Gegen die Pläne von Apple laufen Journalistenverbände Sturm. Sie sehen die Pressefreiheit in Gefahr und warnen vor dem Ausbau des Systems in autoritären Regimen.

Journalist:innen aus Deutschland, Österreich und der Schweiz haben mit scharfen Worten die Pläne Apples kritisiert, in Zukunft auf Endgeräten die Speicher nach unerwünschten Bildern zu durchsuchen. Sie halten diese für einen Verstoß gegen die Pressefreiheit und fordern die EU-Kommission und die österreichischen und deutschen Bundesinnenminister sowie die Datenschutzbeauftragten auf, gegen diese Pläne vorzugehen.

Apple hatte die Maßnahme angekündigt, um gegen Darstellungen von Kindesmissbrauch vorzugehen. Der Kampf gegen diese Darstellungen soll allerdings direkt auf den Endgeräten der Nutzer:innen stattfinden [also auch auf Ihrem persönlichen i-Phone!]. Dort will der Konzern auf den digitalen Speichern nach Bildern suchen und diese mit einer Datenbank abgleichen. Schlägt das System bei mehreren Bildern an, sendet es die inkriminierten Inhalte an Apple, dort schaut ein Mensch über die Ergebnisse und meldet den Fall gegebenenfalls an eine zuständige Stelle, welche dann die Polizei einschaltet. Die Ankündigung löste weltweit Empörung aus, weil Apple damit eine weltweite Infrastruktur für Überwachung und Zensur schafft.

Die Pläne seien „ein Hilfsmittel, mit dem ein Unternehmen auf andere Daten von Nutzern auf deren eigenen Geräten zugreifen will, wie etwa Kontakte und vertrauliche Dokumente“, sagt Hubert Krech, Sprecher der öffentlich-rechtlichen Redakteursvereinigung AGRA. Dies sei eine Gefahr für den Journalismus und ein eindeutiger Verstoß gegen die europäische Datenschutzgrundverordnung DSGVO, gegen die e-Privacy-Richtlinie und gegen Grundrechte.

Frank Überall, Vorsitzender des deutschen Journalistenverbandes DJV, befürchtet, dass in Zukunft auch die Bilder und Videos von Regimegegnern überprüft werden könnten. Ähnlich argumentiert Dieter Bornemann, Sprecher des ORF-Redakteursrats: In einem nächsten Schritt könne „zum Beispiel die ungarische Orban-Regierung auf diese Weise Bilder der LGBT-Gemeinschaft kontrollieren lassen“. Auch in der Türkei sei eine umfassende Kontrolle denkbar oder in totalitären Staaten.

„Alle Journalisten haben vertrauliche Inhalte auf ihren Smartphones“, sagt die ehemalige USA-Korrespondentin Priscilla Imboden von der Schweizer Mediengewerkschaft SSM, „es kann nicht sein, dass hier ein amerikanisches Privatunternehmen über die Zulässigkeit von Inhalten urteilen und diese auch noch einsehen und weiterleiten will“. Auch investigative Recherchen wären damit massiv erschwert.

Ob der Protest allerdings ausgerechnet bei der EU-Kommission Erfolg hat, steht in den Sternen. Die Europäische Union hat jüngst entschieden, dass Messenger die Inhalte der Chats durchleuchten dürfen, um nach Missbrauchsdarstellungen zu suchen. Diese umstrittene Regelung könnte in Zukunft sogar verpflichtend werden.


Quelle: Netzpolitik.org Creative Commons BY-NC-SA 4.0.
Foto – Gemeinfrei-ähnlich freigegeben durch unsplash.com Nikolai Chernichenko

 

Rekordstrafe?

4. August 2021

Der Online-Konzern Amazon soll DSGVO-Rekordstrafe zahlen. Es wäre das höchste Bußgeld in der Geschichte der Datenschutzgrundverordnung: Amazon soll wegen missbräuchlichem Online-Targeting fast 750 Millionen Euro Strafe zahlen. Doch ob es wirklich dazu kommt, ist offen.

Amazon soll eine DSGVO-Strafe in Höhe von fast 750 Millionen Euro zahlen
Rekord-Bußgeld für Amazon Gemeinfrei-ähnlich freigegeben durch unsplash.com Christian Wiediger

Wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) hat die luxemburgische Datenschutzbehörde dem Digitalkonzern Amazon ein Rekord-Bußgeld in Höhe von 746 Millionen Euro aufgebrummt. Das geht aus einem Geschäftsbericht des Unternehmens hervor, über den am Freitag zuerst die Nachrichtenagentur Bloomberg berichtete.

Das Bußgeld in Höhe von umgerechnet 888 Millionen Dollar stellt die höchste Strafzahlung dar, die unter der DSGVO je angeordnet wurde. Amazon kündigte an, Widerspruch gegen die Entscheidung einzulegen.

