Vorratsdatenspeicherung lebt immer noch

Eine Vorratsdatenspeicherung steht einer freiheitlich orientierten, demokratischen Gesellschaft komplett entgegen. Pi-pa-punkt. Nein... NEIN... keine Diskussion. Kein Aber, aber..., auch nicht aus dem Innenministerium! Weder (Links- oder Rechts- oder anderer) Terrorismus noch Steuerhinterziehung noch Corona lassen sich mit Vorratsdatenspeicherung verhindern. Die klassischen Argumente für VDS sind schon lange als unsinnig entzaubert worden.

Gab viele Initiativen für und wider die VDS, gerne mal den Wikipedia-Artikel durchskimmen.

Sehr interessant auch im Detail, was Europol so für eine Wunschliste hat, was diese Vorratsdatenspeicherung angeht. Da wirds einem ganz anders. Wunschliste heißt zwar nicht, dass sie auch alles bekommen, was sie wollen. Aber vermutlich schon das meiste, wenn die VDS denn mal endlich im EU-Recht verankert wird. Und das kommt, macht euch da mal keine falschen Hoffnungen, bloß weil ein paar Rebellen bisher immer dazwischengefunkt haben.

Unsere deutsche Regierung, aktuell die EU-Ratspräsidentschaft innehabend, will dem Thema wieder mehr Aufmerksamkeit schenken - siehe Heise-Artikel - und VDS voranbringen.

Permalink

Mitarbeiter ausschnüffeln: Teuer, aber nicht teuer genug

Hach, die guten alten Zeiten... erinnert sich noch jemand an den Lidl-Skandal (2008), als Mitarbeiter ausspioniert wurden? Mit Detektiven, Kameras und so... - weil ja so viele Diebe unterwegs gewesen seien. Herr Seehofer war damals Verbraucherschutzminister. Da war das Internetz noch nicht mal Neuland und alles noch viel einfacher und besser. Man musste noch nicht mal seine Fehler als Fehler offen zugeben, sondern konnte sich alles zurechtrechtfertigen. Zehn Jahre später ist die Welt schon viel kompliziertererer.

Seit Einführung der DSGVO 2018 wurden schon manche Strafen in Millionenhöhe ausgesprochen. Drei Beispiele:

Neuer Fall, dieses Mal triffts H&M in Deutschland. Die haben aber auch wirklich sehr gründlich Scheiße gebaut:

Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Der Umsatz in 2019 von H&M betrug ca. 22 Mrd. EUR. Das Bußgeld betrug 35,3 Mio. EUR, das entspricht ca. 0,16% des jährlichen Umsatzes.

Die DSGVO sieht Strafen bis zu 20 Mio. EUR oder 4% des jährlichen, weltweiten Umsatzes vor (je nachdem, was höher ist).

Mir muss jetzt jemand mal genau erklären, warum H&M für die Sauerei, die veranstaltet wurde, weit weniger (im Verhältnis zum Umsatz) zahlen muss als beispielsweise die Deutsche Wohnen oder 1&1. Deren Verstöße sind zwar selbstverständlich auch hart zu ahnden, hinsichtlich der Niedertracht kommt die Schlamperei ("nur" ein Verstoß gegen TOM-Vorgaben) sowohl bei DW als auch bei 1&1 aber aus meiner Sicht bei Weitem nicht an den vorsätzlichen Mitarbeiter-Missbrauch heran, den H&M da hingelegt hat. Hätte man beim Strafmaß den Spielraum auch nur annähernd ausgenutzt, den die DSGVO bietet, müsste H&M rund 880 Mio. EUR Bußgeld zahlen. Den Rahmen komplett auszureizen wäre sicherlich nicht ganz fair, da es sich - das nehme ich  zugunsten von H&M einfach mal an - um gravierendes Fehlverhalten nur eines kleinen Teils der Management-Ebene handelt. Trotzdem steht H&M auch als Gesamtkonstrukt in der Verantwortung.

