Die zweite, übrarbeitete und erweiterte Auflage 2021 ist da!
Der Inhalt der dritten Auflage ist ident mit der zweiten. Ich habe nur den Druckanbieter gewechselt und brauchte daher eine neue ISBN.
And there is an ENGLISH VERSION!
Elende Passwortregeln, unverständliche Pop-Ups, mittendrin die ewig klingelnde WhatsApp-Gruppe und Datenskandale überall. Wer sind „die“ überhaupt, die meine Daten haben? Und was heißt das eigentlich?
Klaudia Zotzmann-Koch erklärt die Hintergründe, warum viele Datenflüsse problematisch sind und zeigt, was jede:r in wenigen Minuten selbst tun kann, um online sicherer unterwegs zu sein.
-> Empfehlungen für Messenger, eMail, Browser, etc.
-> Updates, weitere Links und Quellen zu den Inhalten
Bezugsquellen
Als eBook erhältlich direkt bei mir. Und sonst u.a. bei:
ameis Buchecke | Amazon | Apple Books | buecher.de | eBook.de | Hugendubel | Kobo (de / at) | Nook (Barnes & Noble) | Thalia (de / at) | Weltbild (de / at / ch)
In gedruckter Form erhältlich u.a. bei:
digitalcourage.de | ameis Buchecke | Tredition | Autorenwelt Shop | Amazon | buch7.de | genialokal.de
Leseprobe
Vorwort zur zweiten Auflage
Als ich die erste Auflage im November 2019 schrieb, hatte ich zwar eingeplant, das Buch immer wieder mal zu aktualisieren – der Grund übrigens, warum es kein Hörbuch davon gibt, weil ein solches aktuell zu halten nahezu unmöglich ist. Ich hatte nur nicht damit gerechnet, dass es so schnell eine Überarbeitung brauchen könnte. Üblicherweise mahlen die Mühlen der Gerichte und Gesetzgebung langsam und jahrelange In-Netzwerke sind jahrelange In-Netzwerke. Der Brexit war lang angekündigt und wenig überraschend ist UK jetzt datenschutzmäßig ein Drittland. Auch der Fall des PrivacyShields war lang vorhergesehen, aber dass es doch endlich mal passieren würde, daran hatte schon fast niemand mehr geglaubt. Ich bin gespannt, wie viele Neuauflagen es noch braucht, bis die ePrivacy-Verordnung endlich in Kraft tritt. Der Januar 2021 hat mit dem spontanen Aus-der-Gnade-Fallen von WhatsApp und dem starken Zulauf beim Messenger Signal einen weiteren unvorhergesehenen Meilenstein für den Datenschutz geliefert. Und so passieren immer kleine Schritte, die alle zusammen uns als Gesellschaft weiterbringen.
Das alles passiert natürlich nicht aus heiterem Himmel oder weil »die da oben« sich einfach drum kümmern, weil’s auf ihrer To-Do-Liste steht. Das alles passiert, weil viele Menschen wie Du und ich sich mit den Themen auseinandersetzen, recherchieren, darüber reden. Zum Beispiel mit der Nachbarin. Und die trifft im Kindergarten beim Abholen den Vater eines anderen Kindes. Und der ist im Landtag. Und so geht die Sache weiter. In Neusprech wird das »Grassroots-Bewegung« genannt. Eine Bewegung, wo Themen von unten nach oben sickern.
Und etwas mehr als ein Jahr später sitze ich hier und aktualisiere ein Sachbuch über Datenschutz, bei dem sich einige Teilbereiche mittlerweile geändert haben – zum Besseren. Dank Dir und all den Menschen, die über die Themen lesen, weiter recherchieren, drüber reden, bloggen, podcasten und auf Social Media posten. Und die hinterfragen, wenn bestimmte Software von US-Konzernen im Bildungsbereich eingesetzt werden soll. Die nicht alles hinnehmen, was Typen in Anzügen für viel Geld an ahnungslose Menschen in Zugzwang verscherbelt haben. Gut so. So funktioniert eine aufgeklärte Gesellschaft und so funktioniert Demokratie.
