Leseprobe

Vorwort zur fünften Auflage

Ich weiß dieses Jahr nicht, wo ich anfangen soll. Es scheint seit der letzten Ausgabe so viel passiert zu sein. Das Auffälligste sind vielleicht ChatGPT und die Übernahme von Twitter durch Elon Musk, die auch in den Medien immer wieder für faszinierende Meldungen sorgt. Ausgelöst dadurch wurde die Social-Media-Welt kräftig umgekrempelt. Hunderttausende wechselten binnen weniger Wochen von Twitter ins Fediverse, die meisten zu Mastodon (was ein Teil des Fedivers ist) und mit einem Mal war dort richtig Leben in der Bude. 2023 haben sogar ARD und ZDF ihre eigenen Mastoden-Server eröffnet, seit 5. Mai postet die Tagesschau fleißig die Nachrichten und auch der Bundesgerichtshof, Bundesfinanzhof und die Stadt Freiburg sind schon im Fediverse vertreten. Es passiert richtig viel und jeder Ausfall eines anderen Social-Networks führt zu weiterem Wachstum. Bei Reddit sahen wir eine ähnliche Entwicklung. Dort wurde gestreikt – tausende ehrenamtlicher Moderatorinnen und Moderatoren haben sich zusammengetan und haben ihre jeweiligen Sub-Reddits für 48 Stunden auf Privat gestellt und damit unzugänglich gemacht: Reddit-Blackout. Viele der streikenden Unterforen sind im Fediverse gesichtet worden. In dem Fall nicht auf Mastodon, sondern auf der Forensoftware Lemmy, die ebenfalls Teil des Fediverse ist. Vor Kurzem ist bei Pixelfed, einer Fediverse-Alternative zu Instagram, die Möglichkeit online gegangen, die eigenen Instagram-Daten zu importieren. Und zuletzt wurde die Funktion freigeschaltet, sich bei Pixelfed mit einem Mastodon-Account anzumelden. Auch dort könnte es also bald voller werden. Und auf der anderen Seite, der der Plattformkonzerne, ist gerade das neue Netzwerk von Meta an den Start gegangen und hatte binnen kürzester Zeit Millionen an Nutzenden, die alle ihre aus Neugier angelegten Accounts nicht mehr löschen können ohne auch ihren Instagram-Account zu killen, weil die Funktion seitens Meta nicht vorgesehen ist. Kann man auch machen, wenn man sich mit einer reinen Anzahl registrierter Accounts brüsten möchte.

Apropos Facebook, das hat sich letztes Jahr noch medienwirksam in Meta umbenannt (also der Konzern, nicht die Plattform), vielleicht um allen weiszumachen, sie seien die Speerspitze des sogenannten Metaverse. Letzteres haben sie dort unlängst für tot erklärt und zeitgleich kundgetan, dass sie jetzt alles auf KI setzen. Von einer Obsession zur nächsten …

ChatGPT dürfte wohl auch an niemandem vorbeigegangen sein inklusive aller Probleme von Privatsphäre und Nutzunsdatenerhebung bis zu Urheberrechtsproblemen. Jetzt sind Blockchain und NFTs out und KI das neue heiße Dings auf Powerpoint-Folien. Währenddessen sind Google Analytics und Google Fonts noch immer illegal. Und die mehrseitigen Cookiebanner mit vorausgewähltem »berechtigtem Interesse« ebenso. Und das Meta (Facebook) Trackingpixel jetzt auch.

Wahrscheinlich hätte ich bei jeder dieser Nachrichten beschließen können, eine Neuauflage zu machen. Tatsächlich wartete ich auf das neue Datentransferabkommen mit den USA mit dem schwer auszusprechenden Kürzel TADPF, Trans Atlantic Data Privacy Framework, auch Privacy Shield 2.0 genannt. Damit haben sie sich redlich Zeit gelassen, aber am 10. Juli wurde es von der EU-Kommission dann angenommen und damit auf dem Papier einen Datentransfer in die USA wieder genehmigt. Technisch ändert sich nichts und ich gehe davon aus, in der nächsten Ausgabe bereits über eine neue Klage gegen das Abkommen berichten zu können.


Dafür waren der Digital Markets Act (DMA) und der Digital Services Act (DSA) schneller als erwartet und sind schon im Oktober 2022 als Verordnungen der EU verkündet worden. Wir als Bürgerinnen bekommen immer mehr Rechtsmöglichkeiten an die Hand, uns gegen Big-Tech-Unternehmen zu wehren und unsere Rechte auch im digitalen Raum einzufordern. Und das ist gut so. Denn: »Es ist mir nicht egal, aber ich kann ja eh nichts machen« ist nicht nur deprimierend, es ist auch eine lähmende Einstellung. Und sie stimmt auch so nicht ganz. Wir können eine Menge tun, um unseren eigenen kleinen Vorgarten sauber zu halten. Anderen Menschen davon erzählen, dass sie in ihrem Vorgarten anfangen können, beispielsweise. Denn nichts tun ist die schlechteste Option, nachdem wir nicht nur für unsere eigenen Daten, sondern auch für die all derer verantwortlich sind, von denen wir Kontaktdaten, Fotos, Videos oder sonstige persönliche Informationen bei uns auf unseren Geräten, in Cloud-Speichern oder auf Social Media gepostet haben. Und die Gesetze in Europa und zunehmend auch in anderen Teilen der Welt, geben uns immer bessere Möglichkeiten, uns aus der durch Konzerne auferlegten Unmündigkeit zu befreien.