Medienberichten zufolge richtet sich die Strafe der luxemburgischen Datenschutzbehörde CNPD (Commission Nationale pour la Protection des Données) gegen Amazons System des Online-Targeting. Das Unternehmen, das unter anderem wegen diverser wettbewerbsrechtlicher Verfahren unter Druck steht, betreibt den größten Online-Versandhandel der Welt und setzt dabei auf personalisierte Werbung. Sowohl auf den eigenen Seiten als auch auf Drittseiten sammelt Amazon im großen Stil Daten, um Menschen mit zugeschnittener Werbung zum Einkauf zu verleiten.

Da die Behörde sich zu ihrer Entscheidung noch nicht selbst geäußert hat, bleiben wichtige Details unklar. Es scheint jedoch festzustehen, dass die Strafe auf ein Verfahren zurückgeht, das die französische Nichtregierungsorganisation La Quadrature du Net mit mehr als zehntausend Unterstützer:innen angestoßen hat.

In einem Blogpost erklären die Digital-Rights-Aktivist:innen von La Quadrature, dass sie die Massenbeschwerde bei der luxemburgischen Datenschutzbehörde gegen Amazons Werbe-Targeting direkt nach Wirksamwerden der DSGVO im Mai 2018 eingereicht haben.

Amazon selbst erklärte, die Strafe anfechten zu wollen. „Es gab keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“, so ein Sprecher des Unternehmens zur DPA. „Im Hinblick darauf, wie wir Kund:innen relevante Werbung anzeigen, beruht diese Entscheidung der CNPD auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzrechts, und die beabsichtigte Geldbuße steht selbst bei dieser Auslegung in überhaupt keinem Verhältnis.“

Die Höhe von DSGVO-Bußgeldern ist immer wieder Gegenstand von Debatten und Gerichtsverfahren. Die bislang größte angekündigte Strafzahlung sollte die Fluggesellschaft British Airways treffen. Die britische Datenschutzbehörde hatte wegen eines Datenlecks mit hunderttausenden Betroffenen eigentlich ein Bußgeld von gut 200 Millionen Euro verkündet, die Höhe aufgrund der Belastungen durch die Corona-Pandemie dann aber auf gut 22 Millionen Euro (20 Millionen Pfund) herabgesetzt.

Das bisher größte tatsächliche Bußgeld bleibt daher die 50-Millionen-Strafe der französischen Datenschutzbehörde gegen Google. Auch dieses Verfahren ging auf eine Beschwerde von La Quadrature du Net zurück. Die zweithöchste Strafe in Höhe von 35 Millionen Euro kassierte der schwedische Modekonzern H&M wegen Überwachung von Mitarbeiter:innen, verhängt von der Hamburgischen Datenschutzaufsicht.

Während H&M die Sanktion akzeptierte, werden mehrere Millionenbußgelder in Deutschland derzeit vor Gericht verhandelt. So wollte etwa der Immobilienkonzern Deutsche Wohnen eine Strafe von 14,5 Millionen Euro nicht akzeptieren und bekam vor Gericht in erster Instanz Recht, das Revisionsverfahren läuft noch. Auch der IT-Versandhandel notebooksbilliger.de legte kürzlich Widerspruch gegen einen Bußgeldbescheid in Höhe von gut 10 Millionen Euro ein.

Einen Dämpfer erhielt 2020 der Bundesdatenschutzbeauftragte: Das Landgericht Bonn stutzte ein Bußgeld, das er gegen den Internetanbieter 1&1 verhängt hatte, von 9,5 Millionen Euro auf 900.000 Euro zurecht. Auch die österreichische Datenschutzbehörde musste jüngst eine herbe Schlappe einstecken: Ein Millionenbußgeld gegen die österreichische Post wegen illegalem Datenhandel wurde von einem Gericht gänzlich kassiert.


Im Onlineshop von Lidl gelten neue Regeln. Das Unternehmen gibt nun auch Namen und E-Mailadressen an Werbeplattformen wie Facebook weiter, sofern man nicht widerspricht. Die zuständige Datenschutzbehörde sieht die Rechtslage etwas anders.

Onlineshop-Kund:innen des Discountunternehmens Lidl haben kürzlich eine E-Mail bekommen: Betreff: „Aktualisierung unserer Datenschutzbestimmungen“. Wer diese E-Mail nicht gelesen hat, für den gelten die Änderungen jetzt trotzdem. Denn sie beinhaltete einen Link zum Widerrufen, nicht aber, um den neuen Bedingungen zuzustimmen.

Ist eine Nicht-Antwort also schon eine Einwilligung? Da Lidl Deutschland in Stuttgart sitzt, ist die Datenschutzbehörde Baden-Württembergs unter Leitung von Stefan Brink zuständig. Auf Nachfrage von netzpolitik.org hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) den Fall angeschaut und kommt zu dem Schluss: „Die Möglichkeit des Widerspruchs reicht nicht.“ Nutzer:innen müssten sich aktiv für eine Weitergabe ihrer Daten entscheiden.