Ja, manche Debatte ist mühsam und macht keinen Spaß. Wer weiß das besser als ich, die (auch noch als Frau) versucht, für das Thema Datenschutz eine Lanze zu brechen … Aber es ist gut, wenn sie geführt werden. Nichts ist tödlicher für eine Debatte als »toxische Positivität« – das Wort habe ich 2020 gelernt. Es bezeichnet den Zustand, wenn eine Stimmung oder Gruppenkultur vorherrscht, in der nichts Aufreibendes gesagt werden darf. Wo jeder Konflikt und jede Diskussion über Missstände ums Verrecken vermieden wird. Wo Diskussion und gemeinsame Konsensfindung in Anbetracht aller Fakten unerwünscht ist. Toxische Positivität bringt uns gesellschaftlich nicht weiter, so wie sie auch den Dackelzüchterverein nicht weiterbringt, weil Missstände nie aufgezeigt werden dürfen. Übrigens ist »Trollen« die zweite Art, mit der wir kein Stück weiterkommen; also das opportunistische Auf-Alles-Draufschlagen, bis die Parteien der Diskussion so gespalten sind, dass keine Kommunikation mehr möglich ist. Dazu gehört auch »Derailing«, also das Ablenken vom Thema und ebenso »Whataboutism«, also ebenfalls Ablenken, aber mit der Frage »aber was ist mit XY, die auch ein Problem haben?!«.
Es ist großartig, dass Du Dich hier mit einem sich zwar langsam wandelnden, doch noch immer für viele aufreibenden Thema beschäftigst. Wir brauchen als Gesellschaft Menschen, die sich mit den kritischen Themen befassen. Die auf Wissenschaftler:innen und in dem Fall Datenschutzexpert:innen und auch IT-Forensiker:innen vertrauen. Die genau hinschauen, was tatsächlich in so einer Software passiert, welche Daten vielleicht erhoben und irgendwohin übertragen werden, wo sie nichts zu suchen haben. Und die dann die Frage stellen: qui bono? Wo fließt hier das Geld?
Danke, dass Du ein Teil davon bist. Und danke, dass Du Dich mit den Themen auseinandersetzt, die mir – wie einer größer werdenden Gruppe an Menschen – sehr am Herzen liegen. Viel Spaß beim Lesen und beim Entdecken der vielfältigen Möglichkeiten, es anders zu machen.
Wie ich selbst von einer »normalen Anwenderin« zur »zertifizierten Datenschutzexpertin« wurde
Diesen Teil kannst Du gerne überspringen. Die spannenden Teile, warum Du Dich mit Privatsphäre beschäftigen solltest und was alles geht, kommen ab Kapitel 1.
Es ist noch gar nicht so lange her, da war ich eine normale Internetnutzerin. Ich hatte seit 2007 ein Facebook-Konto, nutzte Gmail und web.de und davor auch Myspace und StudiVZ. Ich arbeitete mit Google Docs und nutzte Google Maps, wenn ich mich irgendwo nicht auskannte. Ich »skypte« regelmäßig mit meiner Mutter und meiner Oma, hatte Evernote und Dropbox auf allen meinen Geräten und insgesamt wenig Ahnung, wie das Internet funktioniert, wie Werbetechnologien arbeiten und all die anderen Sachen, von denen später noch die Rede sein wird. Ich hatte sogar mal Kundenkarten.
Dann wechselte ich von der Uni zu einer Vollzeitstelle als Projektmanagerin in der Webentwicklung und lernte, wie das Internet funktioniert, wie man große Webseiten, Onlinespiele und Apps baut und auch, wie man Tracking, also Besucherzählung und Analyse von Nutzer:innenverhalten, einbaut und nutzt. Zu dem Zeitpunkt war es mein Job, Kundenprojekte zu begleiten und umzusetzen und noch immer war ich mit Facebook-Veranstaltungen und -Fotoalben und allem oben genannten fleißig dabei.
Und dann gab es mehrere Ereignisse in meinem Leben, nach denen ich das vage Gefühl hatte, dass mir »Die« zu nahe auf die Pelle rückten. Personalisierte Werbung über mehrere Geräte hinweg war mir unangenehm. Bei einem Skiurlaub wusste mein Exmann genau, wo ich gefahren war, bevor ich ihm davon erzählte, weil die Familienfreigabe im Telefon ihm live anzeigte, wo sich mein Telefon – und damit auch ich – befand. Auch abseits dessen empfand ich zielgerichtete Angebote und Informationen zunehmend als übergriffig. Dabei ging es gar nicht darum, dass ich »etwas zu verbergen« hatte. Ich erzählte meinem Exmann ja auch selbst, dass ich todesmutig mit dem Skikurs die Anfängerstrecken hinunter gerast war (mit vermutlich 10 km/h). Ich fand es nur irritierend, dass er es bereits wusste.
