Leseprobe

Vorwort zur vierten Auflage

Facebook heißt jetzt Meta (also der Konzern, nicht die Plattform) und Google Analytics ist seit Neuestem illegal. Google Fonts auch. Und diese mehrseitigen Cookiebanner mit vorausgewähltem »berechtigtem Interesse« ebenso. Es passiert ein bisschen was im Bereich Datenschutz und Privatsphäre und ich höre seltener »ich habe ja nichts zu verbergen«, aber dafür öfter »es ist mir nicht egal, aber ich kann ja nichts machen«. Das stimmt nur zum Teil. Wir können eine Menge tun, um unseren eigenen kleinen Vorgarten sauber zu halten und anderen Menschen davon erzählen, dass sie in ihrem Vorgarten anfangen. Denn Nichts tun ist nur eine schlechte Option, nachdem wir nicht nur für unsere eigenen Daten, sondern auch für die all derer verantwortlich sind, von denen wir Kontaktdaten, Fotos, Videos oder sonstige persönliche Informationen bei uns auf unseren Geräten, in Cloud-Speichern oder auf Social Media gepostet haben.
Ich tue mich schwer damit, einen genauen Punkt auszumachen, an dem die Themen Privatsphäre und Datenschutz wirklich Fahrt aufnahmen. Es werden jedenfalls die Zeitungsausschnitte mehr, die ich von meiner Familie per Messenger geschickt bekomme. In kleinen Lokalzeitschriften wie auch überregionalen Blättern wird zunehmend über Google, Facebook, WhatsApp und wie sie alle heißen aufgeklärt und berichtet. Kritisch durchaus und mit Möglichkeiten, den jeweiligen Unternehmen ein Schnippchen zu schlagen. Wir sind auf einem guten Weg.
Für die letzte Neuauflage war der Fall des PrivacyShields ein ausschlaggebendes Ereignis. Für diese hier sind es vielmehr einzelne, vermeintlich kleinere Ereignisse, Gerichtsentscheidungen, und Entscheidungen von Datenschutzbehörden, die sich in kurzer Zeit zusammenläpperten.
Auch wenn ich mir den bisherigen Verlauf des noch sehr jungen Jahres 2022 ansehe: Drei wichtige Entscheidungen sind bereits gefallen: Noch im Dezember 2021 entschied die Datenschutzbehörde in Österreich, dass Google Analytics, also Googles weiterverbreitetes Webseiten-Analysetool, rechtswidrig ist. Keine vier Wochen später gab es eine Entscheidung des Landesgerichts München, dass Google Fonts, also Schriftarten, die von Google Servern an Webseiten ausgespielt werden, rechtswidrig sind. Anfang Februar erklärt die belgische Datenschutzbehörde den technischen Standard hinter Einwilligungen zu Werbezwecken für rechtswidrig. Und nur einen Tag später entschied das irische ICCL, dass die Cookie-Banner nach iab-Standard rechtswidrig sind. Iab steht für Interactive Advertising Bureau und deren Cookiebanner-Design-Standard ist das mit den mehreren Unterseiten und verstecktem und auch noch vorangehaktem »berechtigtem Interesse«.
Das war der Tag, an dem ich beschloss, diese Neuauflage endlich anzugehen, ehe ich nicht mehr nachkomme mit dem Überarbeiten. Bitte schaut auf meiner Webseite nach möglichen weiteren Änderungen.
All diese Entscheidungen passieren natürlich nicht aus heiterem Himmel oder weil »die da oben« sich darum kümmern, weil’s auf ihrer To-Do-Liste steht. Das alles passiert, weil viele Menschen wie Ihr und ich uns mit den Themen auseinandersetzen, recherchieren, darüber reden. Zum Beispiel mit der Nachbarin. Und die trifft im Kindergarten beim Abholen den Vater eines anderen Kindes. Und der ist im Landtag. Und so geht die Sache weiter. Ein gutes Beispiel für eine »Grassroots-Bewegung«; eine Bewegung, in der Themen von unten nach oben sickern.
Und etwas mehr als zwei Jahre nach der Veröffentlichung der ersten Auflage sitze ich hier und aktualisiere erneut ein Sachbuch über Datenschutz, bei dem sich weitere Teilbereiche geändert haben – zum Besseren. Dank Euch und all den Menschen, die über die Themen lesen, weiter recherchieren, drüber reden, bloggen, podcasten und auf Social Media posten. Und die hinterfragen, wenn bestimmte Software von US-Konzernen z. B. im Bildungsbereich eingesetzt werden soll. Die nicht alles hinnehmen, was Typen in Anzügen für viel Geld an ahnungslose Menschen in Zugzwang verscherbeln. Gut so. So funktioniert eine aufgeklärte Gesellschaft und so funktioniert Demokratie.
Ja, manche Debatte ist mühsam und macht keinen Spaß. Wer weiß das besser als ich, die (auch noch als Frau) versucht, für das Thema Datenschutz eine Lanze zu brechen? Aber es ist gut, wenn sie geführt werden. Nichts ist tödlicher für eine Debatte als »toxische Positivität« – das Wort habe ich 2020 gelernt. Es bezeichnet den Zustand, wenn eine Stimmung oder Gruppenkultur vorherrscht, in der nichts Aufreibendes gesagt werden darf. Wo jeder Konflikt und jede Diskussion über Missstände ums Verrecken vermieden wird. Wo Diskussion und gemeinsame Konsensfindung in Anbetracht aller Fakten unerwünscht sind. Toxische Positivität bringt uns gesellschaftlich nicht weiter, weil Missstände nie aufgezeigt werden dürfen. Übrigens ist »Trollen« die zweite Art, mit der wir kein Stück weiterkommen; also das opportunistische Auf-Alles-Draufschlagen, bis die Parteien der Diskussion so gespalten sind, dass keine Kommunikation mehr möglich ist. Dazu gehört auch »Derailing«, also das Ablenken vom Thema und ebenso »Whataboutism«, also ebenfalls Ablenken, aber mit der Frage »aber was ist mit XY, die auch ein Problem haben?!«.
2022 hänge ich an diese Liste noch an, dass ich zunehmend Menschen begegnet bin, die lauthals verkünden, dass man ja nirgendwo mehr frei seine Meinung sagen darf, weil man dafür gleich »geächtet würde«, wie es die letzte Person ausdrückte, die dies laut und öffentlich sagte. Der Ironie dürfen wir hier eine Gedenkminute abhalten. All jenen sei gesagt: Wir leben hier – glücklicherweise! – in einer Demokratie, zu der Meinungsfreiheit essentiell dazu gehört. Andere Menschen auf dieser Welt haben dieses Privileg nicht. Denn Meinungsfreiheit bedeutet, dass wir öffentlich frei unsere Meinung äußern dürfen, solange sie eine Meinungsäußerung und keine rechtswidrige Äußerung (z. B. Nazi-Propaganda oder Aufruf zu Straftaten) ist, und wir für diese Meinungsäußerung nicht belangt werden. Meinungsfreiheit bedeutet nicht, dass ich eine Meinung habe und alle anderen die Freiheit, diese eine, meine Meinung teilen zu müssen. Alle anderen dürfen ihre eigene Meinung haben und frei äußern und wir alle müssen es aushalten, dass diese Meinungen auch unterschiedlich sein können. »Agree to disagree« nennen die Briten das. Und von gespaltener Meinung können die wohl ein Liedchen singen.
Es ist großartig, dass Ihr Euch hier mit diesem sich langsam wandelnden, und immer noch für viele aufreibenden Thema beschäftigt. Wir brauchen als Gesellschaft Menschen, die sich mit den kritischen Themen befassen. Die auf Wissenschaftler:innen und in dem Fall Datenschutzexpert:innen und auch IT-Forensiker:innen vertrauen. Die genau hinschauen, was tatsächlich in einer Software passiert, welche Daten erhoben und irgendwohin übertragen werden, wo sie nichts zu suchen haben. Und die dann die Frage stellen: cui bono? Wo fließt hier das Geld?