Bei der Änderung in den Datenschutzbestimmungen geht es um die Verwendung von personalisierten Daten zu Werbezwecken auf anderen Plattformen wie Facebook:

Wenn Sie mit uns einen Vertrag abgeschlossen haben, nutzen wir die Information zu Ihrem Einkauf in unserem Online-Shop gemeinsam mit Daten zu Ihrer Identifizierung (Name und Kontaktdaten einschließlich Ihrer E-Mail-Adresse), um Ihnen in Sozialen Netzwerken, wie z.B. http://www.facebook.de, oder anderen Werbeplattformen für Sie individualisierte Werbung zu unseren Lidl-Angeboten anzuzeigen. Die Betreiber der sozialen Netzwerke und der anderen Werbeplattformen erhalten dabei neben pseudonymisierten Informationen zu Ihrer Identifizierung lediglich den Auftrag zum Ausspielen bestimmter Werbung.

Auf Anfrage von netzpolitik.org teilt Lidl Deutschland mit, dass sich das Unternehmen aus seiner Sicht mit den Änderungen an die Datenschutzgrundverordnung (DSGVO) halte und begründet das so:

„Die Datenverarbeitung zum Ausspielen von Werbung in einem sozialen Netzwerk ist auf Grundlage des berechtigten Interesses von Lidl an der Durchführung von Direktwerbung zulässig und damit auch nicht einwilligungsbedürftig. Wir haben die Nutzer vorab über die Änderungen informiert. Sie können gegen diese Datenverarbeitung jederzeit Widerspruch einlegen. Der Hinweis darauf sowie ein Link zur Ausübung des Widerspruchsrechts findet sich zudem in unseren Datenschutzbestimmungen.“

Der LfDI kommt jedoch zu einer anderen Einschätzung: „Ein solches berechtigtes Interesse liegt zwar vor, kann nach der notwendigen Abwägung mit den Rechten der App-Nutzenden aber nicht als Rechtsgrundlage für die Übermittlung von Nutzerdaten an z.B. Facebook herangezogen werden.“

Es sei zu überprüfen, „ob die Übermittlung von Namen, Kontaktdaten einschließlich E-Mailadressen, an Facebook und andere ungenannte ‚Werbeplattformen‘ erforderlich ist. Außerdem müsse eine Abwägung mit den Rechten der Nutzenden stattfinden. Bei dieser Interessenabwägung komme man „regelmäßig zum Schluss, dass auf Basis des berechtigten Interesses eine solche Übermittlung nicht möglich ist.“

Daher bleibe als Rechtsgrundlage grundsätzlich nur „die vorherige, informierte, freiwillige, aktiv und separat von anderen Erklärungen abgegebene Einwilligung der betroffenen Personen.“

Wenn es sich lediglich um Datenschutzhinweise handelt, reiche aus, dass Informationen ohne Einwilligung einfach nur zur Verfügung gestellt werden. Solche Datenschutzhinweise könnten aber keine neue Rechtsgrundlage abbilden, so die Datenschutzbehörde. Genau das sei aber „stets notwendig“, wenn es – wie in diesem Fall – um die Verarbeitung personenbezogener Daten geht.

Damit folgt die Baden-Württembergische Datenschutzbehörde in diesem Fall der Linie des Bayerischen Landesamtes für Datenschutzaufsicht, das bereits 2017 erklärt hatte, dass die Custom-Audience-Funktion bei Facebook grundsätzlich eine Zustimmung erfordere. So nennt Facebook seine Funktion, mit der Unternehmen Informationen über ihre Kund:innen bereitstellen, damit die Plattform diesen gezielte Werbung der Unternehmen ausspielt. Die Idee dahinter: Punktgenau jene erreichen, die eh schon mal im eigenen Shop eingekauft haben.

Dafür laden die teilnehmenden Unternehmen eine Liste mit den Kontaktdaten ihrer Onlineshop-Kund:innen bei Facebook hoch. „Vor der Verwendung versieht Facebook diese Informationen mit einem Hash“, also einer Art kryptografischem Fingerabdruck, der unverwechselbar einem Kundenprofil zugeordnet werden kann, beschreibt der Konzern das Vorgehen. Dann gleicht er die Kundenlisten mit existierenden Facebook-Profilen ab, sodass den Profilen mit Übereinstimmungen personalisierte Werbung für den jeweiligen Onlineshop angezeigt wird.

Sind die Daten damit ausreichend geschützt? Auch die Umwandlung der persönlichen Daten in Hashwerte vor dem Abgleich anonymisiere die Daten nicht, sagte 2019 die bayerische Datenschutzbeauftragte Kristin Benedikt in einem Interview mit netzpolitik.org. Schließlich gebe es mittlerweile viele Möglichkeiten, Hashwerte wieder zurückzurechnen und die dahinterstehenden Informationen erkenntlich zu machen.

Lidl teilt die Daten laut seiner neuen Bestimmungen neben Facebook mit „anderen Werbeplattformen“, die das Unternehmen in den Datenschutzbedingungen nicht weiter benennt. Erst auf unsere Anfrage teilt Lidl mit, dass es für personalisierte Werbung auch mit Google und den beiden Online-Vermarktern United Internet Media und Addition/Active Agent zusammenarbeitet. United Internet betreibt unter anderem die Portale 1&1, web.de und GMX.