Genauso wie viele andere ging ich damals der Illusion auf den Leim, dass »etwas zu verbergen haben« gleichbedeutend sei mit »etwas verbrochen zu haben«.
Ich jubelte, als Anonymous Websites des IS übernahm und mit Werbung für Potenzmittel bespielte. Ich feuerte die Jungs und Mädels von Anonymous an: »Go, guys, go!« Und ich beschloss, mich näher mit diesem Thema »Internetsicherheit« zu beschäftigen.
Später im selben Jahr besuchte ich meine erste »Cryptoparty«, einen jener Abende, die es in quasi jeder größeren Stadt gibt, an denen man von fachkundigen Menschen lernen kann, wie man die eigene Privatsphäre schützen kann; beispielsweise wie man eMails verschlüsselt, wie man sein Telefon sicherer macht, etc. Ich wollte damals wissen, wie das mit dieser Verschlüsselung grundsätzlich funktioniert. Nicht wegen meines Exmanns, sondern weil ich schrecklich neugierig bin. Noch ein bisschen später zog ich dann bei ihm aus und wohnte zehn Wochen bei einem Kumpel auf der Couch, bis ich eine eigene Bleibe hatte. Während dieser Zeit war ich dann öfter im Wiener Hackspace, dem Metalab, weil ich dort mehr »Privatsphäre« hatte, als auf der fremden Couch. Ich lernte nicht nur, wie Verschlüsselung funktioniert und welche Messenger sinnvoller sind als andere und warum, ich lernte auch eine Menge Leute kennen, die im Bereich Datenschutz und IT-Sicherheit wissen, was sie tun.
Im selben Jahr fuhr ich sehr spontan nach Hamburg zum jährlichen Kongress des CCC, des Chaos Computer Clubs. Ich war überwältigt. Neben einem ausufernden Maß an Bunt und Blinken und vielen Spaß-Projekten wie beispielsweise einem Fernschreiber, dem man via Internet Nachrichten schicken konnte, die dann auf Lochstreifen ausgegeben wurden, gab es ein Vortragsprogramm, das sich gewaschen hatte. Nahezu alles wurde von den Teilnehmer:innen selbst angeboten. Keine bezahlten Vortragenden und schon gar keine »Keynotespeaker«, sondern alles Leute, die in ihren Dayjobs tagtäglich mit dem Zeug arbeiteten, über das sie sprachen. Die Vorträge hatten insgesamt ein derart hohes Niveau, das ich an der Uni nur selten erlebt habe. Bis heute: Hut ab.
Nach diesem Kongress wurde in Wien die lokale CCC-Niederlassung re-gegründet, die die letzten zehn Jahre eingeschlafen gewesen war. Gleich zu Beginn der Vereinstätigkeit wurden zwei große Projekte gestartet: »Chaos macht Schule« wurde von Deutschland nach Wien geholt. Das bedeutet, dass Menschen in ihrer Freizeit unbezahlt in Schulen gehen und dort Workshops zu Internetsicherheit und Medienkompetenz für Schüler:innen, Lehrende und Eltern abhalten. Viele von ihnen nehmen sich dafür extra einen halben Tag oder auch länger frei, um ehrenamtlich das zu kompensieren, was andere für viel Steuergeld in ihrer Arbeitszeit versäumen. Das andere Projekt, das im selben Jahr startete, ist die »PrivacyWeek«, die seither jährlich stattfindet, 2020 dann aufgrund der Gegebenheiten komplett online. Die PrivacyWeek ist eine ganze Woche voller Workshops, Vorträge, Kunstprojekte, Filmvorführungen, Diskussionsrunden und Austausch. Zielgruppe: jede:r, den:die die Themen Privatsphäre, Medienkompetenz, Internetsicherheit und Demokratie interessieren – weil wir unser Wissen und unsere Erfahrungen in die Gesellschaft tragen wollen. Ich bin sehr glücklich, dieses Projekt bis heute mit betreuen und gestalten zu dürfen.
Im Frühjahr 2016, wenige Wochen nach meinem ersten Congress, hatte ich aufgehört, Facebook zu nutzen. Ebenso Google Maps, die Google Suche, WhatsApp, Gmail, web.de, GMX und einiges andere, was mir nicht einmal mehr einfällt. Ich hatte noch Twitter und die eMail-Adresse, die mit dem Webspace meiner Domain gekommen war. Außerdem noch Skype für das sonntägliche Video-Telefonat mit meiner Familie. In meiner Erinnerung habe ich nicht einmal gemerkt, wie ich mich langsam aber sicher von all dem anderen verabschiedet hatte.