Entscheidungen wie DMA und DSA oder ein Privacy Shield 2.0 passieren natürlich nicht aus heiterem Himmel oder weil »die da oben« sich darum kümmern, weil’s auf ihrer To-Do-Liste steht. Das alles passiert, weil viele Menschen wie ihr und ich uns mit den Themen auseinandersetzen, recherchieren, darüber reden. Zum Beispiel mit der Nachbarin. Und die trifft im Kindergarten beim Abholen den Vater eines anderen Kindes. Und der ist im Landtag. Und so geht die Sache weiter. Ein gutes Beispiel für eine »Grassroots-Bewegung«, in der Themen von unten nach oben sickern.

Und etwas mehr als vier Jahre nach der Veröffentlichung der ersten Auflage sitze ich hier und aktualisiere erneut ein Sachbuch über Datenschutz, bei dem sich wieder einige Teilbereiche geändert haben – zum Besseren. Dank euch und all den Menschen, die über die Themen lesen, weiter recherchieren, drüber reden, bloggen, podcasten und auf Social Media posten. Und die hinterfragen, wenn bestimmte Software von US-Konzernen z. B. im Bildungsbereich eingesetzt werden soll. Die nicht alles hinnehmen, was Typen in Anzügen für viel Geld an ahnungslose Menschen in Zugzwang verscherbeln. Gut so. So funktioniert eine aufgeklärte Gesellschaft und so funktioniert Demokratie.

Ja, manche Debatte ist mühsam und macht keinen Spaß. Wer weiß das besser als ich, die (auch noch als Frau) versucht, für Datenschutz und IT-Sicherheit eine Lanze zu brechen? Aber es ist gut, wenn sie geführt werden. Nichts ist tödlicher für eine Debatte als »toxische Positivität« – das Wort habe ich 2020 gelernt. Es bezeichnet den Zustand, wenn eine Stimmung oder Gruppenkultur vorherrscht, in der nichts Aufreibendes gesagt werden darf. Wo jeder Konflikt und jede Diskussion über Missstände ums Verrecken vermieden wird. Wo Diskussion und gemeinsame Konsensfindung in Anbetracht aller Fakten unerwünscht sind. Toxische Positivität bringt uns gesellschaftlich nicht weiter, weil Missstände nie aufgezeigt werden dürfen. Übrigens ist »Trollen« die zweite Art, mit der wir kein Stück weiterkommen; also das opportunistische Auf-Alles-Draufschlagen, bis die Parteien der Diskussion so gespalten sind, dass keine Kommunikation mehr möglich ist. Dazu gehört auch »Derailing«, also das Ablenken vom Thema, gerne in Kombination mit »Whataboutism«, also ebenfalls Ablenken, aber mit der Frage »aber was ist mit XY, die auch ein Problem haben?!«.

Wir leben hier – glücklicherweise! – in einer Demokratie, zu der Meinungsfreiheit essentiell dazu gehört. Andere Menschen auf dieser Welt haben dieses Privileg nicht. Denn Meinungsfreiheit bedeutet, dass wir öffentlich frei unsere Meinung äußern dürfen, solange sie eine Meinungsäußerung und keine rechtswidrige Äußerung ist (z. B. Nazi-Propaganda oder Aufruf zu Straftaten), und wir für diese Meinungsäußerung nicht belangt werden. Meinungsfreiheit bedeutet nicht, dass ich eine Meinung habe und alle anderen die Freiheit, diese eine, meine Meinung teilen zu müssen. Alle anderen dürfen ihre eigene Meinung haben und frei äußern und wir alle müssen es aushalten, dass diese Meinungen auch unterschiedlich sein können. »Agree to disagree« nennen die Briten das. Und von gespaltener Meinung können die wohl ein Liedchen singen.

Es ist großartig, dass ihr euch hier mit diesem sich langsam wandelnden, und immer noch für viele aufreibenden Thema beschäftigt. Wir brauchen als Gesellschaft Menschen, die sich mit den kritischen Themen befassen. Die auf Wissenschaftlerinnen und in dem Fall Datenschutzexperten und auch IT-Forensikerinnen vertrauen. Die genau hinschauen, was tatsächlich in einer Software passiert, welche Daten erhoben und irgendwohin übertragen werden, wo sie nichts zu suchen haben. Und die dann die Frage stellen: cui bono? Wo fließt hier das Geld?

Danke, dass ihr ein Teil davon seid. Und danke, dass ihr euch mit den Themen auseinandersetzt, die mir – wie einer immer größer werdenden Menge an Menschen – sehr am Herzen liegen. Viel Spaß beim Lesen und beim Entdecken der vielfältigen Möglichkeiten, es anders zu machen.

Klaudia Zotzmann-Koch


Wie ich selbst von einer »normalen Anwenderin« zur »zertifizierten Datenschutzexpertin« wurde

Diesen Teil könnt Ihr gerne überspringen. Die spannenden Teile, warum Ihr Euch mit Privatsphäre beschäftigen solltet und was alles geht, kommen ab Kapitel 1.