Die Pressestelle des HmbBfDI (vom HmbBfDI wurde das Bußgeld verhängt) hat noch folgenden Absatz rausgelassen:

Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.

Man sollte noch mal einen Schritt zurückgehen und schauen, was da eigentlich passiert ist: Weil irgendein Dummerle einen Konfigurationsfehler verursacht hat, und die ganzen, intimen Mitarbeiter-Profile auf einmal unternehmensweit einsehbar waren, kam es überhaupt zu einer Öffentlichmachung dieses Datensumpfs. Hätte es den Konfigurationsfehler nicht gegeben, wäre möglicherweise weiter unbegrenzt gesammelt worden.

Also nachträglich fein Entschuldigung sagen, die Betroffenen mit etwas Geld überschütten und einen Datenschutz-Heini samt "Datenschutzkonzept" installieren, damit ab und zu mal rumgeprüft wird - das soll alles sein?

Wenn ein Unternehmen es überhaupt zulässt, dass Leute in Führungspositionen gelangen, die mit ihren Mitarbeitern umspringen als seien es Sklaven, aus denen man jeden Cent Arbeitskraft erpressen muss, hat dieses Unternehmen dafür auch geradezustehen. Daher hielte ich eine Strafe mindestens im niedrigen dreistelligen Millionenbereich für viel plausibler.

Ich weiß, ich weiß. Nicht angemessen im Endstadium des Kapitalismus.

Permalink

Leckerchen für Autofahrer: Section Control

Auf deutschen Autobahnen wird munter fotografiert. Wissen wir ja schon länger. Gefahrenabwehr, Terrorismusbekämpfung, Überwachung des Güterverkehrs, Strafverfolgung, wasweißich.

Seit 2019 gab es in Niedersachsen ein Pilotprojekt namens "Section Control" - gewissermaßen eine stark gepimpte Version klassischer Blitzer. Datenschützer wollten dagegen angehen, aber endgültig vergebens, wie sich jetzt herausgestellt hat.

Die Abschnittskontrolle bezeichnet ein System zur Überwachung der Geschwindigkeit im Straßenverkehr, bei dem die Geschwindigkeit nicht an einem bestimmten Punkt, sondern die Durchschnittsgeschwindigkeit über eine längere Strecke gemessen wird. Die Vorteile dieser Technik liegen darin, dass sie für die Verkehrsteilnehmenden eine gerechtere Methode darstellen, da jede Fahrzeuggeschwindigkeit streckenbezogen gemessen und nur die durchschnittliche Überschreitung verfolgt wird. Diese gerechtere Methode führt zu deutlich mehr Akzeptanz der Abschnittskontrolle gegenüber den punktuellen Blitzern. Das Messsystem dient der Einhaltung der vorgeschriebenen Geschwindigkeit im gesamten überwachten Streckenabschnitt. Dadurch werden eine spürbare Harmonisierung des Verkehrsflusses und damit eine Erhöhung der Verkehrssicherheit erreicht.

Selbstverständlich wird bei dieser ganzen Kennzeichenspeicherei hoch und heilig versprochen, dass hier eine strikte Zweckbindung vorläge. Natürlich(!) würden die Kennzeichendaten gelöscht, wenn sie nicht mehr benötigt werden. Und natürlich(!) würden die Kennzeichendaten nur zum Austeilen von Knöllchen an Zuschnellfahrer genutzt.

Wie gut man sich auf diese Zweckbindungsversprechen verlassen kann, sehen wir beispielsweise gerade bei den Corona-Listen.

Der niedersächsische Minister für Inneres und Sport, Boris Pistorius, fügt mit stolzgeschwellter Brust hinzu:

Gerade vor diesem Hintergrund bin ich froh, dass wir diesen Schritt als erstes Bundesland seinerzeit gewagt haben und die Rechtmäßigkeit der Abschnittskontrolle jetzt abschließend gerichtlich bestätigt wurde. Damit steht auch anderen Bundesländer die Möglichkeit offen, dem niedersächsischen Beispiel zu folgen und diese innovative Technik zukünftig bei sich auf geeigneten Strecken einzusetzen.