Danke, dass Ihr ein Teil davon seid. Und danke, dass Ihr Euch mit den Themen auseinandersetzt, die mir – wie einer immer größer werdenden Menge an Menschen – sehr am Herzen liegen. Viel Spaß beim Lesen und beim Entdecken der vielfältigen Möglichkeiten, es anders zu machen.

Wie ich selbst von einer »normalen Anwenderin« zur »zertifizierten Datenschutzexpertin« wurde

Diesen Teil könnt Ihr gerne überspringen. Die spannenden Teile, warum Ihr Euch mit Privatsphäre beschäftigen solltet und was alles geht, kommen ab Kapitel 1.

Ihr müsst nicht irgendwas mit IT oder Technik studiert oder eine mehrjährige Ausbildung in dem Bereich gemacht haben, um die Themen »Privatsphäre« und »Datenschutz« zu verstehen. Es reicht, Euch damit zu beschäftigen und ggf. auch nicht locker zu lassen, wenn Euch eine Frage umtreibt.

Es ist gar nicht so lange her, da war ich eine normale Internetnutzerin. Ich hatte seit 2007 ein Facebook-Konto, nutzte Gmail und web.de und davor auch Myspace und StudiVZ. Ich arbeitete mit Google Docs und nutzte Google Maps, wenn ich mich irgendwo nicht auskannte. Ich »skypte« regelmäßig mit meiner Mutter und meiner Oma, hatte Evernote und Dropbox auf allen meinen Geräten und insgesamt wenig Ahnung, wie das Internet funktioniert, wie Werbetechnologien arbeiten und all die anderen Sachen, von denen später noch die Rede sein wird. Ich hatte sogar mal Kundenkarten.
Dann wechselte ich von der Uni zu einer Vollzeitstelle als Projektmanagerin in der Webentwicklung und lernte, wie das Internet funktioniert, wie man große Webseiten, Onlinespiele und Apps baut und auch, wie man Tracking, also Besucherzählung und Analyse von Nutzer:innenverhalten, einbaut und nutzt. Zu dem Zeitpunkt war es mein Job, Kundenprojekte zu begleiten und umzusetzen und noch immer war ich mit Facebook-Veranstaltungen und -Fotoalben und allem oben genannten fleißig dabei.