Ihr müsst nicht irgendwas mit IT oder Technik studiert oder eine mehrjährige Ausbildung in dem Bereich gemacht haben, um die Themen Privatsphäre, Datenschutz und sogar IT-Sicherheit zu verstehen. Es reicht, euch damit zu beschäftigen und ggf. auch nicht locker zu lassen, wenn euch eine Frage umtreibt.
Es ist gar nicht so lange her, da war ich eine normale Internetnutzerin. Ich hatte seit 2007 ein Facebook-Konto, nutzte Gmail und web.de und davor auch Myspace und StudiVZ. Ich arbeitete mit Google Docs und nutzte Google Maps, wenn ich mich irgendwo nicht auskannte. Ich »skypte« regelmäßig mit meiner Mutter und meiner Oma, hatte Evernote und Dropbox auf allen meinen Geräten und insgesamt wenig Ahnung, wie das Internet funktioniert, wie Werbetechnologien arbeiten und all die anderen Sachen, von denen später noch die Rede sein wird. Ich hatte sogar mal Kundenkarten.

Dann wechselte ich von der Uni zu einer Vollzeitstelle als Projektmanagerin in der Webentwicklung und lernte, wie das Internet funktioniert, wie man große Webseiten, Onlinespiele und Apps baut und auch, wie man Tracking, also Besucherzählung und Analyse von Nutzerverhalten, einbaut und nutzt. Zu dem Zeitpunkt war es mein Job, Kundenprojekte zu begleiten und umzusetzen und noch immer war ich mit Facebook-Veranstaltungen und -fotoalben und allem oben genannten fleißig dabei.

Und dann gab es mehrere Ereignisse in meinem Leben, nach denen ich das vage Gefühl hatte, dass mir »Die« zu nahe auf die Pelle rückten. Personalisierte Werbung über mehrere Geräte hinweg war mir unangenehm. Bei einem Skiurlaub wusste mein Exmann genau, wo ich gefahren war, bevor ich ihm davon erzählte, weil die Familienfreigabe im Telefon ihm live anzeigte, wo sich mein Telefon – und damit auch ich – befand. Auch abseits dessen empfand ich zielgerichtete Angebote und Informationen zunehmend als übergriffig. Dabei ging es gar nicht darum, dass ich »etwas zu verbergen« hatte. Ich erzählte meinem Exmann ja auch selbst, dass ich todesmutig mit dem Skikurs die Anfängerstrecken hinunter gerast war – mit vermutlich 10 km/h. Ich fand es nur irritierend, dass er es bereits wusste.
Genauso wie viele andere ging ich damals der Illusion auf den Leim, dass »etwas zu verbergen haben« gleichbedeutend sei mit »etwas verbrochen zu haben«.

Ich jubelte, als Anonymous Websites des IS übernahm und mit Werbung für Potenzmittel bespielte. Ich feuerte die Jungs und Mädels von Anonymous an: »Go, guys, go!« Und ich beschloss, mich näher mit dem Thema »Internetsicherheit« zu beschäftigen.

Später im selben Jahr besuchte ich meine erste Crypto-Party, einen jener Abende, die es in quasi jeder größeren Stadt gibt, an denen man von fachkundigen Menschen lernen kann, wie man die eigene Privatsphäre schützen kann; beispielsweise wie man E-Mails verschlüsselt, wie man sein Telefon sicherer macht etc. Ich wollte damals wissen, wie das mit dieser Verschlüsselung grundsätzlich funktioniert. Nicht wegen meines Exmanns, sondern weil ich schrecklich neugierig bin. Noch ein bisschen später zog ich dann bei ihm aus und wohnte zehn Wochen bei einem Kumpel auf der Couch, bis ich eine eigene Bleibe hatte. Während dieser Zeit war ich dann öfter im Wiener Hackspace, dem Metalab, weil ich dort mehr Privatsphäre hatte, als auf der fremden Couch. Ich lernte nicht nur, wie Verschlüsselung funktioniert und welche Messenger sinnvoller sind als andere und warum. Ich lernte auch eine Menge Leute kennen, die im Bereich Datenschutz und IT-Sicherheit wissen, was sie tun.

Im selben Jahr fuhr ich sehr spontan nach Hamburg zum jährlichen Kongress des CCC, des Chaos Computer Clubs. Ich war überwältigt. Neben einem ausufernden Maß an buntem Blinken und vielen Spaß-Projekten wie beispielsweise einem Fernschreiber, dem man über das Internet Nachrichten schicken konnte, die dann auf Lochstreifen ausgegeben wurden, gab es ein Vortragsprogramm, das sich gewaschen hatte. Nahezu alles wurde von den Teilnehmenden selbst angeboten. Keine bezahlten Vortragenden und schon gar keine »Keynotespeaker«, sondern alles Leute, die in ihren Dayjobs tagtäglich mit dem Zeug arbeiteten, über das sie sprachen. Die Vorträge hatten insgesamt ein derart hohes Niveau, das ich an der Uni nur selten erlebt habe. Bis heute: Hut ab.