Der LfDI Baden-Württembergs ist der Meinung, dass in den Datenschutzbestimmungen grundsätzlich alle Empfänger personenbezogener Daten genannt werden müssten. „Ebenso muss informiert werden, welche Daten genau für welche Zwecke (auch die Zwecke der Plattformen) verarbeitet werden.“

Nun werde man auf Lidl zugehen, um die Rechtslage zu besprechen, heißt es von der Datenschutzbehörde aus Stuttgart. „Über weitere Maßnahmen werden wir im Anschluss entscheiden.“


nicht vorausgefüllt

28. Mai 2020

Der Bundesgerichtshof (BGH) hat manipulatives Design in den Blick genommen: Cookie-Einwilligungen dürfen nicht vorausgefüllt werden, stellte das Gericht heute unter anderem klar. Notwendig geworden war die Entscheidung, weil Bundesregierung und Große Koalition seit Jahren eine Gesetzesaktualisierung verschleppen.

Wer sich eine Einwilligung von Nutzer:innen holen möchte, um auf ihren Geräten Werbe-Cookies zu speichern, darf das Ankreuzkästchen nicht vorher für sie ausfüllen. Das hat am heutigen Donnerstag der Bundesgerichtshof nach einem jahrelangen Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und dem Glücksspiel-Unternehmen Planet 49 entschieden.

Planet 49 wollte bei einem Online-Gewinnspiel die Einwilligung der Teilnehmenden dafür einholen, auf ihren Geräten Cookies zu speichern. Mit diesen können Werbepartner/innen ihre Nutzer/innen wiedererkennen und Informationen über ihr Online-Verhalten sammeln, um Werbung auf sie zuzuschneiden. Der vzbv hatte argumentiert, dass dieses Vorausfüllen nicht den Vorgaben von EU-Datenschutzgesetzen entspricht, nach denen Einwilligungen aktiv, informiert und freiwillig erteilt werden müssen.

Der BGH hat sich nun auf die Seite der Verbraucherschützer:innen gestellt. Er folgt damit der Rechtsauffassung des Europäischen Gerichtshofes, der 2019 mehrere Grundsatzfragen zu dem Fall entschieden hat. Das Gericht sieht in vorausgefüllten Cookie-Einwilligungen eine unangemessene Benachteiligung der Nutzer:innen. Dies gelte sowohl unter der EU-Datenschutzgrundverordnung als auch unter älteren Datenschutzregeln der EU. Nicht von der Entscheidung betroffen sind Cookies, die für den Betrieb von Websites notwendig sind.

BGH kritisiert manipulatives Design

Auch eine zweite Einwilligung von Planet 49 war laut dem BGH nicht rechtskonform. Mit dieser sollten Teilnehmer/innen des Gewinnspiels bestätigten, dass sie von diversen Firmen telefonisch und schriftlich für Werbezwecke kontaktiert werden dürfen. Dabei bestand die Möglichkeit, die Werbefirmen aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Sofern man keine Auswahl getroffen hat, behielt sich Planet49 das Recht vor, selbst die Entscheidung zu treffen.

Diese Einwilligung habe nicht den rechtlichen Vorschriften an die Informiertheit der Nutzer:innen entsprochen, „weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen“, so der BGH.

Mit der Entscheidung rücken einmal mehr die Gestaltungsfragen von Nutzungsoberflächen in den Vordergrund. Datenschützer:/nnen kritisieren seit langem, dass durch manipulatives Interface-Design, auch „Dark Patterns“ genannt, die Entscheidungshoheit von Nutzer/innen eingeschränkt werde. Die Datenethikkommission der Bundesregierung hatte 2019 empfohlen, wirksamer gegen die Masche vorzugehen. 2018 hatten mehrere zivilgesellschaftliche Organisationen Datenschutzbeschwerden wegen der Verwendung von Dark Patterns durch Google eingelegt. Erst vor wenigen Tagen hatte ein Think Tank mehrere konkrete Vorschläge gemacht, wie Politik und Behörden das Thema aktiver angehen können.

Wie das Telemediengesetz zum Problem wurde

Das Gericht setzt mit seiner Entscheidung zur Gestaltung von Online-Einwilligungen auch einen Schlussstrich unter eine jahrelange Debatte zwischen Werbeindustrie und Daten- sowie Verbraucherschützer:innen. Denn auch wenn die Datenschutzgrundverordnung (DSGVO) klare Anforderungen an die Einwilligung formuliert, herrscht beim Thema Online-Tracking in Deutschland bisher Chaos, weil Parlament und Regierung die Aktualisierung des Telemediengesetzes jahrelang verschlafen haben.

In dem Gesetz heißt es nämlich heute noch, dass die Betreiber/innen von Websites und anderen Telemediendiensten für Werbezwecke individuelle Nutzungsprofile erstellen dürfen. Einzige Einschränkung: Die Daten dürfen nicht unter Klarnamen gespeichert werden, sondern unter einem Pseudonym. Nutzer/innen haben außerdem ein Widerspruchsrecht.

Für Seitenbetreiber/innen ist das eine ziemlich komfortable Regelung, doch mit der Datenschutzgrundverordnung ist sie nicht vereinbar.