Ich begann, Vorträge darüber zu halten, welche Dienste datensparsamer sind als andere. Ich erzählte bei Autor:innen-Treffen davon, was Hacker:innen sind und was alles nicht. Und dass niemand, der:die sich mit Internetsicherheit auskennt, jemals »Cyber« sagt, ohne es ironisch zu meinen. (Weil das nämlich von »Kybernetik« kommt und absolut nichts mit dem zu tun hat, wofür es im Marketing und in den Medien verwendet wird.)
Ich lernte im nächsten Dayjob – wieder Projektmanagement Webentwicklung –, wie große Trackinganbieter wie Adobe, IBM und Oracle arbeiten und wie ihre Verträge aussehen. Allerdings machte ich wenig Projektmanagement, weil es dafür noch eine eigene Abteilung gab. Stattdessen sollte ich mich 14 Monate lang um Google Werbebanner kümmern. Ich erzählte meinem Arbeitgeber im Wochentakt, dass ich das nicht machen will und warum und kündigte schließlich, als ich noch mehr Werbebanner auf meinen Tisch bekommen sollte.
Stattdessen machte ich die Ausbildung zur Datenschutzbeauftragten. Ich hatte mittlerweile genug gelernt, dass ich mich mit dem Thema wohlfühlte und nach der Prüfung legte ich noch eine weitere bei der österreichischen Wirtschaftskammer zur Datenschutzexpertin ab.
Der 25. Mai 2018, also der Stichtag für die DSGVO, kam und zumindest in Österreich schien damit das Thema gestorben. Schlag Mitternacht war alles ruhig. Fünf Nachzügler-eMails kamen noch am 25. vormittags, ab dann: Totenstille. Ab dem Zeitpunkt schaute ich voller Bewunderung nach Deutschland und Frankreich wo Datenschutz tatsächlich durchgesetzt wurde. Von einigen nordischen Ländern ganz zu schweigen. Österreich schaffte es hingegen, drei Wochen vor dem Stichtag die lokale Gesetzgebung so anzupassen, dass »Verwarnen statt Strafen« im Datenschutzgesetz steht. Entsprechend lax ist zuweilen der Umgang mit Datenschutz und gerade mal das Minimum wird in vielen Firmen umgesetzt. Im November 2019 wurde von der Datenschutzbehörde mit der 18-Millionen-Euro-Strafe gegen die österreichische Post erstmals ein ernstzunehmendes Bußgeld gegen ein österreichisches Unternehmen verhängt; dafür, dass sie die politische Einstellung der in Österreich lebenden Menschen erhoben bzw. hochgerechnet und an Werbetreibende verkauft hat. Die Post wollte rechtlich gegen die Strafe vorgehen, weil sie darin ihr zentrales Geschäftsmodell gefährdet sieht. Und dann wurde es sehr still um den Fall. Aber wenn ein teilstaatlicher Betrieb sein zentrales Geschäftsmodell im Datenhandel mit sensiblen Daten sieht, sagt das ja auch schon sehr viel aus. Im Übrigen stellen die 18 Millionen ziemlich genau 1% ihres Jahresumsatzes dar. 4% wäre die mögliche Maximalstrafe gewesen. Die Datenschutzbehörde scheint also tatsächlich aktiv zu sein – ein Umstand, der in der Bevölkerung und bei den meisten Firmen nur sehr, sehr langsam sickert.
Bis jetzt nämlich gilt: Alle, die es sich leisten können, beauftragen ihre Haus- und Hof-Kanzleien, ungeachtet dessen, dass Datenschutz nur zum Teil ein juristisches Thema ist. Mindestens zur Hälfte ist es auch eine Sache von technischer Expertise. Einige haben dies bereits verstanden und ihre Teams divers aufgestellt – divers hier im Sinne der Mischung von Techniker:innen und Jurist:innen. Zwei meiner vergangenen Arbeitgeber setzten auf derart durchmischte Teams und die Arbeit zwischen Jurist:innen und Techniker:innen fand ich immer sehr bereichernd.
Auf den folgenden Seiten halte ich fest, was ich in den letzten Jahren gelernt habe.
