Leseprobe

Vorwort zur sechsten Auflage

Es ist schon erstaunlich, was sich seit der ersten Auflage dieses Buchs Ende 2019 alles getan hat. Wir haben eine Datenschutz-Grundverordnung der EU bekommen, es gab (zum Teil zu Recht) große Aufregung und mittlerweile ist es normal geworden, dass Firmen sich, mitunter noch immer murrend, aber doch wenigstens im Großen und Ganzen daran halten. Die Aufregung ebbte ab, es gab eine Pandemie mit viel Homeoffice und einer steilen Lernkurve für Videokonferenzen für die meisten von uns. Blockchain und NFTs kamen und gingen, wurden von der KI aus dem Bewusstsein der Menschen direkt wieder verdrängt. Die künstliche Intelligenz oder das, was als solche verkauft und angepriesen wird, sickert nach und nach in alle unsere Systeme und in unseren Alltag, ohne dass wir es recht merken. Von kleinen bunten Icons am Seitenrand, über komische automatisierte Antworten bis hin zu handfest gesundheitsschädlichen KI-Ernährungsvorschlägen ist alles dabei. Und wir alle mittendrin.
Die beruhigende Nachricht ist: Die Grundlagen, wie das Netz funktioniert, sind noch immer dieselben und es ist menschen-machbar, sie zu durchschauen. Auch die grundlegende Funktionsweise von »KI« ist menschen-verstehbar. Und beides werden wir uns hier im Buch gemeinsam erarbeiten.

Im zweiten Teil gibt es alles, was ihr direkt umsetzen könnt, um euch online und offline besser abzusichern. Wir alle können etwas tun, um nicht alle unsere Informationen direkt in die Saugrüssel der Daten-Konzerne zu liefern, KI hin oder her. Es ist mit der allgegenwärtigen KI etwas mühsamer geworden, aber es gibt noch immer eine ganze Reihe »Quickwins«, wie wir der Datenschnorchelei einen Riegel vorschieben können. Und sie alle kosten nicht mehr als ein paar Minuten eurer Aufmerksamkeit und ein paar Klicks.

Ich freue mich auf unser gemeinsames Abenteuer, das Netz und unsere tägliche Datenwelt zu erforschen.

Eure Klaudia

Mein Weg: Wie ich selbst von einer »normalen Anwenderin« zur »zertifizierten Datenschutzexpertin« wurde