Am besten gleich auf die ganze Bundesrepublik ausweiten, was soll man noch mit einzelnen Ländern rumfummeln?

Permalink

Corona-Listen, Episode V: The Merkel Strikes Back

Was bisher geschah: Episode I, Episode II, Episode III, Episode IV.

Die Bundeskanzlerin, Frau Dr. Angela Merkel, beschließt zusammen mit den Länderchefs, dass Leute, die nicht ihre korrekten Daten in die Corona-Besuchslisten eintragen, mit Bußgeldern rechnen dürfen. Aktuell ab 50 EUR, so ein Ticket.

Hm, hm, hmmm. Tief ein- und ausatmen. Woozah.

Wie wärs denn zunächst mal mit saftigen (und ich meine WIRKLICH saftig, in der Größenordnung "Pension kannste knicken"-saftig, anders lernen die es ja nicht) Disziplinarstrafen für Cops oder Bußgelder für andere Zeitgenossen, die Coronalisten-Daten missbräuchlich verwenden?
Missbräuchlich bedeutet für mich in diesem Zusammenhang jegliche Verwendung abseits der Infektionsverfolgung.

Wie wärs denn mal mit einer gesetzlich festgeschriebenen, Hintertür-freien Zweckbindung dieser Daten? "Nein, mein Herr, diese Daten dürfen Sie nicht verwenden, um den heimlichen Lover der Frau des Cousins eines Schwagers aufzuspüren, der gestern beim Italiener um die Ecke gesichtet wurde."

Wie wärs denn damit, die Menge der Daten, die in Coronalisten erhoben werden dürfen, gesetzlich aufs Minimum einzuschränken und Zuwiderhandlung zu ahnden? Datensparsamkeit und so. Mein Friseur etwa, ich berichtete, hält von Sparsamkeit nicht viel - dass er nicht die Blutgruppe oder gar meine Genomsequenz eingefordert hat, ...
Meines Erachtens sollte Name, Datum/Uhrzeit des Besuchs sowie eine Kontaktmöglichkeit (etwa Handy oder Festnetz-Nummer) völlig genügen. Geht ja hier um Kontaktaufnahme zwecks Warnung. Die Leute werden schon aus Selbsterhaltungstrieb zurückrufen.

Wie wärs denn damit, alles dafür zu tun, damit die Leute wieder VERTRAUEN entwickeln zum so wichtigen Instrument Corona-Besucherliste? Diese Listen retten im Zweifel Leben. Nichts ist auch nur annähernd so wichtig wie den Leuten die volle Sicherheit zu geben, dass die Coronalisten in guten, vertrauensvollen Händen sind.

Aber nein, die Bürger werden wieder und wieder ent- und getäuscht. Und dann noch dafür bestraft, wenn sie sich nicht freiwillig einem potenziellen Missbrauch ihrer Daten aussetzen. Ich habs schon mehrfach geschrieben: Ich rufe zwar nicht zu Fake-Eintragungen auf, denn ich halte Infektionsverfolgung für immens wichtig. Aber ich habe Verständnis für jeden, der das Vertrauen ins Instrument verloren hat und Fake-Daten hinterlegt.

So aus Sicht der Regierung wäre doch der nächste logische Schritt, es für jedes Etablissement, das jetzt schon Coronalisten führen muss, auch gleich zur Pflicht zu machen, Besucher beim Eintritt fotografisch zu dokumentieren. Einfach um die Hürde für das Eintragen von Fake-Daten maximal zu erhöhen.

Permalink

FACEBYE, Episode I: Die Nullnummer - Einleitung und Wunsch


FACEBYE ist eine Beitragsserie rund um das Thema Alternativen zu Datenkraken und Monopolen im Internet. Die Themen-Übersichtsseite findet ihr hier.