Und dann gab es mehrere Ereignisse in meinem Leben, nach denen ich das vage Gefühl hatte, dass mir »Die« zu nahe auf die Pelle rückten. Personalisierte Werbung über mehrere Geräte hinweg war mir unangenehm. Bei einem Skiurlaub wusste mein Exmann genau, wo ich gefahren war, bevor ich ihm davon erzählte, weil die Familienfreigabe im Telefon ihm live anzeigte, wo sich mein Telefon – und damit auch ich – befand. Auch abseits dessen empfand ich zielgerichtete Angebote und Informationen zunehmend als übergriffig. Dabei ging es gar nicht darum, dass ich »etwas zu verbergen« hatte. Ich erzählte meinem Exmann ja auch selbst, dass ich todesmutig mit dem Skikurs die Anfängerstrecken hinunter gerast war (mit vermutlich 10 km/h). Ich fand es nur irritierend, dass er es bereits wusste.

Genauso wie viele andere ging ich damals der Illusion auf den Leim, dass »etwas zu verbergen haben« gleichbedeutend sei mit »etwas verbrochen zu haben«.

Ich jubelte, als Anonymous Websites des IS übernahm und mit Werbung für Potenzmittel bespielte. Ich feuerte die Jungs und Mädels von Anonymous an: »Go, guys, go!« Und ich beschloss, mich näher mit diesem Thema »Internetsicherheit« zu beschäftigen.
Später im selben Jahr besuchte ich meine erste »Cryptoparty«, einen jener Abende, die es in quasi jeder größeren Stadt gibt, an denen man von fachkundigen Menschen lernen kann, wie man die eigene Privatsphäre schützen kann; beispielsweise wie man eMails verschlüsselt, wie man sein Telefon sicherer macht etc. Ich wollte damals wissen, wie das mit dieser Verschlüsselung grundsätzlich funktioniert. Nicht wegen meines Exmanns, sondern weil ich schrecklich neugierig bin. Noch ein bisschen später zog ich dann bei ihm aus und wohnte zehn Wochen bei einem Kumpel auf der Couch, bis ich eine eigene Bleibe hatte. Während dieser Zeit war ich dann öfter im Wiener Hackspace, dem Metalab, weil ich dort mehr »Privatsphäre« hatte, als auf der fremden Couch. Ich lernte nicht nur, wie Verschlüsselung funktioniert und welche Messenger sinnvoller sind als andere und warum, ich lernte auch eine Menge Leute kennen, die im Bereich Datenschutz und IT-Sicherheit wissen, was sie tun.
Im selben Jahr fuhr ich sehr spontan nach Hamburg zum jährlichen Kongress des CCC, des Chaos Computer Clubs. Ich war überwältigt. Neben einem ausufernden Maß an buntem Blinken und vielen Spaß-Projekten wie beispielsweise einem Fernschreiber, dem man via Internet Nachrichten schicken konnte, die dann auf Lochstreifen ausgegeben wurden, gab es ein Vortragsprogramm, das sich gewaschen hatte. Nahezu alles wurde von den Teilnehmer:innen selbst angeboten. Keine bezahlten Vortragenden und schon gar keine »Keynotespeaker«, sondern alles Leute, die in ihren Dayjobs tagtäglich mit dem Zeug arbeiteten, über das sie sprachen. Die Vorträge hatten insgesamt ein derart hohes Niveau, das ich an der Uni nur selten erlebt habe. Bis heute: Hut ab.
Nach diesem Kongress wurde in Wien die lokale CCC-Niederlassung re-gegründet, die die letzten zehn Jahre eingeschlafen gewesen war. Gleich zu Beginn der Vereinstätigkeit wurden zwei große Projekte gestartet: »Chaos macht Schule« wurde von Deutschland nach Wien geholt. Das bedeutet, dass Menschen in ihrer Freizeit unbezahlt in Schulen gehen und dort Workshops zu Internetsicherheit und Medienkompetenz für Schüler:innen, Lehrende und Eltern abhalten. Viele von ihnen nehmen sich dafür extra einen halben Tag oder auch länger frei, um ehrenamtlich das zu kompensieren, was andere für viel Steuergeld in ihrer Arbeitszeit versäumen. Das andere Projekt, das im selben Jahr startete, ist die »PrivacyWeek«, die seither jährlich stattfindet, 2020 und 2021 aufgrund der Gegebenheiten komplett online. Die PrivacyWeek ist eine ganze Woche voller Workshops, Vorträge, Kunstprojekte, Filmvorführungen, Diskussionsrunden und Austausch. Zielgruppe: jede:r, den:die die Themen Privatsphäre, Medienkompetenz, Internetsicherheit und Demokratie interessieren – weil wir unser Wissen und unsere Erfahrungen in die Gesellschaft tragen wollen. Ich bin sehr glücklich, dieses Projekt bis heute mit betreuen und gestalten zu dürfen.