Nach diesem Kongress wurde in Wien die lokale CCC-Niederlassung re-gegründet, die die letzten zehn Jahre eingeschlafen gewesen war, und ich hatte eine Chance, mich einzubringen. Gleich zu Beginn der Vereinstätigkeit wurden zwei große Projekte gestartet: Wir holten »Chaos macht Schule« von Deutschland nach Wien. Das bedeutet, dass Menschen in ihrer Freizeit unbezahlt in Schulen gehen und dort Workshops zu Internetsicherheit und Medienkompetenz für Schülerinnen und Schüler, Lehrende und Eltern abhalten. Viele von ihnen nehmen sich dafür extra einen halben Tag oder auch länger frei, um ehrenamtlich das zu kompensieren, was andere für viel Steuergeld in ihrer Arbeitszeit versäumen. Das andere Projekt, das im selben Jahr startete, war die »PrivacyWeek«, die bis 2021 jährlich stattfand, 2020 und 2021 aufgrund der Gegebenheiten komplett online. Die PrivacyWeek war eine ganze Woche voller Workshops, Vorträge, Kunstprojekte, Filmvorführungen, Diskussionsrunden und Austausch. Zielgruppe: alle, die die Themen Privatsphäre, Medienkompetenz, Internetsicherheit und Demokratie interessieren – weil wir unser Wissen und unsere Erfahrungen in die Gesellschaft tragen wollten. Ich bin sehr glücklich, dieses, mein Herzens-Projekt, betreut und gestaltet zu haben.

Im Frühjahr 2016, wenige Wochen nach meinem ersten Congress, hatte ich aufgehört, Facebook zu nutzen. Ebenso Google Maps, die Google Suche, WhatsApp, Gmail, web.de, GMX und einiges andere, was mir nicht einmal mehr einfällt. Ich hatte noch Twitter und die E-Mail-Adresse, die mit dem Webspace meiner Domain gekommen war. Außerdem noch Skype für das sonntägliche Video-Telefonat mit meiner Familie. In meiner Erinnerung habe ich nicht einmal gemerkt, wie ich mich langsam aber sicher von allem anderen verabschiedet hatte.

Ich begann, Vorträge darüber zu halten, welche Dienste datensparsamer sind als andere. Ich erzählte bei Autorinnen-Treffen davon, was Hacker sind und was alles nicht. Und dass niemand, der oder die sich mit Internetsicherheit auskennt, jemals »Cyber« sagt, ohne es ironisch zu meinen; Weil es nämlich von Kybernetik kommt und absolut nichts mit dem zu tun hat, wofür es im Marketing und in den Medien verwendet wird.

Ich lernte im nächsten Dayjob – wieder Projektmanagement Webentwicklung –, wie große Trackinganbieter wie Adobe, IBM und Oracle arbeiten und wie deren Verträge aussehen. Allerdings machte ich wenig Projektmanagement. Stattdessen sollte ich mich 14 Monate lang um Google Werbebanner kümmern. Ich erzählte meinem Arbeitgeber im Wochentakt, dass ich das nicht machen will und warum und kündigte schließlich, als ich noch mehr Werbebanner auf meinen Tisch bekam.
Stattdessen machte ich die Ausbildung zur Datenschutzbeauftragten. Ich hatte mittlerweile genug gelernt, dass ich mich mit dem Thema wohlfühlte und nach der Prüfung legte ich noch eine weitere bei der österreichischen Wirtschaftskammer zur Datenschutzexpertin ab.
Der 25. Mai 2018, also der Stichtag für die DSGVO, kam und zumindest in Österreich schien damit das Thema gestorben. Schlag Mitternacht war alles ruhig. Fünf Nachzügler-E-Mails kamen noch am 25. vormittags, ab dann: Totenstille. Ab dem Zeitpunkt schaute ich voller Bewunderung nach Deutschland und Frankreich wo Datenschutz tatsächlich durchgesetzt wurde. Von einigen nordischen Ländern ganz zu schweigen. Österreich schaffte es hingegen, drei Wochen vor dem Stichtag die lokale Gesetzgebung so anzupassen, dass »Verwarnen statt Strafen« im Datenschutzgesetz steht. Entsprechend lax ist zuweilen der Umgang mit Datenschutz und gerade mal das Minimum wird in vielen Firmen umgesetzt. Im November 2019 wurde von der Datenschutzbehörde mit der 18-Millionen-Euro-Strafe gegen die österreichische Post erstmals ein ernstzunehmendes Bußgeld gegen ein österreichisches Unternehmen verhängt; dafür, dass sie die politische Einstellung der in Österreich lebenden Menschen erhoben bzw. hochgerechnet und an Werbetreibende verkauft hat. Die Post ging rechtlich gegen die Strafe vor, weil sie darin ihr zentrales Geschäftsmodell gefährdet sah – und kam tatsächlich ohne Strafzahlung davon. Und das schlug nicht einmal sonderlich hohe Wellen. Wenn ein teilstaatlicher Betrieb sein zentrales Geschäftsmodell im Datenhandel mit sensiblen Daten sieht, sagt das sehr viel aus. Im Übrigen stellen die 18 Millionen ziemlich genau ein Prozent ihres Jahresumsatzes dar. Vier Prozent wäre die mögliche Maximalstrafe gewesen. Die Datenschutzbehörde scheint also tatsächlich aktiv zu sein – ein Umstand, der in der Bevölkerung und bei den meisten Firmen nur sehr, sehr langsam sickert. Vielleicht trägt ja das Urteil zu Google Analytics von Ende Dezember 2021 mehr zur öffentlichen Wahrnehmung bei.