Zitronenfalter falten keine Zitronen
»Datenschutz« klingt schon so staubig. Dabei geht es beim Datenschutz nur bedingt darum, Daten zu schützen. Zitronenfalter falten ja auch keine Zitronen.
Beim Datenschutz geht es darum, Menschen- und Persönlichkeitsrechte vor Missbrauch und Verkauf zu bewahren. Es geht darum, Eingriffe in unsere Grundrechte zu unterbinden. Es geht um Minderheitenschutz, Privatsphäre und höchstpersönliche Lebensbereiche. Es geht darum, was niemanden etwas angeht und dass das auch so bleiben darf. Es geht um gleiche Chancen für alle in unserer Gesellschaft, unabhängig von Finanzkraft, Herkunft oder gesellschaftlicher Stellung.
Der Knackpunkt beim Datenschutz ist, dass er ein Teamsport und kein individuelles Thema ist. Natürlich soll jede:r Einzelne auf seine oder ihre Geheimnisse aufpassen. Aber nur gemeinsam arbeiten wir effektiv daran, dass es für alle gleich fair zugeht. Jede:r kann noch so gut auf Datensparsamkeit achten; sobald eine Person aus der Gruppe WhatsApp auf dem Telefon installiert, werden alle Daten aus deren Adressbuch automatisch an Facebook übertragen. Auch die Daten derjenigen Personen, die selbst nie ein Facebook-Konto hatten oder eröffnen würden.
Die Privatsphäre der einen hört dort auf, wo die Unachtsamkeit der anderen beginnt. Oder Wurschtigkeit, wie man in Österreich wohl sagen würde.
Wer sind »Die« überhaupt?
Natürlich könnte ich jetzt hier von »Threatmodels« schreiben und weiß genau, dass 90% der Leser:innen an dieser Stelle frustriert das Buch schließen würden. Das ist auch nur das Technikerwort für »was ist Dein größtes Problem« oder »was ist Dein Bedrohungsszenario«.
Bedrohung? Aber ich fühle mich gar nicht bedroht! Ja, genau. Die Probleme, die das Internet und all die Technik mit sich bringen, sind leider nur selten sichtbar. Abgestumpft sind wir von all den Datenskandalen auch schon. Ich nehme mich nicht aus. So sehr es mich innerlich aufregt, entlockt es mir nur noch ein müdes Augenbrauenheben, wenn Facebook nahezu im Wochentakt den datensparsamen Vogel abschießt.
»Die«, das sind die üblichen Verdächtigen wie Facebook, Microsoft, Apple, Amazon und Google, aber nicht nur. Ganz vorne stehen beispielsweise Versicherungen, aber auch Krankenkassen, die nur allzu gerne vom Datenkuchen naschen. Wo früher Verkehrsbeobachtung, Bewertung von Wohngegenden und Anzahl von Versicherungsfällen einer Person berücksichtigt wurden, liegen mittlerweile quasi in Echtzeit Daten aus Kartenzahlungen, Verkehrsdaten aus Navigationsgeräten, Vitaldaten aus Fitnesstrackern, Werbeprofile über Einzelpersonen und vieles mehr vor, um zu bewerten, wie risikoreich oder (un)gesund eine Person lebt.
Daneben sind auch Banken sehr an unseren digitalen Spiegelbildern interessiert. Ihnen geht es in dem Fall oft um die Kreditwürdigkeit von Menschen. Obendrein kommen Kreditauskunfteien, die ein sehr großes Interesse an Deinen Lebensumständen haben.
Viele »Startups« sind aus verschiedenen Gründen regelrechte Datenlöcher. Manche achten bei ihrer Zieleverfolgung einfach nicht darauf, datensparsam vorzugehen und benutzen alles, was der Werbewerkzeugkasten so hergibt. Nicht nur für Werbung, sondern schon vorher, wenn es darum geht, ihre Apps, Services oder Webseiten mit den Softwarelösungen zu bauen, die große Anbieter wie Google oder Facebook gratis zur Verfügung stellen. Manche wollen auch bewusst vom großen Datenkuchen naschen und als ein Rädchen von tausenden in der Datenhandelsmaschinerie mitspielen.
Danach kommen Konzerne, Firmen, staatliche Stellen, Leute, die Geld machen wollen und last but not least: Menschen, die den Brexit und die Wahl Trumps zum US-Präsidenten, aber noch weitaus mehr konzertierte politische Einflussnahmen weltweit zu verantworten haben. Und zwischen all denen machen tausende Datenhändler eine Menge Geld damit, Datenmengen anzukaufen, abzugleichen, zusammenzuführen und weiterzuverkaufen.