Im Frühjahr 2016, wenige Wochen nach meinem ersten Congress, hatte ich aufgehört, Facebook zu nutzen. Ebenso Google Maps, die Google Suche, WhatsApp, Gmail, web.de, GMX und einiges andere, was mir nicht einmal mehr einfällt. Ich hatte noch Twitter und die eMail-Adresse, die mit dem Webspace meiner Domain gekommen war. Außerdem noch Skype für das sonntägliche Video-Telefonat mit meiner Familie. In meiner Erinnerung habe ich nicht einmal gemerkt, wie ich mich langsam aber sicher von allem anderen verabschiedet hatte.
Ich begann, Vorträge darüber zu halten, welche Dienste datensparsamer sind als andere. Ich erzählte bei Autor:innen-Treffen davon, was Hacker:innen sind und was alles nicht. Und dass niemand, der:die sich mit Internetsicherheit auskennt, jemals »Cyber« sagt, ohne es ironisch zu meinen. (Weil das nämlich von »Kybernetik« kommt und absolut nichts mit dem zu tun hat, wofür es im Marketing und in den Medien verwendet wird.)

Ich lernte im nächsten Dayjob – wieder Projektmanagement Webentwicklung –, wie große Trackinganbieter wie Adobe, IBM und Oracle arbeiten und wie deren Verträge aussehen. Allerdings machte ich wenig Projektmanagement, weil es dafür noch eine eigene Abteilung gab. Stattdessen sollte ich mich 14 Monate lang um Google Werbebanner kümmern. Ich erzählte meinem Arbeitgeber im Wochentakt, dass ich das nicht machen will und warum und kündigte schließlich, als ich noch mehr Werbebanner auf meinen Tisch bekommen sollte.
Stattdessen machte ich die Ausbildung zur Datenschutzbeauftragten. Ich hatte mittlerweile genug gelernt, dass ich mich mit dem Thema wohlfühlte und nach der Prüfung legte ich noch eine weitere bei der österreichischen Wirtschaftskammer zur Datenschutzexpertin ab.
Der 25. Mai 2018, also der Stichtag für die DSGVO, kam und zumindest in Österreich schien damit das Thema gestorben. Schlag Mitternacht war alles ruhig. Fünf Nachzügler-eMails kamen noch am 25. vormittags, ab dann: Totenstille. Ab dem Zeitpunkt schaute ich voller Bewunderung nach Deutschland und Frankreich wo Datenschutz tatsächlich durchgesetzt wurde. Von einigen nordischen Ländern ganz zu schweigen. Österreich schaffte es hingegen, drei Wochen vor dem Stichtag die lokale Gesetzgebung so anzupassen, dass »Verwarnen statt Strafen« im Datenschutzgesetz steht. Entsprechend lax ist zuweilen der Umgang mit Datenschutz und gerade mal das Minimum wird in vielen Firmen umgesetzt. Im November 2019 wurde von der Datenschutzbehörde mit der 18-Millionen-Euro-Strafe gegen die österreichische Post erstmals ein ernstzunehmendes Bußgeld gegen ein österreichisches Unternehmen verhängt; dafür, dass sie die politische Einstellung der in Österreich lebenden Menschen erhoben bzw. hochgerechnet und an Werbetreibende verkauft hat. Die Post ging rechtlich gegen die Strafe vor, weil sie darin ihr zentrales Geschäftsmodell gefährdet sah – und kam tatsächlich ohne Strafzahlung davon. Und das schlug nicht einmal sonderlich hohe Wellen. Wenn ein teilstaatlicher Betrieb sein zentrales Geschäftsmodell im Datenhandel mit sensiblen Daten sieht, sagt das ja auch schon sehr viel aus. Im Übrigen stellen die 18 Millionen ziemlich genau 1 % ihres Jahresumsatzes dar. 4 % wäre die mögliche Maximalstrafe gewesen. Die Datenschutzbehörde scheint also tatsächlich aktiv zu sein – ein Umstand, der in der Bevölkerung und bei den meisten Firmen nur sehr, sehr langsam sickert. Vielleicht trägt ja das Urteil zu Google Analytics von Ende Dezember 2021 mehr zur öffentlichen Wahrnehmung bei.
Noch immer gilt: Alle, die es sich leisten können, beauftragen ihre Haus- und Hof-Kanzleien für Datenschutzthemen, ungeachtet dessen, dass Datenschutz nur zum Teil ein juristisches Thema ist. Mindestens zur Hälfte ist es auch eine Sache von technischer Expertise. Einige haben dies bereits verstanden und ihre Teams divers aufgestellt – divers hier im Sinne der Mischung von Techniker:innen und Jurist:innen. Zwei meiner vergangenen Arbeitgeber setzten auf derart durchmischte Teams und die Arbeit zwischen Jurist:innen und Techniker:innen fand ich immer sehr bereichernd.