Das jedenfalls sagen die deutschen Datenschutzbehörden. Einen Monat vor Inkrafttreten der DSGVO im Mai 2018 veröffentlichte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder eine Positionsbestimmung zum Online-Tracking [PDF]. Die entsprechenden Regelungen des Telemediengesetzes seien unter der DSGVO nicht mehr anwendbar. Stattdessen bräuchten Tracking-Dienste, die individuelle Profile erstellen wollen, eine explizite und vorherige Einwilligung – Opt-In statt Opt-Out.

Zwischen Einwilligungsmüdigkeit und Entmündigung

Wenig überraschend lehnt die Online-Werbewirtschaft diese Sichtweise der Datenschutzkonferenz ab. Viele Websites haben daher ihre Praxis nicht geändert. Selbst wenn Einwilligungs-Banner erscheinen, sind sie oft vorausgefüllt oder lassen Nutzer:innen gar keine Entscheidungsmöglichkeit. Die Folge: allgemeine Einwilligungsmüdigkeit. Fast automatisch klicken wohl die meisten auf „Zustimmen“, sobald sich der Cookie-Hinweis ins Bild schiebt.

Ein Jahr später hat die Datenschutzkonferenz deshalb nochmal nachgelegt. In einer ausführlichen Orientierungshilfe [PDF] stellten die Aufsichtsbehörden im April 2019 dar, unter welchen Bedingungen Tracking erlaubt ist. Wieder kommen die Datenschützer zu dem Ergebnis: In den allermeisten Fällen benötigen Anbieter eine explizite Einwilligung der Betroffenen. Eine Abwägung zwischen den Interessen der Betroffenen und denen der Werbetreibenden müsse in den meisten Fällen ergeben, dass das Schutzbedürfnis der Nutzer:innen überwiege.

Außerdem könne es nicht als Einwilligung angesehen werden, wenn Menschen nicht auf das Tracking-Banner reagieren, sondern einfach weiter auf der Seite surfen. Auch vorausgefüllte Kästchen seien nicht erlaubt.

Irreführende Rechtslage seit 2009

Es gibt zudem bereits eine EU-Richtlinie, die das Thema Online-Tracking seit 2009 explizit regelt: die 2002 verabschiedete und 2009 überarbeitete ePrivacy-Richtlinie. Als kleine Schwester der Datenschutzgrundverordnung ergänzte und spezifizierte sie die alte EU-Datenschutzrichtlinie von 1995.

Eigentlich sollte sie im Anschluss an die Verabschiedung der Datenschutzgrundverordnung generalüberholt und spätestens im Frühjahr 2018 verabschiedet werden. Gerade in Sachen Online-Tracking sollte die Richtlinie, die dann zur ePrivacy-Verordnung aufgewertet worden wäre, Nutzer/innen mehr Selbstbestimmung ermöglichen. Verabschiedet wurde die Verordnung jedoch bis heute nicht, zu groß ist der Druck der Werbeindustrie.

Das führt zu der bizarren Situation, dass die Datenschutzgrundverordnung dem Online-Tracking nach Auslegung der Datenschutzbehörden engere Grenzen setzt als es das deutsche Datenschutzrecht formell tut.

Aktive Zustimmung oder aktive Ablehnung?

Noch dazu kommt, dass bereits die deutsche Umsetzung der alten ePrivacy-Richtlinie mangelhaft gewesen ist. Denn schon in ihr heißt es seit 2009, dass Nutzer:innen Online-Tracking bewusst zustimmen müssen. Die deutsche Opt-Out-Regelung hat dieser Vorgabe nicht entsprochen. Das sagen die deutschen Datenschutzbehörden und das sagte auch der EuGH in seiner Erklärung zum Fall Planet 49.

Der BGH ermöglicht der Bundesregierung mit seiner kreativen Rechtsauslegung nun aber ihr Gesicht zu wahren. Er bestätigt zwar, dass Werbe-Cookies ein aktives Opt-In voraussetzen, sagt aber, dass dies auch aus der alten Formulierung im Telemediengesetz hervorgehe. Dort steht zwar, dass Nutzer/innen aktiv widersprechen müssen, wenn sie mit der Sammlung ihrer Daten nicht einverstanden sind, der Gesetzgeber habe damit aber in Wirklichkeit gemeint, dass sie aktiv zustimmen müssen.

Für die Praxis ist diese Frage am Ende egal. Denn so oder so stellt der BGH mit seinem Urteil klar: Wer Nutzer/innen heute noch Cookie-Einwilligungen unterjubelt, handelt illegal.

(Bundesgerichtshof, Urteil vom 2805.2020 – I ZR 7/16 – Cookie-Einwilligung II)

En Beitrag von Ingo Dachwitz auf Netzpolitik.org – Creative Commons BY-NC-SA 4.0.
(Foto: BGH in Karlsruhe, ComQuat CC BY-SA 3.0)

Jahresrückblick Netzpolitik

27. Dezember 2018

Auch 2018 ist netzpolitisch viel in Bewegung gewesen: Vom Cambridge-Analytica-Skandal und dem Start der Datenschutzgrundverordnung über diverse Upload-Filter-Debatten bis zur Welle der verschärften Polizei- und Überwachungsgesetze überall in Deutschland. In ihrem letzten diesjährigen Podcast des Jahres schauen di Macher von Netzpolitik.org  auf die wichtigsten Entwicklungen.