Wenn Du mehr über staatliche Überwachung und die Maschinerie dahinter erfahren möchtest, kann ich Dir die Biographie von Edward Snowden »Permanent Record« sehr ans Herz legen.
Dass auch die staatliche Nutzung unserer privaten Daten ein Thema ist, zeigte im Januar 2020 der Clearview-Zwischenfall. Da wurde bekannt, dass eine Firma namens Clearview Fotos aus Facebook, Twitter, Youtube und anderen. Die Rede war von drei Milliarden Bildern. Daraus haben sie eine riesige Datenbank mit Gesichtsbildern von Menschen erstellt. Sie bieten ihre Dienste über 600 Behörden, aber auch privaten Unternehmen an. In einem Artikel der Zeit steht: »Clearview überwacht, nach welchen Personen die Polizei sucht«. Der ganz besonders beunruhigende Teil ist, dass Behörden Daten von Startups und Marketingunternehmen einkaufen, auf deren Basis sie Ermittlungen führen.
Klick und weg: DSGVO
Nee, bleib weg! Alles nur schwachsinniges Gelaber und alles ist viel komplizierter geworden! Mein Arzt will eine Einwilligung von mir, dass er mein Blut wie vorher auch immer ans externe Labor zur Untersuchung schicken darf! …
Ja, ich weiß. Es ist soviel Blödsinn passiert, dass die Wörter »DSGVO« genauso wie »Datenschutz« völlig verbrannt sind. Bei den Wörtern stellt es den meisten die Nackenhaare auf. Bis auf ein paar Leute, die freiwillig in dem Bereich arbeiten (ich zum Beispiel), hat kaum jemand positive Assoziationen dazu. Und zwar – leider – aus gutem Grund.
Versuchen wir es trotzdem, ja? Also: Was ist die DSGVO und warum wollen wir sie haben?
Die DSGVO, die europäische Datenschutz-Grundverordnung, ist tatsächlich ein großer Gewinn auf der Seite von Bürger:innen. Leider versäumten es die Regierungen sowohl in Deutschland als auch in Österreich (sowie auch in den meisten anderen europäischen Ländern), innerhalb der zwei Jahre Vorlaufzeit zwischen Inkrafttreten der DSGVO im Mai 2016 und ihrer tatsächlichen Ausführung am 25. Mai 2018, hilfreiche Informationen zu produzieren und flächendeckend auszugeben. Statt zwei Jahren, die eine relativ bequeme, tiefergehende Information und halbwegs entspannte Umsetzung ermöglicht hätten, blieben letztlich nur zwei Monate, um die Auflagen der DSGVO zu erfüllen.
Die zwei Monate vor dem Stichtag am 25. Mai 2018 waren überall hektisch. Zu Recht waren Websitebetreiber:innen, kleine und mittlere Unternehmen (KMU), Anwält:innen, Blogger:innen, Unternehmer:innen, Podcaster:innen, Vereine, Ärzt:innen, … unglücklich darüber, die strengen Auflagen der DSGVO für ihr jeweiliges Angebot in viel zu kurzer Zeit und ohne hinreichende Informationen umzusetzen; schließlich standen sie mit der Aufgabe im Dunkeln – allerdings allesamt in einem Boot und damit nicht alleine da. Immerhin. Eine Glanzleistung war die Kommunikation seitens Politik und Wirtschaftsvertretungen eindeutig nicht und ist sie in meinen Augen in den zwei vergangenen Jahren seit 2018 auch noch immer nicht geworden; obwohl es zumindest in den meisten Ländern mittlerweile einige hilfreiche Handreichungen für Unternehmen und Selbständige gibt. Die Datenschutzbehörden der Länder bieten häufig sehr gute Informationen und manche auch Beratung an und sind oft auch auf Social Media unterwegs und ansprechbar (zumindest auf Twitter und Mastodon). Und so langsam kommt auch etwas Bewegung in die Sache, was die Ahndung von Datenschutzvergehen angeht.