Auf den folgenden Seiten habe ich festgehalten, was ich in den letzten Jahren gelernt habe.



Kapitel 1: Zitronenfalter falten keine Zitronen

»Datenschutz« klingt schon so staubig. Dabei geht es beim Datenschutz nur bedingt darum, Daten zu schützen. Zitronenfalter falten ja auch keine Zitronen.

Beim Datenschutz geht es darum, Menschen- und Persönlichkeitsrechte vor Missbrauch und Verkauf zu bewahren. Es geht darum, Eingriffe in unsere Grundrechte zu unterbinden. Es geht um Minderheitenschutz, Privatsphäre und höchstpersönliche Lebensbereiche. Es geht darum, was niemanden etwas angeht und dass das auch so bleiben darf. Es geht um gleiche Chancen für alle in unserer Gesellschaft, unabhängig von Finanzkraft, Herkunft oder gesellschaftlicher Stellung.

Der Knackpunkt beim Datenschutz ist, dass er ein Teamsport und kein individuelles Thema ist. Natürlich soll jede:r Einzelne auf seine oder ihre Geheimnisse aufpassen. Aber nur gemeinsam arbeiten wir effektiv daran, dass es für alle gleich fair zugeht. Jede:r kann noch so gut auf Datensparsamkeit achten; sobald eine Person aus der Gruppe WhatsApp auf dem Telefon installiert, werden alle Daten aus deren Adressbuch automatisch an Facebook übertragen. Auch die Daten derjenigen Personen, die selbst nie ein Facebook-Konto hatten oder eröffnen würden.

Die Privatsphäre der einen hört dort auf, wo die Unachtsamkeit der anderen beginnt. Oder Wurschtigkeit, wie man in Österreich wohl sagen würde.


Wer sind »Die« überhaupt?

Natürlich könnte ich jetzt hier von »Threatmodels« schreiben und weiß genau, dass 90 % der Leser:innen an dieser Stelle frustriert das Buch schließen würden. Das ist auch nur das Technikerwort für »was ist Dein größtes Problem« oder »was ist Dein Bedrohungsszenario«.
Bedrohung? Aber ich fühle mich gar nicht bedroht! Ja, genau. Die Probleme, die das Internet und all die Technik mit sich bringen, sind leider nur selten sichtbar. Abgestumpft sind wir von all den Datenskandalen auch schon. Ich nehme mich nicht aus. So sehr es mich innerlich aufregt, entlockt es mir nur noch ein müdes Augenbrauenheben, wenn Facebook nahezu im Wochentakt den datensparsamen Vogel abschießt oder ich lese, dass ein Unternehmen im Silicon Valley Informationen von Menschen, die bei Suizid-Hotlines Hilfe suchen, kommerziell auswertet und weiterverkauft.

»Die«, das sind die üblichen Verdächtigen wie Facebook, Microsoft, Apple, Amazon und Google, aber nicht nur. Ganz vorne stehen beispielsweise Versicherungen, aber auch Krankenkassen, die nur allzu gerne vom Datenkuchen naschen. Wo früher Verkehrsbeobachtung, Bewertung von Wohngegenden und Anzahl von Versicherungsfällen einer Person berücksichtigt wurden, liegen mittlerweile quasi in Echtzeit Daten aus Kartenzahlungen, Verkehrsdaten aus Navigationsgeräten, Vitaldaten aus Fitnesstrackern, Werbeprofile über Einzelpersonen und vieles mehr vor, um zu bewerten, wie risikoreich oder (un)gesund eine Person lebt. Oder eben, ob sie bei einer Hotline für Suizidgefährdete anruft.
Daneben sind auch Banken sehr an unseren digitalen Spiegelbildern interessiert. Ihnen geht es in dem Fall oft um die Kreditwürdigkeit von Menschen. Obendrein kommen Kreditauskunfteien, die ein sehr großes Interesse an Deinen Lebensumständen haben. Und wenn die Schufa demnächst verkauft wird, wird dieses Thema hoffentlich auch endlich breiter diskutiert werden.
Viele »Startups« sind aus verschiedenen Gründen regelrechte Datenlöcher. Manche achten bei ihrer Zieleverfolgung einfach nicht darauf, datensparsam vorzugehen und benutzen alles, was der Werbewerkzeugkasten so hergibt. Nicht nur für Werbung, sondern schon vorher, wenn es darum geht, ihre Apps, Services oder Webseiten mit den Softwarelösungen zu bauen, die große Anbieter wie Google oder Facebook gratis zur Verfügung stellen. Manche wollen auch bewusst vom großen Datenkuchen naschen und als ein Rädchen von tausenden in der Datenhandelsmaschinerie mitspielen.
Danach kommen Konzerne, Firmen, staatliche Stellen, Leute, die Geld machen wollen und last but not least: Menschen, die den Brexit und die Wahl Trumps zum US-Präsidenten, aber noch weitaus mehr konzertierte politische Einflussnahmen weltweit zu verantworten haben. Und zwischen all denen machen tausende Datenhändler eine Menge Geld damit, Datenmengen anzukaufen, abzugleichen, zusammenzuführen und weiterzuverkaufen.
Wenn Du mehr über staatliche Überwachung und die Maschinerie dahinter erfahren möchtest, kann ich Euch die Biographie von Edward Snowden »Permanent Record« sehr ans Herz legen. Und die Maschinerie hinter Instagram, Facebook, Google, Twitter etc. erklärt die Dokumentation »The Social Dilemma« sehr eindrucksvoll und ich spreche auch für sie eine große Empfehlung aus.
Dass auch die staatliche Nutzung unserer privaten Daten ein Thema ist, zeigte im Januar 2020 der Clearview-Skandal. Da wurde bekannt, dass eine Firma namens Clearview Fotos aus Facebook, Twitter, Youtube und anderen sozialen Netzwerken einsammelte und zu einer riesigen Datenbank mit Gesichtsbildern von Menschen zusammenführte. »Scrapen« nennt man das, also »zusammenkratzen«. Die Rede war von drei Milliarden Bildern. Und diese Datenbank samt ihren Diensten dazu, bietet Clearview über 600 Behörden, aber auch privaten Unternehmen an. In einem Artikel der Zeit steht: »Clearview überwacht, nach welchen Personen die Polizei sucht«. Der ganz besonders beunruhigende Teil ist, dass Behörden Daten von Startups und Marketingunternehmen einkaufen, auf deren Basis sie Ermittlungen führen. Wie es aussieht auch von Foto- und Beauty-App-Anbietern. Es gibt die Petition »Reclam Your Face«, »Fordert Euer Gesicht zurück«. Auf der Webseite der zivilgesellschaftlichen Initiative für ein Verbot biometrischer Massenüberwachung gibt es weitere Informationen dazu, wie unsere Bilder gegen uns verwendet werden.