Constanze Kurz und Ingo Dachwitz Anfangs steigen mit einem ganzen Themenkomplex ein, der die Meinungsfreiheit, die Diskussion um die Bekämpfung von „Hassrede“ im Netz, die geplanten technischen Maßnahmen zur Inhaltsfilterung und auch die Folgen bereits umgesetzter politischer Pläne betrifft. „Wir sprechen über die Entwicklungen des Jahres 2018 bei Upload-Filtern und das vor allem in den ersten Monaten noch immer heißdiskutierte Netzwerkdurchsetzungsgesetz.“

Ebenfalls noch am Anfang des Jahres entfaltete sich der Facebook-Cambridge-Analytica-Skandal, der sich im Laufe des Jahres zu einer Art Facebook-Krise ausweiten sollte. Der Werbekonzern hat zweifelsohne kein gutes Jahr hinter sich.

„Ein gutes Jahr hatten jedoch auch einige Landesinnenminister nicht, da sie aufgrund geplanter Polizeigesetze recht überraschend mit massiven Protesten und heftigen Diskussionen umzugehen hatten. Wir sprechen über das schärfste Polizeigesetz, das in Bayern in Kraft trat, aber auch über die vielen gesetzlichen Maßnahmen in weiteren Bundesländern, die für erhebliche Diskussionen sorgten: beispielsweise Staatstrojaner, Präventivhaft oder Fußfesseln. Es geht uns aber auch um „Gefährder“ und die Vorverlagerung von polizeilichen Eingriffsbefugnissen.“

„Ein weiterer Schwerpunkt des Jahres 2018 war die EU-Datenschutzgrundverordnung („DSGVO“), die wir ebenfalls im Podcast besprechen. Die Abmahnängste und die Defizite der zuständigen Behörden sind uns ein paar Anmerkungen wert, aber auch die aktuelle Lage beim dazugehörigen Europa-Thema ePrivacy.“

„Wir unterhielten uns außerdem kurz über Themen wie das umstrittene Vorhaben von „Hackback“-Operationen, über die Südkreuz-Ergebnisse, über den KI-Hype und über die Urteile aus Straßburg, die menschenrechtliche Fragen der Massenüberwachung betreffen. Unvermeidlich war es auch, ein paar Bemerkungen über Heimatminister Horst Seehofer sowie seinen einstigen Vertrauten Hans-Georg Maaßen zu verlieren. Schließlich haben auch sie das Jahr 2018 geprägt“.

Der gesamte netzpolitische Jahresrückblickspodcast mit Constanze und Ingo zum dauert 60 Minuten.

Hier ist der netzpolitische Jahresrückblickspodcast mit Constanze und Ingo als mp3-Datei zum Download. Alternativ gibt es ihn auch als ogg-Datei zum Download.


Spenden für die Freiheitsrechtler von Netzpolitik geht so:

alle und mein Hund

28. Mai 2018

„Eine Woche der Belehrungen, Begrüßungen, Beleidigungen und Verwünschungen liegt hinter uns. Die DSGVO sorgte dafür, dass jede nur denkbare Reaktion auf den Datenspeicherwunsch irgendwelcher Firmen in der Inbox aufklatschte. Mal war ein ausdrückliches JA erwünscht, mal ein NEIN, wenn man nicht gelöscht werden wollte. Mal wurde großartig erklärt, man brauche GAR NIX zu tun, mal war ein Klick auf einer URL gefragt, die zu einem Button führte, der getätigt werden musste, und eine erneute Mail auslöste, die bestätigt werden musste. Mal wurde eine Organspendeerklärung verlangt, mal eine Zahlung per Paypal. Mal mit kumpelhaftem „Hallo Du“ in der Ansprache, mal barsch wie ein Schleifer beim Militär. Welchselbiges übrigens eine originelle Fax-Lösung präsentierte.

Die große Symphonie der Digitalisierung, von der Huawei in seiner Mail zum Thema schwärmte, erwies sich als echte Kakafonie. Das Absurditätenkabinett und die Ruhmeshalle der GDPR waren in Nullkommanichts gut gefüllt, noch ehe die übliche Bitkom-Klage zum Untergang der deutschen IT-Industrie eintrudelte. Passend zur Bandbreite der Reaktionsmöglichkeinten fiel natürlich die Meinung der Experten aus, vom Größten Anzunehmenden Unsinn vom Ende des Bloggens bis zum lauten Jubel über den Festtag des Datenschutzes war alles dabei. Nur wenige sahen in der neuen Verordnung nüchtern eine notwendige Zumutung. Jetzt warten alle und mein Hund auf diese sagenhaften Abmahnanwälte, die in fast jedem Artikel mitsamt ihrer Fantastilliarden erwähnt wurden. Wer hat Angst vor Virginia Woolf?