Das Internet war mal eine tolle Sache. Warum "war mal"? Weil es das nicht mehr ist.

Das Internet wird dominiert und dezimiert von ein paar wenigen großen Playern, die ihre Marktmacht dazu nutzen, Profite zu zentralisieren, Zentralisierung zu beschleunigen, Kontrolle zu maximieren, Freiheit zu minimieren und selbstständiges Denken zu reduzieren.

Man nennt das auch Monopolisierung.

Klingt dramatisch? Ist noch nicht annähernd dramatisch genug formuliert.

Hier also mein Wunsch. Ein ganz dringender, wirklich wichtiger.

Ich verlinke an dieser Stelle noch einmal das "Buch als Blogbeitrag", von Cory Doctorow, "How to destroy Surveillance Capitalism". Lest es. Nehmt euch die Zeit (2-3h).

(Mir ist noch keine deutsche Übersetzung des Buchs über den Weg gelaufen. Also wer sich mit dem Englischen schwer tut, hört sich alternativ ein Interview mit Cory Doctorow bei Deutschlandfunk Kultur an, das ihr hier als Download oder im Web-Player erhaltet.)

Warum sollt ihr das lesen bzw. wenigstens das Interview hören? Weil es die Augen öffnet und die Mechanismen der Tech-Monopolisten erklärt, und besonders wichtig: Es argumentiert völlig rational und plausibel, was ihr zu einem besseren Internet und zu einer gesünderen Entwicklung und Verwendung von digitalen Technologien beitragen könnt.

Das ist übrigens gar nicht schwer - im Gegenteil. Man muss nur einfach mal anfangen, sofern noch nicht geschehen. Und dabei will ich euch unterstützen. Das ist der Sinn dieser Beitragsreihe.

Mitmachen: Wenig zu verlieren, viel zu gewinnen

Denkt mal nicht, dass ich jetzt nur irgendwelche Nerd-Lösungen rauskrame, die den durchschnittlichen Netznutzer völlig überfordern. Mir ist klar, dass ich einer Mama (z.B. meiner Frau), die Facebook-Müttergruppen ganz super praktisch findet (verständlicherweise), nicht einfach sagen kann: Weg mit Facebook, das ist der Teufel! Hör damit auf!
Die schaut mich an und lächelt verständnisvoll. Ein bisschen so, als hätte ich gerade gesagt, dass die Mondlandung nie stattgefunden hätte. Ist halt meine Frau, die beschimpft mich nicht so offen, dafür bin ich dankbar.

Es geht hier um praktische, alltagstaugliche Lösungsansätze, mit möglichst geringen oder keinen Hürden. Überzeugungsarbeit wird nötig sein, viel davon. Versuch mal, 3.000 Mütter aus der Bayreuther FB-Mama-Gruppe dazu zu bringen, die Plattform zu wechseln. Wie stellt man sowas an?

Man fängt halt einfach mal an, auch auf die Gefahr hin, von vielen als Spinner hingestellt zu werden, der das mit dem Datenschutz gewaltig übertreibt. Da isse/r wieder, der/die Hockey-Dad/Mum im 2,5t-SUV mit Hybridantrieb:

Jaja, Datenschutz ist wichtig. Aber Facebook hat mir noch nix getan... die App stürzt ab, wenn ich was schreiben will beim Fahren im Parkhaus, vielleicht Funkloch oder sowas. Die blöden Parkplätze sind alle so eng! Das NERVT!

Tja, da kann ich dann auch nicht helfen. Aber irgendwo muss man ansetzen. Und es gibt - gottlob - immer noch Menschen, die Argumenten zugänglich sind. Es werden gefühlt weniger, aber es gibt sie noch.