Klick und weg: DSGVO

Nee, bleib weg! Alles nur schwachsinniges Gelaber und alles ist viel komplizierter geworden! Mein Arzt will eine Einwilligung von mir, dass er mein Blut wie vorher auch immer ans externe Labor zur Untersuchung schicken darf! …

Ja, ich weiß. Es ist soviel Blödsinn passiert, dass die Wörter »DSGVO« genauso wie »Datenschutz« völlig verbrannt sind. Bei den Wörtern stellt es den meisten die Nackenhaare auf. Bis auf ein paar Leute, die freiwillig in dem Bereich arbeiten (ich zum Beispiel), hat kaum jemand positive Assoziationen dazu. Und zwar – leider – aus gutem Grund.

Versuchen wir es trotzdem, ja? Also: Was ist die DSGVO und warum wollen wir sie haben?

Die DSGVO, die europäische Datenschutz-Grundverordnung, ist tatsächlich ein großer Gewinn auf der Seite von Bürger:innen. Anfang 2022 kann ich sagen, dass die guten Seiten der DSGVO in meiner Wahrnehmung langsam auch in den Medien und im Bewusstsein der Menschen zu Tage kommen.
Leider versäumten es die Regierungen sowohl in Deutschland als auch in Österreich (sowie auch in den meisten anderen europäischen Ländern), innerhalb der zwei Jahre Vorlaufzeit zwischen Inkrafttreten der DSGVO im Mai 2016 und ihrer tatsächlichen Durchsetzung ab 25. Mai 2018, hilfreiche Informationen zu produzieren und flächendeckend auszugeben. Statt zwei Jahren, die eine relativ bequeme, tiefergehende Information und halbwegs entspannte Umsetzung ermöglicht hätten, blieben letztlich nur zwei Monate, um die Auflagen der DSGVO zu erfüllen.
Die zwei Monate vor dem Stichtag am 25. Mai 2018 waren überall hektisch. Zu Recht waren Websitebetreiber:innen, kleine und mittlere Unternehmen (KMU), Anwält:innen, Blogger:innen, Unternehmer:innen, Podcaster:innen, Vereine, Ärzt:innen … eigentlich alle Menschen unglücklich darüber, die strengen Auflagen der DSGVO für ihr jeweiliges Angebot in viel zu kurzer Zeit und ohne hinreichende Informationen umzusetzen; schließlich saßen sie mit der Aufgabe im Dunkeln – allerdings allesamt in einem Boot und damit nicht alleine da. Immerhin. Eine Glanzleistung war die Kommunikation seitens Politik und Wirtschaftsvertretungen eindeutig nicht.
Seit 2018 hat sich durch die Aktivitäten der deutschen Datenschutzbehörden mit öffentlichen Bildungsangeboten, Broschüren auf den Webseiten etc. schon etwas getan. Die Datenschutzbehörden der Länder bieten häufig sehr gute Informationen und manche auch Beratung an und sind oft auch auf Social Media unterwegs und ansprechbar (zumindest auf Twitter und Mastodon). Und so langsam kommt auch mehr Bewegung in die Sache, was die Ahndung von Datenschutzvergehen angeht.
Viele beklagten sich 2018 darüber, dass die DSGVO schwammig formuliert ist und viele Details unklar seien oder fehlen. Das stimmt. Es war aber auch geplant, die DSGVO gemeinsam mit der ePrivacy-Verordnung an den Start zu schicken. Die ePrivacy-Verordnung sollte all das beinhalten, was in der DSGVO an konkreter Umsetzung fehlt. Leider haben sich hier die Lobbyisten der Werbeindustrie durchgesetzt und die ePrivacy-Verordnung auf das Abstellgleis befördert. Anfang 2021 hat Portugal die EU-Ratspräsidentschaft übernommen und nur wenige Tage danach einen neuen Entwurf der ePrivacy-VO vorgelegt. Im Februar 2021 einigte sich der EU-Ministerrat auf eine gemeinsame Version, dann begann der sogenannte Trilog, also die Verhandlungen von EU-Kommission, Parlament und Ministerrat. Ein Ende scheint noch nicht in Sicht und wenn eine Entscheidung irgendwann kommt, folgen dann, wie auch bei der DSGVO, zwei Jahre Übergangszeit. Wir dürfen also gespannt sein, wie weit Frankreich 2022 mit seiner Ratspräsidentschaft in diesem Thema kommt.