 

Auf den Punkt gebracht von Fal Faber (WWWW) bei heise.de

Überwachung

25. Mai 2018

Was im DSGVO-Hype untergeht: Seit heute speichert die Polizei Reisedaten aller Auslandsflüge und zwar Name, Anschrift, Telefonnummer und IP-Adresse – diese und viele weitere Daten speichert das Bundeskriminalamt (BKA) ab heute von allen Passagieren von Auslandsflügen. Fünf Jahre lang dürfen Behörden diese Daten speichern, analysieren und mit anderen Staaten teilen. Kritiker sprechen von einer Rasterfahndung.

Ganz gleich ob Kurzurlaub oder Langstreckenflug: Ab heute speichert das Bundeskriminalamt Informationen über Passagiere auf allen Flügen von und nach Deutschland für bis zu fünf Jahre. Unter anderem werden Name, Flugverbindung, Sitzplatz und spezielle Essenswünsche gespeichert. Aktivisten, Politiker und Juristen äußern große Zweifel an der Verfassungsmäßigkeit der Überwachungsmaßnahme.

Die sogenannte Fluggastdatenspeicherung verpflichtet Airlines, eine lange Liste von Informationen über jeden Reisenden eines Auslandsflugs an das BKA zu übermitteln. Jeder Datensatz besteht aus bis zu 60 Einzeldaten. Fünf Jahre lang darf das BKA die Daten speichern, rastern und mit weiteren Datenbanken vergleichen. Nach sechs Monaten müssen diese Daten zwar „depersonalisiert“ werden, um nicht mehr unmittelbar einer bestimmten Person zugeordnet werden zu können. Eine richterliche Anordnung kann dies jedoch bei Bedarf rückgängig machen.

Grundlage für die massenhafte Speicherung ist eine EU-Richtlinie aus dem Jahr 2016. Sie verpflichtet die Mitgliedstaaten, bis zum heutigen Datum ein System zur Fluggastdatenspeicherung in ihren Ländern einzuführen. Dazu verabschiedete der Bundestag im letzten Jahr eine Änderung des BKA-Gesetzes. Bereits seit längerem bestehen Abkommen über den Austausch von Fluggastdaten zwischen der EU und den USA, Australien und Kanada.

Zugriff für Geheimdienste

Neben dem BKA bekommen auch viele andere Institutionen Zugriff auf die sensiblen Daten aller Flugreisenden, darunter Landeskriminalämter, Bundespolizei, Verfassungsschutz, Militärischer Abschirmdienst, Bundesnachrichtendienst, Europol und andere Staaten.

Jedes Jahr reisen 170 Millionen Menschenmit dem Flugzeug von oder nach Deutschland. Bei bis zu 60 einzelnen Daten pro Reisenden entsteht schnell ein riesiger Datenberg – mit immensen Kosten. Allein 78 Millionen Euro hat die Schaffung der neuen „Fluggastdatenzentralstelle“ gekostet, schätzt das Bundesinnenministerium. Jedes Jahr fallen weitere 65 Millionen Euro für deren Unterhalt an.

Erkennung „verdächtiger“ Reisemuster

Die Kosten nimmt das Ministerium gerne in Kauf. Schließlich verspricht es sich Großes: „Die Verarbeitung von Fluggastdaten dient der Verhütung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität“, schreibt das BMI auf einer Informationsseite. Dazu gleicht das BKA die Daten mit Polizeidatenbanken und Fahndungslisten ab. Zusätzlich wird jeder Datensatz präventiv auf als verdächtig geltende Reisemuster überprüft. So möchte das BKA bislang unerkannte Verdächtige entdecken.

Auf der Strecke bleiben dabei Grund- und Bürgerrechte, warnen Kritiker. Der Abgleich von Reisemustern stelle „faktisch eine Rasterfahndung“ dar, schrieb Rechtsprofessor Clemens Arzt in einer Stellungnahme an den Bundestag. Der Jurist bezeichnet die Fluggastdatenspeicherung darin als „eine völlig neue Dimension anlassloser Massenüberwachung“.

„Sicherheitspolitisch kontraproduktiv“

Grüne und Linke lehnen das Gesetz ab. Die massenhafte Speicherung setze die Unschuldsvermutung außer Kraft, kritisiert Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen. „Das massive, anlasslose Horten von Daten erhöht die Sicherheit nicht und gefährdet Grundrechte massiv. Sicherheitspolitisch ist es letztlich kontraproduktiv, da so der Blick für tatsächliche Gefahren und ihre zielgerichtete polizeiliche Abwehr erschwert wird“, sagte von Notz gegenüber netzpolitik.org.

Linken-Politikerin Martina Renner verweist auf die Erfahrungen von Großbritannien, das bereits seit 2004 ein System zur Fluggastdatenspeicherung nutzt. „Terrorismus oder organisierte Kriminalität in Zusammenhang mit Steuerbetrug und Geldwäsche konnten so leider nicht verhindert werden. Auch die Ausreise von 500 Dschihadisten aus Großbritannien nach Syrien und in den Irak war unter dem System möglich“, sagte Renner auf Anfrage. Die Bundestagsabgeordnete hält die Speicherung in dieser Form für unvereinbar mit Daten- und Grundrechtsschutz.

Ausweitung auf Bus und Bahn?