Noch immer gilt: Alle, die es sich leisten können, beauftragen ihre Haus- und Hof-Kanzleien für Datenschutzthemen, ungeachtet dessen, dass Datenschutz nur zum Teil ein juristisches Thema ist. Mindestens zur Hälfte ist es auch eine Sache von technischer Expertise. Einige haben dies bereits verstanden und ihre Teams divers aufgestellt. Divers hier im Sinne einer Mischung von Technikerinnen und Juristen. Zwei meiner vergangenen Arbeitgeber setzten auf derart durchmischte Teams und die Arbeit zwischen Juristinnen und Technikern fand ich immer sehr bereichernd.

Auf den folgenden Seiten habe ich festgehalten, was ich in den letzten Jahren gelernt habe.



Kapitel 1: Zitronenfalter falten keine Zitronen

»Datenschutz« klingt schon so staubig. Dabei geht es beim Datenschutz nur bedingt darum, Daten zu schützen. Zitronenfalter falten ja auch keine Zitronen.

Beim Datenschutz geht es darum, Menschen- und Persönlichkeitsrechte vor Missbrauch und Verkauf zu bewahren. Es geht darum, Eingriffe in unsere Grundrechte zu unterbinden. Es geht um Minderheitenschutz, Privatsphäre und höchstpersönliche Lebensbereiche. Es geht darum, was niemanden etwas angeht und dass das auch so bleiben darf. Es geht um gleiche Chancen für alle in unserer Gesellschaft, unabhängig von Finanzkraft, Herkunft oder gesellschaftlicher Stellung. Und damit geht es auch um unsere Demokratie und deren Grundwerte.

Der Knackpunkt beim Datenschutz ist, dass er ein Teamsport und kein individuelles Thema ist. Natürlich soll jeder Mensch auf seine Geheimnisse aufpassen. Aber nur gemeinsam arbeiten wir effektiv daran, dass es für alle gleich fair zugeht. Jeder kann noch so gut auf Datensparsamkeit achten; sobald eine Person aus der Gruppe WhatsApp auf dem Telefon installiert, werden alle Daten aus deren Adressbuch automatisch an den Mutterkonzern Meta übertragen. Auch die Daten derjenigen Personen, die selbst nie ein WhatsApp-, Instagram- oder Facebook-Konto hatten oder eröffnen würden.

Die Privatsphäre der einen hört dort auf, wo die Unachtsamkeit der anderen beginnt. Oder Wurschtigkeit, wie man in Österreich wohl sagen würde.

---


Wer sind Die überhaupt?
Natürlich könnte ich jetzt hier von »Threatmodels« schreiben und weiß genau, dass 90 Prozent der Lesenden an dieser Stelle frustriert das Buch schließen würden. Das ist auch nur das Technikerwort für »was ist dein größtes Problem« oder »was ist dein Bedrohungsszenario«.
Bedrohung? Aber ich fühle mich gar nicht bedroht! Ja, genau. Die Probleme, die das Internet und all die Technik mit sich bringen, sind nur selten sichtbar. Abgestumpft sind wir von all den Datenskandalen auch schon. Ich nehme mich nicht aus. So sehr es mich innerlich aufregt, entlockt es mir nur noch ein müdes Augenbrauenheben, wenn Meta nahezu im Wochentakt den datensparsamen Vogel abschießt oder ich lese, dass ein Unternehmen im Silicon Valley Informationen von Menschen, die bei Suizid-Hotlines Hilfe suchen, kommerziell auswertet und weiterverkauft.

Die, das sind die üblichen Verdächtigen wie Meta, Microsoft, Apple, Amazon und Google, aber nicht nur. Ganz vorne stehen all die tausenden Datenhändler und deren Kunden wie beispielsweise Versicherungen, aber auch Krankenkassen, die nur allzu gerne vom Datenkuchen naschen. Wo früher Verkehrsbeobachtung, Bewertung von Wohngegenden und Anzahl von Versicherungsfällen einer Person berücksichtigt wurden, liegen mittlerweile in Echtzeit Daten aus Kartenzahlungen, Verkehrsdaten aus Navigationsgeräten, Vitaldaten aus Fitnesstrackern, Werbeprofile über Einzelpersonen und vieles mehr vor, um zu bewerten, wie risikoreich oder (un)gesund eine Person lebt. Oder eben, ob sie bei einer Hotline für Suizidgefährdete anruft.

Daneben sind auch Banken sehr an unseren digitalen Spiegelbildern interessiert. Ihnen geht es in dem Fall oft um die Kreditwürdigkeit von Menschen. Obendrein kommen Kreditauskunfteien, die ein sehr großes Interesse an unseren Lebensumständen haben. Durch die Diskussionen um den Verkauf der deutsche Schufa an ein ausländisches Startup, wurde das Thema auch endlich etwas breiter diskutiert. Vielleicht aber noch nicht breit genug.

Apropos Startups, viele davon sind aus verschiedenen Gründen regelrechte Datenlöcher. Manche achten bei ihrer Zielverfolgung einfach nicht darauf, datensparsam vorzugehen und benutzen alles, was der Werbewerkzeugkasten aktuell hergibt. Nicht nur für Werbung, sondern schon vorher, wenn es darum geht, ihre Apps, Services oder Webseiten mit den Softwarelösungen zu bauen, die große Anbieter wie Google oder Facebook gratis zur Verfügung stellen. Manche wollen auch bewusst vom großen Datenkuchen naschen und als ein Rädchen unter tausenden in der Datenhandelsmaschinerie mitspielen.