Ihr müsst nicht irgendwas mit IT oder Technik studiert oder eine mehrjährige Ausbildung in dem Bereich gemacht haben, um die Themen Privatsphäre, Datenschutz und sogar IT-Sicherheit zu verstehen. Es reicht, euch damit zu beschäftigen und auch nicht locker zu lassen, wenn euch eine Frage umtreibt.
Es ist gar nicht so lange her, da war ich eine normale Internetnutzerin. Ich hatte seit 2007 ein Facebook-Konto, nutzte Gmail und web.de und davor auch Myspace und StudiVZ. Ich arbeitete mit Google Docs und nutzte Google Maps, wenn ich mich irgendwo nicht auskannte. Ich »skypte« regelmäßig mit meiner Mutter und meiner Oma, hatte Evernote und Dropbox auf allen meinen Geräten und insgesamt wenig Ahnung, wie das Internet funktioniert, wie Werbetechnologien arbeiten und all die anderen Sachen, von denen später die Rede sein wird. Ich hatte sogar mal Kundenkarten.
Dann wechselte ich von der Uni zu einer Vollzeitstelle als Projektmanagerin in der Webentwicklung und lernte, wie das Internet funktioniert, wie man große Webseiten, Onlinespiele und Apps baut und auch, wie man Tracking, also Besucherzählung und Analyse von Nutzungsverhalten, einbaut und nutzt. Zu dem Zeitpunkt war es mein Job, Kundenprojekte zu begleiten und umzusetzen und noch immer war ich mit Facebook-Veranstaltungen und -fotoalben und allem oben Genannten fleißig dabei.
Dann gab es mehrere Ereignisse in meinem Leben, nach denen ich das vage Gefühl hatte, dass mir »Die« zu nahe auf die Pelle rückten. Personalisierte Werbung über mehrere Geräte hinweg war mir unangenehm. Bei einem Skiurlaub wusste mein Exmann, auf welcher Piste ich gefahren war, bevor ich ihm davon erzählte, weil die Familienfreigabe im Telefon ihm live anzeigte, wo sich mein Telefon – und damit auch ich – befand. Auch abseits dessen empfand ich zielgerichtete Angebote und Informationen zunehmend als übergriffig. Dabei ging es gar nicht darum, dass ich etwas zu verbergen hatte. Ich erzählte meinem Exmann ja selbst, dass ich todesmutig mit dem Skikurs die Anfängerstrecken hinunter gerast war – mit vermutlich 10 km/h. Ich fand es nur irritierend, dass er es bereits wusste.
Genauso wie viele andere, ging ich damals der Illusion auf den Leim, dass »etwas zu verbergen haben« gleichbedeutend sei mit »etwas verbrochen zu haben«.
Ich jubelte, als Anonymous Webseiten des IS übernahm und mit Werbung für Potenzmittel bespielte. Ich feuerte die Jungs und Mädels von Anonymous an: »Go, guys, go!« Und ich beschloss, mich näher mit dem Thema Internetsicherheit zu beschäftigen.
Später im selben Jahr besuchte ich meine erste Cryptoparty, einen jener Abende, die es in quasi jeder größeren Stadt gibt, an denen man von fachkundigen Menschen lernen kann, wie man die eigene Privatsphäre schützt; wie man E-Mails verschlüsselt, wie man sein Telefon sicherer macht etc. Ich wollte damals wissen, wie das mit dieser Verschlüsselung grundsätzlich funktioniert. Nicht wegen meines Exmanns, sondern weil ich schrecklich neugierig bin. Noch ein bisschen später zog ich dann bei ihm aus und wohnte zehn Wochen bei einem Kumpel auf der Couch, bis ich eine eigene Bleibe hatte.
Während dieser Zeit war ich öfter im Wiener Hackspace, dem Metalab, weil ich dort mehr Privatsphäre hatte, als auf der fremden Couch. Ich lernte nicht nur, wie Verschlüsselung funktioniert und welche Messenger sinnvoller sind als andere, und warum. Ich lernte auch eine Menge Leute kennen, die im Bereich Datenschutz und IT-Sicherheit wissen, was sie tun.
Im selben Jahr fuhr ich sehr spontan nach Hamburg zum jährlichen Chaos Communication Congress des CCC, des Chaos Computer Clubs. Ich war überwältigt. Neben einem ausufernden Maß an buntem Blinken und vielen Spaß-Projekten, wie beispielsweise einem Fernschreiber, dem man über das Internet Nachrichten schicken konnte, die dann auf Lochstreifen ausgegeben wurden, gab es ein Vortragsprogramm, das sich gewaschen hatte. Nahezu alles wurde von den Teilnehmenden selbst angeboten. Keine bezahlten Vortragenden und schon gar keine »Keynotespeaker«, sondern alles Leute, die in ihren Dayjobs tagtäglich mit dem Zeug arbeiteten, über das sie sprachen. Die Vorträge hatten insgesamt ein derart hohes Niveau, wie ich es an der Uni nur selten erlebt habe. Bis heute: Hut ab!
Nach diesem Kongress wurde in Wien die lokale CCC-Niederlassung reaktiviert, die die letzten zehn Jahre eingeschlafen gewesen war, und ich hatte die Chance, mich einzubringen. Gleich zu Beginn der Vereinstätigkeit wurden zwei große Projekte gestartet: Wir holten Chaos macht Schule von Deutschland nach Wien. Das bedeutet, dass Menschen in ihrer Freizeit unbezahlt in Schulen gehen und dort Workshops zu Internetsicherheit und Medienkompetenz für Schülerinnen und Schüler, Lehrende und Eltern abhalten. Viele von ihnen nehmen sich dafür extra einen halben Tag oder auch länger frei, um ehrenamtlich das zu kompensieren, was andere für viel Steuergeld in ihrer Arbeitszeit versäumen.