2016 blieb dank Werbe-Lobbying vom geplanten Zweiergespann nur noch die DSGVO übrig mit all ihren Höhen und Tiefen. Im Übrigen ist es ein himmelweiter Unterschied, zwischen dem Stempel »DSGVO-konform« auf einem Angebot, einer App, Webseite, … und tatsächlicher Datensparsamkeit. Die DSGVO verlangt nämlich lediglich, dass die Betreiber angeben müssen, was mit den Daten passiert. Es sagt absolut nichts darüber aus, wie datensparsam ein Unternehmen, eine App etc. tatsächlich ist. Dies macht allerdings einen wichtigen Unterschied.
Der Großteil der Menschen, die Websites oder Onlineshops anbieten, Kundenverkehr etc. haben, haben es mittlerweile geschafft, die Auflagen umzusetzen. Für uns Bürger:innen und Konsument:innen das Sichtbarste sind dabei die Informationspflichten; also Aushänge mit Hinweisen auf Kameraüberwachung und die mittlerweile allgegenwärtigen Datenschutzerklärungen. Manche haben ihre Datenschutzerklärungen, sei es aus Angst, etwas falsch zu machen (und mit drakonischen Geldstrafen bedroht zu werden), sei es aus der Annahme, einen juristisch bindenden Text verfassen (und dafür einen teuren Anwalt engagieren) zu müssen, mit Hilfe von Datenschutzerklärungs-Generatoren verfasst, die zwar teils fehlerhafte Texte ausgeben, aber besser als nichts. Selber schreiben hätte in den meisten Fällen nicht viel länger gedauert und dann wüsste man wenigstens selbst, was drin steht. Aber das will auch vier Jahre nach DSGVO noch immer niemand wissen. Mittlerweile sind vier Jahre vergangen und es wird wirklich Zeit, die Datenschutzerklärungen mal durchzuschauen, ob denn alles darin noch so stimmt, oder ob sich in den vergangenen Jahren vielleicht etwas geändert hat: neuer Hostingservice? Andere Vertragspartner? Neue Software im Einsatz? Alle, die Datenschutzerklärungen schreiben mussten, haben jederzeit die Chance, selbst etwas über ihr Unternehmen und die Datenflüsse zu lernen. Und vielleicht auch etwas nachzujustieren, wo noch etwas besser geht.

Sei es, wie es sei, für Bürger:innen, Konsument:innen, Websitebesucher:innen, Kund:innen bietet die DSGVO völlig neue Möglichkeiten. Wir haben mit dieser EU-Verordnung ein Werkzeug an die Hand bekommen, mit dem wir erstmals die Macht haben, unsere Privatsphäre einzufordern. Wir können (und sollten) lernen, diese Macht auch zu nutzen. Ganz langsam trauen sich immer mehr Menschen, Anfragen zu stellen, was mit den gesammelten Daten über sie und ihr Verhalten passiert. Mehr Menschen beschweren sich, wenn ihnen ein Datenverkauf nicht passt. Wie die Daten »verwurstet« und an wen sie weiterverkauft werden. Die Datenschutzbehörden haben dazu passende Formulare und Textvorschläge auf ihren Webseiten gesammelt. Wir haben die Möglichkeit, selbst der Sand im Getriebe einer ganzen Datenindustrie zu sein und den Verantwortlichen auf die Finger zu klopfen. Und das ist gut so, schließlich geht es um unsere digitalen Spiegelbilder und die Auswirkungen, die der Datenhandel direkt auf unser Leben, unsere Selbstbestimmung, unsere Grundrechte, die Demokratie und nicht zuletzt auf unsere Geldbeutel hat.


Nerv nicht! Sch* Banner und Pop-ups überall.