Danach kommen Konzerne, Firmen, staatliche Stellen, Leute, die Geld machen wollen und last but not least: Menschen, die den Brexit und die Wahl Trumps zum US-Präsidenten, aber noch weitaus mehr konzertierte politische Einflussnahmen weltweit zu verantworten haben. Und zwischen all denen machen tausende Datenhändler eine Menge Geld damit, Datenmengen einzusammeln, weitere dazu anzukaufen, alle davon abzugleichen, zusammenzuführen und weiterzuverkaufen.

Wenn ihr mehr über staatliche Überwachung und die Maschinerie dahinter erfahren möchtet, kann ich euch die Biographie von Edward Snowden, Permanent Record, sehr ans Herz legen. Und die Maschinerie hinter Instagram, Facebook, Google, Twitter etc. erklärt die Dokumentation The Social Dilemma sehr eindrucksvoll und ich spreche auch für sie eine große Empfehlung aus.

Dass auch die staatliche Nutzung unserer privaten Daten ein Thema ist, zeigte im Januar 2020 der Clearview-Skandal. Da wurde bekannt, dass eine Firma namens Clearview Fotos aus Facebook, Twitter, Youtube und anderen sozialen Netzwerken einsammelte und zu einer riesigen Datenbank mit Gesichtsbildern von Menschen zusammenführte. »Scrapen« nennt man das, also »zusammenkratzen«. Die Rede war von drei Milliarden Bildern. Und diese Datenbank samt ihren Diensten dazu, bietet Clearview über 600 Behörden, aber auch privaten Unternehmen an. In einem Artikel der Zeit steht: »Clearview überwacht, nach welchen Personen die Polizei sucht«. Der ganz besonders beunruhigende Teil ist, dass Behörden Daten von Startups und Marketingunternehmen einkaufen, auf deren Basis sie Ermittlungen führen. Nicht nur von unseren Gesichtsbildern, wie sich im Juni 2023 rausstellte, aber durchaus auch das. Beispielsweise von Foto- und Beauty-App-Anbietern. Es gibt die Petition »Reclaim Your Face«, »Fordert euer Gesicht zurück«. Auf der Webseite der zivilgesellschaftlichen Initiative für ein Verbot biometrischer Massenüberwachung gibt es weitere Informationen und aktuelle News dazu, wie unsere Fotos und Daten gegen uns verwendet werden. Jüngstes Beispiel ist die Gesichtserkennung in Großbritanniens Supermärkten zur Erkennung von Ladendieben.

---


Klick und weg: DSGVO


Bitte nicht! Alles nur Gelaber und alles ist viel komplizierter geworden!
Ja, ich weiß. Es ist soviel Blödsinn passiert, dass die Wörter »DSGVO« genauso wie »Datenschutz« völlig verbrannt sind. Bei den Wörtern stellt es bis heute vielen die Nackenhaare auf. Bis auf ein paar Leute, die freiwillig in dem Bereich arbeiten (ich zum Beispiel), hat kaum jemand positive Assoziationen dazu. Und das – leider – aus gutem Grund.

Versuchen wir es trotzdem, ja? Also: Was ist die DSGVO und warum wollen wir sie haben?
Die DSGVO, die europäische Datenschutz-Grundverordnung, ist tatsächlich ein großer Gewinn auf der Seite von uns Bürgerinnen. Im letzten Jahr, 2022, fing es langsam an, dass die guten Seiten der DSGVO auch in den Medien und im Bewusstsein der Menschen ankamen. Und jetzt, Mitte 2023, sind die ärgsten Attacken gegen die Gesetzgebung (hoffentlich) vorbei. Zu Beginn sah das ganz anders aus. Zwischen 2016 und 2018 versäumten es die Regierungen sowohl in Deutschland als auch in Österreich (sowie auch in den meisten anderen europäischen Ländern), innerhalb der zwei Jahre Vorlaufzeit zwischen Inkrafttreten der DSGVO im Mai 2016 und ihrer tatsächlichen Durchsetzung ab 25. Mai 2018, hilfreiche Informationen zu produzieren und flächendeckend zur Verfügung zu stellen. Statt zwei Jahren, die eine relativ bequeme, tiefergehende Information und halbwegs entspannte Umsetzung ermöglicht hätten, blieben letztlich zwei Monate, um die Auflagen der DSGVO zu erfüllen. Sagen wir es ehrlich: Das war absolut daneben.