Das andere Projekt, das im selben Jahr startete, war die PrivacyWeek, die bis 2021 jährlich stattfand, 2020 und 2021 aufgrund der Gegebenheiten komplett online. Die PrivacyWeek war eine ganze Woche voller Workshops, Vorträge, Kunstprojekte, Filmvorführungen, Diskussionsrunden und Austausch. Zielgruppe: alle, die die Themen Privatsphäre, Medienkompetenz, Internetsicherheit und Demokratie interessieren – weil wir unser Wissen und unsere Erfahrungen in die Gesellschaft tragen wollten. Ich bin sehr glücklich darüber, dieses, mein Herzens-Projekt, betreut und gestaltet zu haben.
Im Frühjahr 2016, wenige Wochen nach meinem ersten Congress, hatte ich aufgehört, Facebook zu nutzen. Ebenso Google Maps, die Google Suche, WhatsApp, Gmail, web.de, GMX und einiges andere, was mir nicht einmal mehr einfällt. Ich hatte noch Twitter und die E-Mail-Adresse, die mit dem Webspace meiner Domain gekommen war. Außerdem noch Skype für das sonntägliche Video-Telefonat mit meiner Familie. In meiner Erinnerung habe ich nicht einmal gemerkt, wie ich mich langsam aber sicher von allem anderen verabschiedet hatte.
Ich begann, Vorträge darüber zu halten, welche Dienste datensparsamer sind als andere. Ich erzählte bei Autorinnen-Treffen davon, was Hacker sind und was alles nicht. Und dass niemand, der oder die sich mit IT-Sicherheit auskennt, jemals »Cyber« sagt, ohne es ironisch zu meinen; weil es nämlich von Kybernetik kommt und absolut nichts mit dem zu tun hat, wofür es im Marketing und in den Medien verwendet wird.
Ich lernte im nächsten Dayjob – wieder Projektmanagement Webentwicklung –, wie große Trackinganbieter wie Adobe, IBM und Oracle arbeiten und wie deren Verträge aussehen. Allerdings machte ich wenig Projektmanagement. Stattdessen sollte ich mich 14 Monate lang um Google Werbebanner kümmern. Ich erzählte meinem Arbeitgeber im Wochentakt, dass ich das nicht machen will und warum und kündigte schließlich, als ich noch mehr Werbebanner auf meinen Tisch bekam.
Stattdessen machte ich die Ausbildung zur Datenschutzbeauftragten. Ich hatte mittlerweile genug gelernt, dass ich mich mit dem Thema wohl fühlte. Nach der Prüfung hängte ich noch die zur Datenschutzexpertin bei der österreichischen Wirtschaftskammer dran.
 Der 25. Mai 2018, also der Stichtag für die DSGVO, kam und zumindest in Österreich schien damit das Thema gestorben. Schlag Mitternacht war alles ruhig. Fünf Nachzügler-E-Mails kamen noch am 25. vormittags, danach: Totenstille. Ab diesem Zeitpunkt schaute ich voller Bewunderung nach Deutschland und Frankreich, wo Datenschutz tatsächlich durchgesetzt wurde. Von einigen nordischen Ländern ganz zu schweigen. Österreich schaffte es hingegen, drei Wochen vor dem Stichtag die lokale Gesetzgebung so anzupassen, dass »Verwarnen statt Strafen« im Datenschutzgesetz steht. Entsprechend lax ist zuweilen der Umgang mit Datenschutz. Gerade mal das Minimum wird in vielen Firmen umgesetzt. Im November 2019 wurde von der Datenschutzbehörde mit der 18-Millionen-Euro-Strafe gegen die österreichische Post erstmals ein ernstzunehmendes Bußgeld gegen ein österreichisches Unternehmen verhängt; dafür, dass sie die politische Einstellung der in Österreich lebenden Menschen ermittelt bzw. hochgerechnet und an Werbetreibende verkauft hat. Die Post ging rechtlich gegen die Strafe vor, weil sie darin ihr zentrales Geschäftsmodell gefährdet sah – und kam tatsächlich ohne Strafzahlung davon. Das schlug nicht einmal sonderlich hohe Wellen.
Wenn ein teilstaatlicher Betrieb sein zentrales Geschäftsmodell im Datenhandel mit sensiblen Daten sieht, sagt das sehr viel aus. Im Übrigen stellen 18 Millionen ziemlich genau ein Prozent ihres Jahresumsatzes dar. Vier Prozent wäre die mögliche Maximalstrafe gewesen. Die Datenschutzbehörde scheint also tatsächlich aktiv zu sein – ein Umstand, der in der Bevölkerung und bei den meisten Firmen nur sehr, sehr langsam ankommt. Auch das Urteil zu Google Analytics von Ende Dezember 2021 hat nicht ernsthaft zur öffentlichen Sensibilisierung beigetragen.
Noch immer gilt: Alle, die es sich leisten können, beauftragen ihre Haus- und Hof-Kanzleien für Datenschutzthemen, ungeachtet dessen, dass Datenschutz nur zum Teil ein juristisches Thema ist. Mindestens genau so sehr ist es eine Sache von technischer Expertise. Einige haben dies bereits verstanden und ihre Teams divers aufgestellt; divers hier im Sinne einer Mischung von Technikerinnen und Juristen. Zwei meiner vergangenen Arbeitgeber setzten auf derart durchmischte Teams. Die Zusammenarbeit von Juristinnen und Technikern fand ich immer sehr bereichernd.
Seit 2019 bin ich freiberuflich tätig, schreibe Bücher und halte Workshops und Vorträge. Mittlerweile habe ich mich in Richtung Ethical Hacking & Pentesting weitergebildet. Pentesting steht für »Penetration Testing« und bedeutet, dass man versucht, in Systeme einzudringen. Mit all dem habe ich mich auf IT-Security-Awareness spezialisiert und tue genau das, was ich mit diesem Buch hier im Jahr 2019 angefangen habe.
Auf den folgenden Seiten habe ich festgehalten, was ich in den letzten Jahren gelernt habe.



