt sich der Senat auch politisch. Johannes Caspar hatte seine Weisungsbefugnis nach dem G20-Gipfel das erste und bisher einzige Mal genutzt. Obwohl er also behutsam und keineswegs inflationär mit diesem scharfen Schwert umgeht, soll ihm diese Kompetenz im neuen Polizeigesetz entzogen werden.

Im Entwurf des Gesetzes schreibt die Landesregierung, eine Letztentscheidungs- und Anordnungsbefugnis des Datenschutzbeauftragten lasse sich „nicht mit dem Bedürfnis nach ständiger Verfügbarkeit rechtmäßig erhobener Daten und Datenverarbeitungsanlagen in Einklang bringen“. Caspar möge sich zukünftig mit einer Beanstandung oder Warnung zufrieden geben.

Ein Text von  (netzpolitk.org) Creative Commons BY-NC-SA 4.0.


mehr zum Thema


Foto: Gesichtserkennung, Symbolbild Bautsch, CC0 1.0 Verzicht auf das Copyright

 

Bleibt verboten

13. Mai 2019

Der niedersächsische Pilotversuch einer neuen Form der Geschwindigkeitsüberwachung auf der Bundesstraße 6 zwischen Gleidingen und Laatzen bleibt verboten. Das Oberverwaltungsgericht Lüneburg hat am 10. Mai die Beschwerde der Polizeidirektion Hannover gegen den Beschluss des Verwaltungsgerichts Hannover zurückgewiesen, heißt es in der Pressemitteilung. In der Folge des Beschlusses war die von Niedersachsen als erstem Bundesland erprobte Geschwindigkeitsüberwachungsanlage ausgeschaltet worden.

Die Besonderheit des Blitzers besteht darin, dass die Durchschnittsgeschwindigkeit über eine längere, im Pilotversuch rund zwei Kilometer umfassende Strecke ermittelt wird. Deshalb werden bei Ein- und Ausfahrt eines bestimmten Abschnittes der Straße vorsorglich die Kennzeichen aller Fahrzeuge erfasst, und zwar unabhängig von ihrer Geschwindigkeit.

Ausschlaggebend für die Zurückweisung der Beschwerde war laut Gericht, „dass sich die Polizeidirektion Hannover mit den tragenden Gründen des verwaltungsgerichtlichen Beschlusses nicht hinreichend auseinandergesetzt hat“. So habe sie insbesondere nicht dargelegt, warum der Antragsteller die vom Verwaltungsgericht in der Abschnittskontrolle gesehene Grundrechtsverletzung im überwiegenden öffentlichen Interesse vorübergehend hinnehmen müsse.

Fehlende gesetzliche Grundlage

Geklagt hatte ein Rechtsanwalt, der die Strecke täglich mit seinem Auto befährt. Er rügte die anlasslose Erfassung und Speicherung seiner personenbezogenen Daten, in diesem Fall das Autokennzeichen, denn für den Betrieb der Anlage fehle eine gesetzliche Grundlage.

Die Landesdatenschutzbeauftragte Barbara Thiel kommentierte das Urteil: „Der Beschluss des OVG Lüneburg bestätigt einmal mehr den bisweilen leichtfertigen Umgang der Polizei mit dem Thema Datenschutz. Es bleibt also dabei: Solange der Landtag keine ausreichende gesetzliche Grundlage für die Datenverarbeitung durch Section Control verabschiedet, muss der Pilotbetrieb der Anlage ruhen.“

Bürgerrechtler:innen sollten sich allerdings nur kurz über das Urteil freuen. Die Regierung Niedersachsens will demnächst eine Änderung des Niedersächsischen Gesetzes für Sicherheit und Ordnung beschließen und diese Form der Verkehrsüberwachung erlauben.

( Markus Reuter auf netzpolitik.org, CC by-nc-sa/4.0/)

gläsener Autofahrer

17. April 2019

Ein neues EU-Gesetz macht ab 2024 den Einbau einer Blackbox in jedes Auto verpflichtend. Die Geräte sollen die Zahl der Verkehrsunfälle senken und eigentlich nur anonym Daten speichern. Doch das stimmt nicht ganz. Datenschützer warnen vor dem „gläsernen Autofahrer“.

Gemeinfrei-ähnlich freigegeben durch unsplash.com Mark Cruz

Die Europäische Union plant den verpflichtenden Einbau von Blackboxen in allen Fahrzeugen. Sogenannte Unfalldatenspeicher sollen detaillierte Daten über Unfälle sammeln. Die Vorschrift ist Teil eines Pakets von Vorschlägen, die den Straßenverkehr künftig sicherer machen sollen. Das EU-Parlament beschloss das Gesetz heute mit breiter Mehrheit.