Die zwei Monate vor dem Stichtag am 25. Mai 2018 waren überall hektisch. Zu Recht waren Webseitenbetreiber, kleine und mittlere Unternehmen (KMU), Anwältinnen, Blogger, Unternehmerinnen, Podcaster, Vereine, Ärztinnen … eigentlich alle Menschen unglücklich darüber, die strengen Auflagen der DSGVO für ihr jeweiliges Angebot in viel zu kurzer Zeit und ohne hinreichende Informationen umzusetzen; schließlich saßen sie mit der Aufgabe im Dunkeln, aber zumindest nicht alleine da. Es ging ja letztlich allen so. Eine Glanzleistung war die Kommunikation seitens Politik und Wirtschaftsvertretungen eindeutig nicht.
Seit 2018 hat sich durch die Aktivitäten der deutschen Datenschutzbehörden mit öffentlichen Bildungsangeboten, Broschüren auf den Webseiten etc. schon Einiges getan. Die Datenschutzbehörden der Länder bieten häufig sehr gute Informationen und manche auch Beratung an und sind oft auch auf Social Media unterwegs und ansprechbar. Und so langsam kommt auch mehr Bewegung in die Sache, was die Ahndung von Datenschutzvergehen angeht. Gerade zum fünften Geburtstag der DSGVO hat Facebooks Mutterkonzern Meta eine Strafe über 1.2 Milliarden Dollar aufgebrummt bekommen.
Viele beklagten sich 2018 darüber, dass die DSGVO schwammig formuliert ist und viele Details unklar seien oder fehlen. Das stimmt. Es war aber auch geplant, die DSGVO gemeinsam mit der ePrivacy-Verordnung an den Start zu schicken. Die ePrivacy-Verordnung sollte all das beinhalten, was in der DSGVO an konkreter Regelung fehlt. Leider haben sich hier die Lobbyisten der Werbeindustrie durchgesetzt und die ePrivacy-Verordnung auf das Abstellgleis befördert. Anfang 2021 hat Portugal die EU-Ratspräsidentschaft übernommen und nur wenige Tage danach einen neuen Entwurf der ePrivacy-VO vorgelegt. Im Februar 2021 einigte sich der EU-Ministerrat auf eine gemeinsame Version, dann begann der sogenannte Trilog, also die Verhandlungen von EU-Kommission, Parlament und Ministerrat. Ein Ende scheint auch noch heute nicht in Sicht und wenn eine Entscheidung irgendwann kommt, folgen dann, wie auch bei der DSGVO, zwei Jahre Übergangszeit.

2016 blieb dank Werbe-Lobbying vom geplanten Zweiergespann also nur die DSGVO übrig mit all ihren Höhen und Tiefen. Im Übrigen ist es ein himmelweiter Unterschied, zwischen dem Stempel »DSGVO-konform« auf einem Angebot, einer App, Webseite, … und tatsächlicher Datensparsamkeit. Die DSGVO verlangt nämlich lediglich, dass die Betreiber angeben müssen, was mit den Daten passiert. Es sagt absolut nichts darüber aus, wie datensparsam ein Unternehmen, eine App etc. tatsächlich ist. Dies macht allerdings einen wichtigen Unterschied.

Der Großteil der Menschen, die Websites oder Onlineshops anbieten, Kundenverkehr etc. haben, haben es mittlerweile geschafft, die Auflagen umzusetzen. Für uns Bürger und Konsumentinnen das Sichtbarste sind dabei die Informationspflichten; also Aushänge mit Hinweisen auf Kameraüberwachung und die mittlerweile allgegenwärtigen Datenschutzerklärungen. Manche haben ihre Datenschutzerklärungen, sei es aus Angst, etwas falsch zu machen (und mit drakonischen Geldstrafen bedroht zu werden), sei es aus der Annahme, einen juristisch bindenden Text verfassen und dafür einen teuren Anwalt engagieren zu müssen, mit Hilfe von Datenschutzerklärungs-Generatoren verfasst, die zwar teils fehlerhafte Texte ausgeben, aber besser als nichts. Selber schreiben hätte in den meisten Fällen nicht viel länger gedauert und dann wüsste man wenigstens selbst, was drin steht. Aber das will auch heute noch immer niemand wissen. Mittlerweile sind fünf Jahre vergangen und es wird wirklich Zeit, die Datenschutzerklärungen mal durchzuschauen, ob denn alles darin noch so stimmt, oder ob sich in den vergangenen Jahren vielleicht etwas geändert hat: Neuer Hostingservice? Andere Vertragspartner? Neue Software im Einsatz? Alle, die Datenschutzerklärungen schreiben mussten, haben jederzeit die Chance, selbst etwas über ihr Unternehmen und die Datenflüsse zu lernen. Und vielleicht auch etwas nachzujustieren, wo noch etwas besser geht.

Sei es, wie es sei, für Bürgerinnen, Konsumenten, Websitebesucherinnen und Kunden bietet die DSGVO völlig neue Möglichkeiten. Wir haben mit dieser EU-Verordnung ein Werkzeug an die Hand bekommen, mit dem wir erstmals die Macht haben, unsere Privatsphäre einzufordern. Wir können (und sollten) lernen, diese Macht auch zu nutzen. Ganz langsam trauen sich immer mehr Menschen, Anfragen zu stellen, was mit den gesammelten Daten über sie und ihr Verhalten passiert. Mehr Menschen beschweren sich, wenn ihnen ein Datenverkauf nicht passt. Wie die Daten »verwurstet« und an wen sie weiterverkauft werden. Die Datenschutzbehörden haben dazu passende Formulare und Textvorschläge auf ihren Webseiten gesammelt. Wir haben die Möglichkeit, selbst der Sand im Getriebe einer ganzen Datenindustrie zu sein und den Verantwortlichen auf die Finger zu klopfen. Und das ist gut so, schließlich geht es um unsere digitalen Spiegelbilder und die Auswirkungen, die der Datenhandel direkt auf unser Leben, unsere Selbstbestimmung, unsere Grundrechte, die Demokratie und nicht zuletzt auf unsere Geldbeutel hat.