Kapitel 1: Zitronenfalter falten keine Zitronen

Datenschutz klingt schon so staubig. Dabei geht es beim Datenschutz nur bedingt darum, Daten zu schützen. Zitronenfalter falten ja auch keine Zitronen.

Beim Datenschutz geht es darum, Menschen- und Persönlichkeitsrechte vor Missbrauch und Verkauf zu bewahren. Es geht darum, Eingriffe in unsere Grundrechte zu unterbinden. Es geht um Minderheitenschutz, Privatsphäre und höchstpersönliche Lebensbereiche. Es geht darum, was niemanden etwas angeht und dass das auch so bleiben darf. Es geht um gleiche Chancen für alle in unserer Gesellschaft, unabhängig von Finanzkraft, Herkunft oder gesellschaftlicher Stellung. Damit geht es auch um unsere Demokratie und deren Grundwerte.
Der Knackpunkt beim Datenschutz ist, dass er ein Teamsport und kein individuelles Thema ist. Natürlich soll jeder Mensch auf seine Geheimnisse aufpassen. Aber nur gemeinsam arbeiten wir effektiv daran, dass es für alle gleich fair zugeht. Jeder kann noch so gut auf Datensparsamkeit achten; sobald eine Person aus der Gruppe WhatsApp auf dem Telefon installiert, werden alle Daten aus deren Adressbuch automatisch an den Mutterkonzern Meta übertragen. Auch die Daten derjenigen Personen, die selbst nie ein WhatsApp-, Instagram- oder Facebook-Konto hatten oder eröffnen würden.
Google, Meta, Microsoft und der Großteil der ganzen Silicon-Valley-Konzerne (aber nicht nur die), haben sich mit ein paar kleinen Änderungen ihrer AGB die Rechte zugesichert, alles, was wir in ihren Services tun, für das Training von deren KI-Systemen zu sichern. Sprich: Wenn eine Person aus der Gruppe Gmail hat, geht die gesamte E-Mail-Konversation in den Datenpool von Googles KI ein, auch wenn alle anderen sichere E-Mail-Anbieter verwenden.

Die Privatsphäre der einen hört dort auf, wo die Unachtsamkeit der anderen beginnt. Oder Wurschtigkeit, wie man in Österreich wohl sagen würde.

---


Wer sind Die überhaupt?