Viele beklagten sich 2018 darüber, dass die DSGVO schwammig formuliert ist und viele Details unklar seien oder fehlen. Das stimmt. Es war aber auch geplant, die DSGVO gemeinsam mit der ePrivacy-Verordnung an den Start zu schicken. Die ePrivacy-Verordnung soll all das beinhalten, was in der DSGVO an konkreter Umsetzung fehlt. Leider haben sich hier die Lobbyisten der Werbeindustrie durchgesetzt und die ePrivacy-Verordnung auf das Abstellgleis befördert. Anfang 2021 hat Portugal die EU-Ratspräsidentschaft übernommen und nur wenige Tage danach einen neuen Entwurf der ePrivacy-VO vorgelegt. Bleibt zu hoffen, dass jetzt wieder etwas Schwung in die Sache kommt.
2016 blieb allerdings nur noch die DSGVO übrig mit all ihren Höhen und Tiefen. Im Übrigen ist es ein himmelweiter Unterschied, zwischen dem Stempel »DSGVO-konform« auf einem Angebot, einer App, Webseite, … und tatsächlicher Datensparsamkeit. Die DSGVO sagt nämlich lediglich, dass die Betreiber angeben müssen, was mit den Daten passiert. Es sagt absolut nichts darüber aus, wie datensparsam ein Unternehmen, eine App etc. tatsächlich ist. Dies macht allerdings einen wichtigen Unterschied.
Der Großteil der Menschen, die Websites oder Onlineshops anbieten, Kundenverkehr etc. haben, haben es mittlerweile geschafft, die Auflagen umzusetzen. Für uns Bürger:innen und Konsument:innen das Sichtbarste sind dabei die Informationspflichten; also Aushänge mit Hinweisen auf Kameraüberwachung und die mittlerweile allgegenwärtigen Datenschutzerklärungen. Manche haben ihre Datenschutzerklärungen, sei es aus Angst, etwas falsch zu machen (und mit drakonischen Geldstrafen bedroht zu werden), sei es aus der Annahme, einen juristisch bindenden Text verfassen (und dafür einen teuren Anwalt engagieren) zu müssen, mit Hilfe von Datenschutzerklärungs-Generatoren verfasst, die zwar teils fehlerhafte Texte ausgeben, aber besser als nichts. Selber schreiben hätte in den meisten Fällen nicht viel länger gedauert und dann wüsste man wenigstens selbst, was drin steht. Aber das ist in der allgemeinen DSGVO-Panik vor dem 25. Mai 2018 auch völlig untergegangen. Mittlerweile sind zwei Jahre vergangen und es wird Zeit, die Datenschutzerklärungen mal durchzuschauen, ob denn alles darin noch so stimmt, oder ob sich in den vergangenen zwei Jahren vielleicht etwas geändert hat: neuer Hostingservice? Andere Vertragspartner? Neue Software im Einsatz? Alle, die Datenschutzerklärungen schreiben mussten, haben also jederzeit die Chance, selbst etwas über ihr Unternehmen und die Datenflüsse zu lernen. Und vielleicht auch etwas nachzujustieren, wo noch etwas besser geht.
Sei es, wie es sei, für Bürger:innen, Konsument:innen, Websitebesucher:innen, Kund:innen bietet die DSGVO völlig neue Möglichkeiten. Wir haben mit dieser EU-Verordnung ein Werkzeug an die Hand bekommen, mit dem wir überhaupt erstmals die Macht bekommen, unsere Privatsphäre einzufordern. Wir können (und sollten) lernen, diese Macht auch zu nutzen. Ganz langsam trauen sich immer mehr Menschen, Anfragen zu stellen, was mit den über sie und ihr Verhalten gesammelten Daten passiert. Mehr Menschen beschweren sich, wenn ihnen ein Datenverkauf nicht passt. Wie die Daten »verwurstet« und an wen sie weiterverkauft werden. Die Datenschutzbehörden haben dazu passende Formulare und Textvorschläge auf ihren Webseiten gesammelt. Wir haben die Möglichkeit, selbst der Sand im Getriebe einer ganzen Datenindustrie zu sein und den Verantwortlichen auf die Finger zu klopfen. Und das ist gut so, schließlich geht es um unsere digitalen Spiegelbilder und die Auswirkungen, die der Datenhandel direkt auf unser Leben, unsere Selbstbestimmung, unsere Grundrechte, die Demokratie und nicht zuletzt auf unsere Geldbeutel hat.
Nerv nicht! Sch* Banner und Pop-ups überall.
Alles DSGVO, oder was? Was sollen diese ganzen Popups und Warnmeldungen, die ich nicht verstehe und die immer nur im Weg sind?