---


Nerv nicht! Sch* Banner und Pop-ups überall.


Alles DSGVO, oder was? Was sollen diese ganzen Popups und Warnmeldungen, die ich nicht verstehe und die immer nur im Weg sind?

Viele, insbesondere große Websites wie Newsportale, große Webshops etc. haben die DSGVO, sagen wir mal, halb umgesetzt. Die DSGVO fordert nämlich leicht zu findende, für alle verständliche Informationen, welche Daten gesammelt werden, wozu und was genau (!) mit den Daten passiert. Ja, die meisten Seiten zeigen einen Hinweis, dass personenbezogene Daten verarbeitet werden. Aber schon alleine das Wozu und der Detailgrad, was damit passiert, an wen sie weitergegeben oder verkauft werden, da hapert es gewaltig. Außerdem ist der Hinweis meistens so verschwurbelt, dass niemand versteht, was eigentlich mit den Daten wirklich passiert. Die Cookie-Banner nerven, die Popups auch, von den doppelten und dreifachen Newsletter-E-Mails müssen wir jetzt gar nicht anfangen und überhaupt ist Surfen im Netz anstrengend geworden. Aber: Der Sinn der Sache ist, dass wir Menschen eine informierte Entscheidung treffen können, ob wir ein bestimmtes Angebot nutzen möchten – lies: ob uns das die Bezahlung wert ist. Mit Bezahlung ist gemeint, was auf der Plattform und darüber hinaus mit den Informationen über uns und unser Verhalten geschieht. Marketing sei Dank sind die Erklärungstexte extra lang und so mühsam geschrieben, dass niemand Lust hat, sie zu lesen und alle den Hinweis nur wegklicken, womit sie bei den meisten Seiten automatisch in alles einwilligen, inklusive Datenhandel, Verfolgung und Profilerstellung über alle Geräte und das gesamte Internet hinweg.

Ja, da ist System dahinter. Anbieter von großen Onlineshops ebenso wie Hardwarehersteller usw. haben kein Interesse an mündigen und aufgeklärten Bürgerinnen. Sie machen es uns absichtlich schwer und umständlich, die Infos, die sie rechtlich geben müssen, zu finden, zu lesen und zu verstehen.

Wichtig: Ihr seid nicht zu doof, es wird uns absichtlich schwer gemacht.

So schwer, wie möglich. Ich weiß es, ich habe versucht, in einem Unternehmen verständliche Datenschutzerklärungen einzuführen und mir wurde gesagt, es sei nicht im Interesse des Unternehmens, dass die Kunden lesen und verstehen können, in was sie mit Unterzeichnung des Vertrags einwilligen. Denken wir an das Beispiel der österreichischen Post: Deren zentrales Geschäftsmodell ist laut ihren eigenen Aussagen der Datenhandel. Pakete austragen? Höchstens noch ein Seitenzweig.

Apropos Schwermachen und nervende Cookie-Banner. Ja, auch die sind absichtlich missverständlich gestaltet. Drauf verlassen, dass der gut sichtbare bunte Knopf die datensparsame Variante bestätigt, wäre vermessen. Da muss man aufpassen wie ein Schießhund, wirklich das Richtige zu klicken. Und ja, das geht allen so, selbst Menschen, die im Bereich Datenschutz arbeiten fallen oft genug auf die verwirrend gestalteten Cookie-Banner rein. Der Journalist Richard Gutjahr hat im Dezember 2020 ein Video veröffentlicht, wo er sich genau mit dem Thema auseinandersetzt. Angefangen damit, dass die alle gleich aussehen, weil das iab, das Interactive Advertising Bureau, also die Lobbyvereinigung der Online Werbeindustrie, sich diesen sogenannten »Standard« für das Design von Cookiebannern ausgedacht hat. Im Video sieht man, wie der Bayrische Datenschutzpräsident, Michael Will, im festen Glauben, alle Cookies deaktiviert zu haben, voll auf das verschachtelte Design reinfällt. Auch er ist in die Falle getappt, die uns von der Werbeindustrie täglich millionenfach gestellt wird. Zum Glück wurde diese Form von Cookiebannern im Februar 2022 für rechtswidrig erklärt. Aus dem Internet verschwunden sind sie trotzdem leider noch nicht.

Hinweis: Auch hinter dem unscheinbar grauen Link »berechtigtes Interesse« stecken meist noch vorausgewählt eingeschaltete Tracker!

Bis die ganzen von Werbeagenturen mühsam eingebauten iab-Cookie-Banner wieder aus dem Netz verschwunden sind, denkt dran, auch die Häkchen bei berechtigten Interessen wegzuklicken. Und falls euch dabei langweilig wird, das ganze eben genannte Video ist eine große Empfehlung. Richard Gutjahr unterhält sich darin auch mit Tiemo Wölken, der als Abgeordneter in Brüssel arbeitet und sich sehr für Datenschutz stark macht. 
[Um das und alle weiteren im Buch genannten YT-Videos ohne Google-Tracking zu schauen, könnt ihr den Dienst Invidio.us nutzen oder Apps wie Freetube oder Newpipe.]