Natürlich könnte ich jetzt hier von »Threatmodels« schreiben und weiß genau, dass 90 Prozent der Lesenden an dieser Stelle frustriert das Buch schließen würden. Dabei ist das nur das Technikerwort für »was ist dein größtes Problem« oder »was ist dein Bedrohungsszenario«.
Bedrohung? Aber ich fühle mich gar nicht bedroht! Ja, genau. Die Probleme, die das Internet und all die Technik mit sich bringen, sind nur selten sichtbar. Abgestumpft sind wir von all den Datenskandalen auch schon. Ich nehme mich nicht aus. So sehr es mich innerlich aufregt, entlockt es mir nur noch ein müdes Augenbrauenheben, wenn Meta nahezu im Wochentakt den datensparsamen Vogel abschießt oder wenn ich lese, dass ein Unternehmen im Silicon Valley Informationen von Menschen, die bei Suizid-Hotlines Hilfe suchen, kommerziell auswertet und weiterverkauft. Von den ganzen geleakten KI-Eingaben ganz zu schweigen.
Die, das sind die üblichen Verdächtigen wie Meta, Microsoft, Apple, Amazon und Google, aber nicht nur. Ganz vorne stehen all die tausenden Datenhändler und deren Kunden, wie beispielsweise Versicherungen, aber auch Krankenkassen, die nur allzu gerne vom Datenkuchen naschen. Wo früher Verkehrsbeobachtung, Bewertung von Wohngegenden und Anzahl von Versicherungsfällen einer Person berücksichtigt wurden, liegen mittlerweile in Echtzeit Daten aus Kartenzahlungen, Verkehrsdaten aus Navigationsgeräten, Vitaldaten aus Fitness-Trackern, Werbeprofile über Einzelpersonen und vieles mehr vor, um zu bewerten, wie risikoreich oder (un)gesund eine Person lebt. Oder eben, ob sie bei einer Hotline für Suizidgefährdete anruft.
Daneben sind auch Banken sehr an unseren digitalen Spiegelbildern interessiert. Ihnen geht es oft um die Kreditwürdigkeit von Menschen. Dazu kommen Kreditauskunfteien, die ein sehr großes Interesse an unseren Lebensumständen haben. Durch die Diskussionen um den Verkauf der deutschen Schufa an ein ausländisches Startup wurde das Thema auch endlich etwas breiter diskutiert. Vielleicht aber noch nicht breit genug.
Apropos Startups: viele davon sind aus verschiedenen Gründen regelrechte Datenlöcher. Manche achten bei ihrer Zielverfolgung einfach nicht darauf, datensparsam vorzugehen und benutzen alles, was der Werbewerkzeugkasten aktuell hergibt. Nicht nur für Werbung, sondern schon vorher, wenn es darum geht, ihre Apps, Services oder Webseiten mit den Softwarelösungen zu bauen, die große Anbieter wie Google oder Facebook gratis zur Verfügung stellen. Manche wollen auch bewusst vom großen Datenkuchen naschen und als ein Rädchen unter tausenden in der Datenhandelsmaschinerie mitspielen.
Danach kommen Konzerne, Firmen, staatliche Stellen, Leute, die Geld machen wollen und last but not least: Menschen, die den Brexit und die Wahl Trumps zum US-Präsidenten, aber noch weitaus mehr konzertierte politische Einflussnahmen weltweit zu verantworten haben. Zwischen all denen machen zehntausende Datenhändler eine Menge Geld damit, Datenmengen einzusammeln, weitere dazu anzukaufen, alles abzugleichen, zusammenzuführen und weiterzuverkaufen.

Wenn ihr mehr über staatliche Überwachung und die Maschinerie dahinter erfahren möchtet, kann ich euch die Autobiographie von Edward Snowden, Permanent Record, sehr ans Herz legen. Die Mechanismen hinter Instagram, Facebook, Google, Twitter etc. erklärt die Dokumentation The Social Dilemma sehr eindrucksvoll; ebenfalls eine große Empfehlung.
Dass auch die staatliche Nutzung unserer privaten Daten ein Thema ist, zeigte im Januar 2020 der Clearview–Skandal. Da wurde bekannt, dass eine Firma namens Clearview Fotos aus Facebook, Twitter, Youtube und anderen sozialen Netzwerken einsammelte und zu einer riesigen Datenbank mit Gesichtsbildern von Menschen zusammenführte. »Scrapen« nennt man das, also »zusammenkratzen«. Die Rede war von drei Milliarden Bildern. Diese Datenbank samt ihren Diensten dazu, bietet Clearview über 600 Behörden, aber auch privaten Unternehmen an. In einem Artikel der Zeit steht: »Clearview überwacht, nach welchen Personen die Polizei sucht«. Der ganz besonders beunruhigende Teil ist, dass Behörden Daten von Startups und Marketingunternehmen einkaufen, auf deren Basis sie Ermittlungen führen. Nicht nur von unseren Gesichtsbildern, wie sich im Juni 2023 herausstellte, aber durchaus auch das. Beispielsweise von Foto- und Beauty-App-Anbietern. Es gibt die Petition »Reclaim Your Face«, »Fordert euer Gesicht zurück«. Auf der Webseite der zivilgesellschaftlichen Initiative für ein Verbot biometrischer Massenüberwachung finden sich noch immer weitere Informationen und aktuelle News dazu, wie unsere Fotos und Daten gegen uns verwendet werden. Ein Beispiel aus 2023 ist die Gesichtserkennung in Großbritanniens Supermärkten zur Verfolgung von Ladendieben.