Während die EU einerseits den Datenschutz durch die neue Grundverordnungstärke, zeige die zeitgleiche Einführung der Fluggastdatenspeicherung wie wenig sie sich für das Grundrecht interessiert, kritisiert Elke Stevens. Die Geschäftsführerin der Digitalen Gesellschaft sagte gegenüber netzpolitik.org: „Der Schutz personenbezogener Daten wird grundrechtswidrig verletzt. Dieser Massenüberwachung und Vorratsdatenspeicherung kann man sich nicht entziehen. Eine Opt-Out-Lösung bleibt nur denen, die aufs Fliegen verzichten können und wollen.“

Schon jetzt gibt es Forderungen, die Massenspeicherung auf die verbleibenden Verkehrsmittel auszuweiten. Nicht zuletzt Belgien drängt die europäischen Gremien immer wieder, seinem Vorbild zu folgen und auch Bus-, Schiffs- und Bahnreisende in die Speicherung mit einzubeziehen. Das würde die endgültige Totalüberwachung jeglicher Mobilität bedeuten.

Eine Liste aller gespeicherten Daten findet sich auf Wikipedia und einer Informationsseite des BMI.

(gefunden bei netzpolitik.org CC  BY-NC-SA 4.0.)

Whats los?

15. April 2018

Der Instant-Messaging-Dienst WhatsApp will – so Heise online, angeblich seine Nutzungsbedingungen ändern und das Mindestalter auf 16 Jahre heraufsetzen. Anlass dürfte die EU-Datenschutzgrundverordnung sein, die das Verarbeiten personenbezogener Daten Minderjähriger neu regelt. Das meldet das gewöhnlich gut unterrichtete Fan-Blog WABetaInfo per Twitter.

Aktuell setzt der zu Facebook gehörende und kostenlose Dienst ein Mindestalter von 13 Jahren voraus, „bzw. so alt, wie es in deinem Land erforderlich ist, damit du berechtigt bist, unsere Dienste ohne elterliche Zustimmung zu nutzen“ heißt es in dem genauen Wortlaut der Nutzungsbedingungen. Umgesetzt werden soll das neue Mindestalter laut dem Tweet spätestens bis zum 25. Mai.

Der Grund für dieses Datum dürfte die ab Mai gültige EU-Datenschutzgrundverordnung (DSGVO) sein, in deren Artikel 8 die „Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft“ geregelt ist. Danach ist die Verarbeitung von personenbezogenen Daten eines Kindes erst dann rechtmäßig, wenn es das 16. Lebensjahr vollendet hat.

Die Mitgliedsstaaten der EU können allerdings durch Rechtsvorschriften eine niedrigere Altersgrenze vorsehen, jedoch nicht unter 13 Jahren, was den aktuellen Nutzungsbedingungen von WhatsApp entspricht. Ob eine weltweite Anhebung des Mindestalters erfolgt oder ob nur bestimmte Länder betroffen sind, erwähnt WABetaInfo nicht. Bei der Verabschiedung der neuen EU-Datenschutzgrundverordnung war die Frage des Mindestalters insbesondere für die Nutzung sozialer Netzwerke heftig umstritten.

Falls es zu der Änderung kommt, bleibt abzuwarten, wie mit bereits registrierten Benutzern umgegangen wird, die das 16. Lebensjahr zu diesem Zeitpunkt noch nicht vollendet haben. Da WhatsApp kein Alter abfragt, kann diese Aufgabe eigentlich nur vom Play- bzw. App-Store übernommen werden, sofern die dort gemachten Angaben der Wahrheit entsprechen.

Heute organisieren sich aber bereits Kinder in der Grundschule, spätestens jedoch ab der fünften Klasse in WhatsApp-Gruppen und die Eltern haben kaum eine Möglichkeit die Zustimmung zu verweigern, soll das eigene Kind nicht als Außenseiter dastehen. Eine strengere Kontrolle, entsprechende Aufklärung und angebotene Alternativen müssten die EU-Datenschutzverordnung begleiten, um Kinder vor den möglichen Gefahren zu schützen, auch wenn diese Alternativen nicht immer kostenlos sind.

Ein deutsches Gericht stellte 2016 fest, dass WhatsApp für Kinder und Jugendlich unter 16 Jahren grundsätzlich eine Gefahr für ihre Privatsphäre und ihre Entwicklung darstelle. Das Gericht verurteilte einen Vater dazu, den Chat-Client von den Smartphones seiner damals minderjährigen Töchter zu entfernen.

Kürzlich hatten Verbraucherschutzorganisationen in den USA eine Beschwerde bei der US-Handelsaufsicht FTC gegen den Google-Videodienst YouTube eingereicht, weil dieser ein Mindestalter von 13 Jahren vorschreibe, aber Inhalte für deutlich jüngere Nutzer anbiete, entsprechend darauf zugeschnittene Werbung schalte und damit erheblich Einnahmen erziele. Zudem erhebe YouTube nutzerspezifische Daten von Minderjährigen ohne Zustimmung der Eltern. Beides verstößt nach Ansicht der Beschwerdeführer gegen das geltende US-Internet-Kinderschutzgesetz und könnte Strafzahlungen nach sich ziehen.

 

`(Quelle: Heise online)