Alles DSGVO, oder was? Was sollen diese ganzen Popups und Warnmeldungen, die ich nicht verstehe und die immer nur im Weg sind?
Kommen wir dazu, dass viele, insbesondere große Websites wie Newsportale, große Webshops etc., die DSGVO, sagen wir mal, halb umgesetzt haben. Die DSGVO fordert nämlich leicht zu findende, für jede:n verständliche Informationen, welche Daten gesammelt werden, wozu und was genau (!) mit den Daten passiert. Ja, die meisten Seiten zeigen einen Hinweis, dass personenbezogene Daten verarbeitet werden. Aber schon alleine das Wozu und der Detailgrad, was damit dann passiert, an wen sie weitergegeben oder verkauft werden, da hapert es gewaltig. Außerdem ist der Hinweis meistens so verschwurbelt, dass keine:r versteht, was eigentlich mit den Daten wirklich passiert. Die Cookie-Banner nerven, die Popups auch, von den doppelten und dreifachen Newsletter-eMails müssen wir jetzt gar nicht anfangen und überhaupt ist Surfen im Netz anstrengend geworden. Aber:
Der Sinn der Sache ist, dass Nutzer:innen eine informierte Entscheidung treffen können, ob sie ein bestimmtes Angebot nutzen möchten – lies: ob ihnen das die Bezahlung wert ist; Mit Bezahlung ist gemeint, was auf der Plattform und darüber hinaus mit den Informationen über die Nutzer:innen und ihr Verhalten auf der Plattform geschieht. Marketing sei Dank sind die Erklärungstexte extra lang und so mühsam geschrieben, dass niemand Bock hat, sie zu lesen und alle den Hinweis nur wegklicken, womit sie bei den meisten Seiten automatisch in alles einwilligen, inklusive Datenhandel, Verfolgung und Profilerstellung über alle Geräte und das gesamte Internet hinweg.
Ja, da ist System dahinter. Anbieter von großen Onlineshops ebenso wie Hardwarehersteller usw. haben absolut kein Interesse an mündigen und aufgeklärten Bürger:innen. Sie machen es uns absichtlich schwer und umständlich, die Infos, die sie rechtlich geben müssen, zu finden, zu lesen und zu verstehen.

Wichtig: Ihr seid nicht zu doof, es wird uns absichtlich schwer gemacht.

So schwer, wie möglich. Ich weiß es, ich habe versucht, in einem Unternehmen verständliche Datenschutzerklärungen einzuführen und mir wurde gesagt, es sei nicht im Interesse des Unternehmens, dass die Kund:innen lesen und verstehen können, in was sie mit Unterzeichnung des Vertrags einwilligen. Denken wir an das Beispiel der österreichischen Post: Ihr zentrales Geschäftsmodell ist laut ihren eigenen Aussagen der Datenhandel. Pakete austragen? Höchstens noch ein Seitenzweig.

Apropos Schwermachen und nervende Cookie-Banner. Ja, auch die sind absichtlich missverständlich gestaltet. Drauf verlassen, dass der gut sichtbare bunte Knopf die datensparsame Variante bestätigt, wäre vermessen. Da muss man aufpassen wie ein Schießhund, wirklich das Richtige zu klicken. Und ja, das geht allen so, selbst Menschen, die im Bereich Datenschutz arbeiten fallen oft genug auf die verwirrend gestalteten Cookie-Banner rein. Der Journalist Richard Gutjahr hat im Dezember 2020 ein Video veröffentlicht, wo er sich genau mit dem Thema auseinandersetzt. (Um das und alle weiteren im Buch genannten YT-Videos ohne Google-Tracking zu schauen, könnt Ihr den Dienst Invidio.us nutzen oder Apps wie Freetube oder Newpipe.) Angefangen damit, dass die alle so aussehen, weil das iab, das Interactive Advertising Bureau, also die Lobbyvereinigung der Online Werbeindustrie, sich diesen sogenannten Standard für das Design von Cookiebannern ausgedacht hat. Im Video sieht man, wie der Bayrische Datenschutzpräsident, Michael Will, im festen Glauben, alle Cookies deaktiviert zu haben, voll auf das verschachtelte Design reinfällt. Auch er ist in die Falle getappt, die uns von der Werbeindustrie täglich millionenfach gestellt wird. Zum Glück wurde diese Form von Cookiebannern im Februar 2022 für rechtswidrig erklärt.

Hinweis: Auch hinter dem unscheinbar grauen Link »berechtigtes Interesse« stecken noch vorausgewählt angeschaltete Tracker!

Bis die ganzen von Werbeagenturen mühsam eingebauten iab-Cookie-Banner wieder aus dem Netz verschwunden sind, denkt dran, auch die Häkchen bei berechtigten Interessen wegzuklicken. Und falls Euch dabei langweilig wird, das ganze eben genannte Video ist eine große Empfehlung. Richard Gutjahr unterhält sich mit Tiemo Wölken, der als Abgeordneter in Brüssel arbeitet und sich sehr für Datenschutz stark macht.