---


Klick und weg: DSGVO


Ja, ich weiß. Es ist viel Blödsinn passiert, so dass die Wörter DSGVO und Datenschutz so um 2019/2020 völlig verbrannt waren. Bei den Begriffen stellt es manchmal auch heute noch einigen die Nackenhaare auf. Bis auf ein paar Leute, die freiwillig in dem Bereich arbeiten (ich zum Beispiel), hat kaum jemand wirklich positive Assoziationen damit. Und das – leider – aus gutem Grund.
Versuchen wir es trotzdem, ja? Also: Was ist die DSGVO und warum wollen wir sie haben?

Die DSGVO, die europäische Datenschutz-Grundverordnung, ist tatsächlich ein großer Gewinn auf der Seite von uns Bürgerinnen. Im Jahr 2022 fing es langsam an, dass die guten Seiten der DSGVO auch in den Medien und im Bewusstsein der Menschen ankamen. Seit Mitte 2023 sind die ärgsten Attacken gegen die Gesetzgebung (hoffentlich) vorbei. Zu Beginn sah das ganz anders aus. Zwischen 2016 und 2018 versäumten es die Regierungen sowohl in Deutschland als auch in Österreich (sowie auch in den meisten anderen europäischen Ländern), innerhalb der zwei Jahre Vorlaufzeit zwischen Inkrafttreten der DSGVO im Mai 2016 und ihrer tatsächlichen Durchsetzung ab 25. Mai 2018, hilfreiche Informationen zu produzieren und flächendeckend zur Verfügung zu stellen. Von zwei Jahren, die eine relativ bequeme, tiefergehende Information und halbwegs entspannte Umsetzung ermöglicht hätten, blieben letztlich zwei Monate, um die Auflagen der DSGVO zu erfüllen. Sagen wir es ehrlich: Das war absolut daneben.
Die zwei Monate vor dem Stichtag am 25. Mai 2018 waren überall hektisch. Zu Recht waren Webseitenbetreiber, kleine und mittlere Unternehmen (KMU), Anwältinnen, Blogger, Unternehmerinnen, Podcaster, Vereine, Ärztinnen … eigentlich alle Menschen unglücklich darüber, die strengen Auflagen der DSGVO für ihr jeweiliges Angebot in viel zu kurzer Zeit und ohne hinreichende Informationen umsetzen zu müssen; schließlich saßen sie mit der Aufgabe im Dunkeln, wenn auch nicht alleine da. Es ging letztlich allen so. Eine Glanzleistung war die Kommunikation seitens Politik und Wirtschaftsvertretungen eindeutig nicht.
Seit 2018 hat sich durch die Aktivitäten der deutschen Datenschutzbehörden mit öffentlichen Bildungsangeboten, Broschüren auf den Webseiten etc. schon einiges getan. Die Datenschutzbehörden der Länder bieten häufig sehr gute Informationen und manche auch Beratung an und sind oft auf Social Media erreichbar. Datenschutzvergehen werden mittlerweile ernsthaft geahndet. Zum fünften Geburtstag der DSGVO hat Facebooks Mutterkonzern Meta im Mai 2023 eine Strafe über 1,2 Milliarden Dollar aufgebrummt bekommen.
Viele beklagten sich 2018 darüber, dass die DSGVO schwammig formuliert sei und viele Details unklar seien oder fehlten. Das stimmt. Es war aber auch geplant, die DSGVO gemeinsam mit der ePrivacy-Verordnung an den Start zu schicken. Die ePrivacy-Verordnung sollte all das beinhalten, was in der DSGVO an konkreter Regelung fehlt. Leider haben sich hier die Lobbyisten der Werbeindustrie durchgesetzt und die ePrivacy-Verordnung auf das Abstellgleis befördert. Anfang 2021 hat Portugal die EU-Ratspräsidentschaft übernommen und nur wenige Tage danach einen neuen Entwurf der ePrivacy-VO vorgelegt. Im Februar 2021 einigte sich der EU-Ministerrat auf eine gemeinsame Version, dann begann der so genannte Trilog, also die Verhandlungen von EU-Kommission, Parlament und Ministerrat. Seitdem ist es wieder still geworden um die ePrivacy-VO. Falls irgendwann eine Entscheidung kommen sollte, was ich noch immer stark hoffe, folgen dann, wie auch bei der DSGVO, zwei Jahre Übergangszeit.