Kommen wir dazu, dass viele, insbesondere große Websites wie Newsportale, große Webshops etc., die DSGVO, sagen wir mal, halb umgesetzt haben. Die DSGVO fordert nämlich leicht zu findende, für jede:n verständliche Informationen, welche Daten gesammelt werden, wozu und was genau (!) mit den Daten passiert. Ja, die meisten Seiten zeigen einen Hinweis, dass personenbezogene Daten verarbeitet werden. Aber schon alleine das Wozu und der Detailgrad, was damit dann passiert, an wen sie weitergegeben oder verkauft werden, da hapert es gewaltig. Außerdem ist der Hinweis meistens so verschwurbelt, dass keine:r versteht, was eigentlich mit den Daten wirklich passiert. Die Cookie-Banner nerven, die Popups auch, von den doppelten und dreifachen Newsletter-eMails müssen wir jetzt gar nicht anfangen und überhaupt ist Surfen im Netz anstrengend geworden. Aber:
Der Sinn der Sache ist, dass Nutzer:innen eine informierte Entscheidung treffen können, ob sie ein bestimmtes Angebot nutzen möchten – lies: ob ihnen das die Bezahlung wert ist; Mit Bezahlung ist gemeint, was auf der Plattform und darüber hinaus mit den Informationen über die Nutzer:innen geschieht. Marketing sei Dank sind die Erklärungstexte extra lang und so mühsam geschrieben, dass niemand Bock hat, sie zu lesen und alle den Hinweis nur wegklicken, womit sie bei den meisten Seiten automatisch in alles einwilligen, inklusive Datenhandel, Verfolgung und Profilerstellung über alle Geräte und das gesamte Internet hinweg.
Ja, da ist System dahinter. Anbieter von großen Onlineshops ebenso wie Hardwarehersteller usw. haben absolut kein Interesse an mündigen und aufgeklärten Bürger:innen. Sie machen es uns absichtlich schwer und umständlich, die Infos, die sie rechtlich geben müssen, zu finden, zu lesen und zu verstehen.
Wichtig: Du bist nicht zu doof, es wird Dir absichtlich schwer gemacht.
So schwer, wie möglich. Ich weiß es, ich habe versucht, in einem Unternehmen verständliche Datenschutzerklärungen einzuführen und mir wurde gesagt, es sei nicht im Interesse des Unternehmens, dass die Kund:innen lesen und verstehen können, in was sie mit Unterzeichnung des Vertrags einwilligen. Denken wir an das Beispiel der österreichischen Post: Ihr zentrales Geschäftsmodell ist laut ihren eigenen Aussagen der Datenhandel. Pakete austragen? Höchstens noch ein Seitenzweig.
Apropos Schwermachen und nervende Cookie-Banner. Ja, auch die sind häufig absichtlich sehr missverständlich gestaltet. Drauf verlassen, dass der gut sichtbare bunte Knopf die datensparsame Variante bestätigt, wäre vermessen. Da muss man aufpassen wie ein Schießhund, wirklich das Richtige zu klicken. Und ja, das geht allen so, selbst Menschen, die im Bereich Datenschutz arbeiten fallen oft genug auf die verwirrend gestalteten Cookie-Banner rein. Der Journalist Richard Gutjahr hat im Dezember 2020 ein Video veröffentlicht, wo er sich genau mit dem Thema auseinandersetzt. Angefangen damit, dass die alle so aussehen, weil das iab, das Interactive Advertising Bureau, also die Lobbyvereinigung der Online Werbeindustrie, sich diesen sogenannten Standard für das Design von Cookiebannern ausgedacht hat. Im Video sieht man, wie der Bayrische Datenschutzpräsident, Michael Will, im festen Glauben, alle Cookies deaktiviert zu haben, voll auf das verschachtelte Design reinfällt. Auch er ist in die Falle getappt, die uns von der Werbeindustrie täglich millionenfach gestellt wird.
Hinweis: Auch hinter dem unscheinbar grauen Link »berechtigtes Interesse« stecken noch vorausgewählt angeschaltete Tracker!
Das ganze Video ist übrigens eine große Empfehlung. Richard Gutjahr unterhält sich mit Tiemo Wölken, der als Abgeordneter in Brüssel arbeitet und sich sehr für Datenschutz stark macht. (Um das Video ohne Google-Tracking zu schauen, kannst Du den Dienst Invidio.us nutzen.)