Die Unfalldatenspeicher zeichnen die Geschwindigkeit, den Einsatz der Bremsen und andere Messwerte aus dem Fahrzeug auf. Das Gerät speichert die Daten im Falle eines Unfalls – etwa wenn der Airbag ausgelöst wird. Es ähnelt in seiner Funktionsweise einer Blackbox in einem Flugzeug.

Die Daten sollen für zur Verbesserung der Verkehrssicherheit verwendet werden. Um einzelne Unfälle geht es laut dem EU-Gesetz eigentlich nicht. Im Gesetzestext steht, dass nur anonymisierte Fahrzeugdaten gesammelt werden, sodass „anhand der gespeicherten Daten keine Identifizierung des Nutzers oder Halters eines bestimmten Fahrzeugs möglich ist.“

Datenschützer sehen Risiken

Doch stimmt das auch? Das Gesetz schreibt für die Unfalldatenspeicher ein geschlossenes System vor. Wenn in einem solchen System nur die Daten eines einzigen Fahrzeuges in der Blackbox landen und nur eine Person das Fahrzeug nutzt, wie anonym ist der Lenker dann? Datenschützer fürchten, die Aufzeichnungen aus dem Unfalldatenspeicher könnten in Gerichtsverfahren gegen Fahrzeuglenker eingesetzt werden.

So warnte der Bundesdatenschutzbeauftragte Ulrich Kelber in einem Gastbeitrag, digital aufgerüstete Fahrzeuge könnten in Zukunft ein gewaltiges Überwachungsrisiko bedeuten. „Autos müssen neben dem Schutz der körperlichen auch den Schutz der digitalen Unversehrtheit gewährleisten“, schrieb Kelber.

Der Bundesdatenschutzbeauftragte warnt, das geplante Gesetz schütze Fahrzeuglenker nicht ausreichend vor einer für sie nachteilige Verwendung ihrer Daten. Der endgültige Text, auf den sich EU-Verhandler Ende März einigten, ändert daran aus Sicht Kelbers wenig, wie er gegenüber netzpolitik.org sagte:

Die nun vorliegende Fassung der Verordnung zur Erhöhung der Fahrzeugsicherheit enthält – vor allem im Vergleich zur E-Call-Verordnung – nur punktuelle Vorgaben zum Datenschutz. Diese beschränken sich zudem im Wesentlichen auf die Datenverarbeitung im Ereignisdatenspeicher. Insofern betrachte ich das Gesetz aus datenschutzrechtlicher Sicht nach wie vor für unzureichend und nicht geeignet, um die in meinem Gastbeitrag geäußerten Bedenken zu entkräften.

Auch Autofahrerverbände halten es für wahrscheinlich, dass die Unfalldatenspeicher künftig häufig vor Gericht verwendet werden. ADAC-Sprecher Johannes Boos schrieb uns auf Anfrage:EU-Richtlinie

Die EU-Verordnung sieht grundsätzlich nur die anonymisierte Nutzung der Daten aus dem Event Data Recorder zu Zwecken der Unfallforschung vor, wenn keine ausdrückliche Einwilligung vorliegt. Bei schweren Verkehrsunfällen mit Verletzten oder Todesopfern, die ohne die Daten aus dem Event Data Recorder nicht aufzuklären sind, kann die Staatsanwaltschaft eine Auswertung der Daten veranlassen. Aus Sicht des ADAC steht in solchen Fällen das Interesse einer Unfallaufklärung über dem Datenschutz.

Warnung vor dem „gläsernen Autofahrer“

Bereits jetzt bauen manche Hersteller in ihre Fahrzeuge Datenspeicher ein. Allerdings geschah dies bisher freiwillig. Die neuen Vorschriften weiten die standardisierte Datensammlung in Autos deutlich aus.

Der Verbraucherverband vzbv warnt vor dem „gläsernen Autofahrer“. In einer Stellungnahme zu den Unfalldatenspeichern schreiben die Verbraucherschützer, die gesammelten Daten öffneten die Büchse der Pandora. Denn auch wenn die Daten wohl für die Klärung von Haftungsfragen nützlich seien, weckten die doch allzu wahrscheinlich Begehrlichkeiten bei Autoherstellern und Versicherungen.

Unfallversicherungen bieten bereits Produkte auf Basis des eigenen Fahrverhaltens an. Die Datenschützerin Katharina Nocun beschrieb zuletzt in ihrem Buch „Die Daten, die ich rief“ die Folgen, wenn Versicherungsschutz mit der Preisgabe der Privatsphäre bezahlt wird.

Die EU-Staaten sollen den Entwurf in den kommenden Wochen absegnen. In Neuwagen sind Blackboxen ab Mai 2022 europaweit verpflichtend. Ab 2024 müssen alle Autos damit ausgestattet werden.


Ein Netzpolitk.org-Beitrag von Creative Commons BY-NC-SA 4.0.