2016 blieb dank Werbe-Lobbying vom geplanten Zweiergespann also nur die DSGVO übrig, mit all ihren Höhen und Tiefen. Im Übrigen ist das bei weitem nicht dasselbe: der Stempel »DSGVO-konform« auf einem Angebot, einer App, Webseite, … und tatsächliche Datensparsamkeit. Die DSGVO verlangt nämlich lediglich, dass die Betreiber angeben müssen, was mit den Daten passiert. Doch das sagt absolut nichts darüber aus, wie datensparsam ein Unternehmen, eine App etc. tatsächlich ist. Dies macht allerdings einen wichtigen Unterschied.
Der Großteil der Menschen, die Webseiten oder Onlineshops anbieten, Kundenverkehr etc. haben, haben es mittlerweile geschafft, die Auflagen umzusetzen. Für uns Bürger und Konsumentinnen das Sichtbarste sind dabei die Informationspflichten; also Aushänge mit Hinweisen auf Kameraüberwachung und die mittlerweile allgegenwärtigen Datenschutzerklärungen. Manche haben ihre Datenschutzerklärungen, sei es aus Angst, etwas falsch zu machen (und mit drakonischen Geldstrafen bedroht zu werden), sei es aus der Annahme, einen juristisch bindenden Text verfassen und dafür einen teuren Anwalt engagieren zu müssen, mit Hilfe von Datenschutzerklärungs-Generatoren verfasst, die zwar teils fehlerhafte Texte ausgeben, aber besser sind als nichts. Selber schreiben hätte in den meisten Fällen nicht viel länger gedauert und man wüsste wenigstens selbst, was drin steht. Aber das will noch immer niemand hören. Mittlerweile sind sieben Jahre vergangen und es wird wirklich Zeit, die Datenschutzerklärungen mal wieder durchzuschauen: Stimmt darin noch alles? Oder hat sich in den vergangenen Jahren vielleicht etwas geändert? Neuer Hosting-Anbieter? Andere Vertragspartner? Neue Software im Einsatz? KI??? Alle, die Datenschutzerklärungen schreiben mussten, haben jederzeit die Chance, selbst etwas über ihr Unternehmen und die Datenflüsse darin und darüber hinaus zu lernen. Vielleicht auch etwas nachzujustieren, wo noch etwas besser geht.
Sei es, wie es sei, für Bürgerinnen, Konsumenten, Webseiten-Besucherinnen und Kunden bietet die DSGVO völlig neue Möglichkeiten. Wir haben mit dieser EU-Verordnung ein Werkzeug an die Hand bekommen, mit dem wir erstmals die Macht haben, unsere Privatsphäre einzufordern. Wir können (und sollten) lernen, diese Macht auch zu nutzen. Es trauen sich immer mehr Menschen, Anfragen zu stellen, was mit den gesammelten Daten über sie und ihr Verhalten passiert. Mehr Menschen beschweren sich, wenn ihnen ein Datenverkauf nicht passt. Und fragen nach, ob ihr Nutzungsverhalten jetzt Teil von KI-Trainings wird, wie die Daten »verwurstet« und an wen sie weiterverkauft werden. Die Datenschutzbehörden haben dazu passende Formulare und Textvorschläge auf ihren Webseiten gesammelt. Wir selbst haben die Möglichkeit, der Sand im Getriebe einer ganzen Datenindustrie zu sein und den Verantwortlichen auf die Finger zu klopfen. Und das ist gut so, schließlich geht es um unsere digitalen Spiegelbilder und die Auswirkungen, die der Datenhandel direkt auf unser Leben, unsere Selbstbestimmung, unsere Grundrechte, die Demokratie und nicht zuletzt auf unsere Geldbeutel hat.

---


Banner und Pop-ups überall


Alles DSGVO, oder was? Was sollen diese ganzen Pop-ups und Warnmeldungen, die ich nicht verstehe und die immer nur im Weg sind?
Viele, insbesondere große Webseiten, wie Newsportale, große Webshops etc. haben die DSGVO, sagen wir mal, halb umgesetzt. Die DSGVO fordert nämlich leicht zu findende, für alle verständliche Informationen, welche Daten gesammelt werden, wozu und was genau (!) mit den Daten passiert. Ja, die meisten Seiten zeigen einen Hinweis, dass personenbezogene Daten verarbeitet werden und zu übersehen ist der in der Regel auch nicht. Aber schon alleine beim Wozu und dem Detailgrad, was mit den Informationen über uns und unser Nutzungsverhalten passiert, an wen sie weitergegeben oder verkauft werden: Da hapert es gewaltig. Außerdem ist der Hinweis meistens so verschwurbelt, dass niemand versteht, was eigentlich mit den Daten wirklich passiert. Die Cookie-Banner nerven, die Pop-ups auch, von den doppelten und dreifachen Newsletter-E-Mails müssen wir jetzt gar nicht anfangen und überhaupt ist Surfen im Netz mittlerweile so anstrengend, dass wir den Großteil der Mühsal schon aus Gewohnheit ignorieren. Aber: Der Sinn der Sache ist, dass wir Menschen eine informierte Entscheidung treffen können, ob wir ein bestimmtes Angebot nutzen möchten – lies: ob uns das die Bezahlung wert ist. Mit Bezahlung ist gemeint, was auf der Plattform und darüber hinaus mit den Informationen über uns und unser Verhalten geschieht. Marketing sei Dank, sind die Erklärungstexte extra lang und so kompliziert geschrieben, dass niemand Lust hat, sie zu lesen und alle den Hinweis nur weg klicken, womit man bei den meisten Seiten automatisch in alles einwilligt, inklusive Datenhandel, Verfolgung und Profilerstellung über alle Geräte und das gesamte Internet hinweg. Jetzt natürlich auch KI-Training, samt nie wieder löschbarem Vorhandensein in der Datenbasis der jeweiligen Konzern-KI plus Weitergabe an Dritte.
Ja, da ist System dahinter. Anbieter von großen Onlineshops, ebenso wie Hardware-Hersteller usw. haben kein Interesse an mündigen und aufgeklärten Bürgerinnen. Sie machen es uns absichtlich schwer und umständlich, die Infos, die sie rechtlich geben müssen, zu finden, zu lesen und zu verstehen.

Wichtig: Ihr seid nicht zu doof, es wird uns absichtlich schwer gemacht.

So schwer wie möglich. Ich weiß es, ich habe versucht in einem Unternehmen verständliche Datenschutzerklärungen einzuführen. Mir wurde gesagt, es sei nicht im Interesse des Unternehmens, dass die Kunden lesen und verstehen können, in was sie mit Unterzeichnung des Vertrags einwilligen. Denken wir an das Beispiel der österreichischen Post: Deren zentrales Geschäftsmodell ist laut ihren eigenen Aussagen der Datenhandel. Pakete austragen? Höchstens noch ein Seitenzweig.

Apropos Schwermachen und nervende Cookie-Banner: Ja, auch die sind absichtlich missverständlich gestaltet. Sich darauf zu verlassen, dass der gut sichtbare bunte Knopf die datensparsame Variante bestätigt, wäre vermessen. Da muss man aufpassen wie ein Schießhund, wirklich das Richtige zu klicken. Und ja, das geht allen so, selbst Menschen, die im Bereich Datenschutz arbeiten, fallen oft genug auf die verwirrend gestalteten Cookie-Banner rein. Der Journalist Richard Gutjahr hat im Dezember 2020 ein Video veröffentlicht20, wo er sich genau mit dem Thema auseinandersetzt. Angefangen damit, dass die alle gleich aussehen, weil das iab, das Interactive Advertising Bureau, also die Lobbyvereinigung der Online Werbeindustrie, sich diesen so genannten »Standard« für das Design von Cookiebannern ausgedacht hat. Im Video sieht man, wie der Bayrische Datenschutzpräsident, Michael Will, im festen Glauben, alle Cookies deaktiviert zu haben, voll auf das verschachtelte Design reinfällt. Auch er ist in die Falle getappt, die uns von der Werbeindustrie täglich millionenfach gestellt wird. Zum Glück wurde diese Form von Cookiebannern im Februar 2022 für rechtswidrig erklärt. Aus dem Internet verschwunden sind sie trotzdem leider noch lange nicht.

Hinweis: Auch hinter dem unscheinbar grauen Link »berechtigtes Interesse« stecken meist noch vorausgewählt eingeschaltete Tracker.

Bis die ganzen von Werbeagenturen mühsam eingebauten iab-Cookie-Banner wieder aus dem Netz verschwunden sind, denkt dran, auch die Häkchen bei berechtigten Interessen wegzuklicken. Falls euch dabei langweilig wird: das ganze eben genannte Video ist eine große Empfehlung. Richard Gutjahr unterhält sich darin auch mit Tiemo Wölken (SPD / EU S&D), der als Abgeordneter in Brüssel arbeitet und sich sehr für Datenschutz stark macht. 
(Um dieses und auch alle anderen YT-Videos ohne Google-Tracking zu schauen, könnt ihr den Dienst Invidio.us nutzen oder Apps wie Freetube oder Newpipe.)