Die praktischen Lösungsansätze sind radikal denkenden Datenschützern wahrscheinlich bestimmt viel zu wenig radikal. Aber: Siehe oben. Je radikaler, desto inakzeptabler für die Masse (zumindest bei Technik, Politik ist da leider anders, wie uns die Geschichte lehrt...). Ohne das Momentum einer kritischen Masse an Adoptern gewinnt man keine Kämpfe gegen Monopole. Und wer sich auf die Politik verlässt, dass die der Monopolisierung einen Riegel vorschiebt, ist aktuell leider total verlassen.

Ich wünsche mir sehr, ihr bleibt dran und macht mit. Es wird spannend. Und es macht Spaß.

Als erstes nehmen wir uns Cloud-Services vor, z.B. von Google und Microsoft und Apple. Warum sie toll sind, warum sie schlimm sind und warum man sie ersetzen sollte durch was anderes. Dauert ein paar Tage, den Beitrag zu schreiben, bitte etwas Geduld.

Permalink

Mehr Gründe für Euren persönlichen Facebook-Exit gefällig?

"Director of Monetization" - der Jobtitel eines Mannes, der mal bei Facebook gearbeitet hat und sich heute dafür schämt. Sehr zurecht, wie man gleich lesen wird. Allerdings fällt es mir schwer, Leuten ihre Reue abzunehmen, wenn sie sich einem Laden wie Facebook andienen, und dann noch freiwillig einen Job machen, dessen erstes und wesentliches Ziel ist, mit allen Mitteln Geld rauszuquetschen. Aber gehen wir mal um seinetwillen davon aus, dass Tim Kendall tatsächlich so etwas wie Reue empfindet. Benefit of the doubt.

Tim hat in einem Hearing vor dem "House Committee on Energy and Commerce" ein Statement von sich gegeben, das Facebook - aus meiner Sicht wirklich kriminelle - Methoden vorwirft, die Menschen aktiv und bewusst Schaden zuzufügen. Ich zitiere mal eine lange Passage:

[...] To [mine as much attention as humanly possible], we didn’t simply create something useful and fun. We took a page from Big Tobacco’s playbook, working to make our offering addictive at the outset.

Tobacco companies initially just sought to make nicotine more potent. But eventually that wasn’t enough to grow the business as fast as they wanted. And so they added sugar and menthol to cigarettes so you could hold the smoke in your lungs for longer periods. At Facebook, we added status updates, photo tagging, and likes, which made status and reputation primary and laid the groundwork for a teenage mental health crisis.

Allowing for misinformation, conspiracy theories, and fake news to flourish were like Big Tobacco’s bronchodilators, which allowed the cigarette smoke to cover more surface area of the lungs. But that incendiary content alone wasn’t enough. To continue to grow the user base and in particular, the amount of time and attention users would surrender to Facebook, they needed more.

Tobacco companies added ammonia to cigarettes to increase the speed with which nicotine traveled to the brain. Extreme, incendiary content—think shocking images, graphic videos, and headlines that incite outrage—sowed tribalism and division. And this result has been unprecedented engagement -- and profits.

Facebook’s ability to deliver this incendiary content to the right person, at the right time, in the exact right way... that is their ammonia. Social media preys on the most primal parts of your brain. The algorithm maximizes your attention by hitting you repeatedly with content that triggers your strongest emotions— it aims to provoke, shock, and enrage.

When you see something you agree with, you feel compelled to defend it. When you see something you don’t agree with, you feel compelled to attack it. People on the other side of the issue have the same impulses. The cycle continues with the algorithm in the middle happily dealing arms to both sides in an endless war of words and misinformation. All the while, the technology is getting smarter and better at provoking a response from you.These algorithms have brought out the worst in us. They’ve literally rewired our brains so that we’re detached from reality and immersed in tribalism.This is not by accident. It’s an algorithmically optimized playbook to maximize user attention -- and profits.

[...]

These services are making us sick. These services are dividing us. It’s time we take account of the damage. It’s time we put in place the necessary measures to protect ourselves—and our country.

Hmm, man müsste Facebook zwingen (analog zu den Zigarettenschachteln mit ihren Bildern von verwüsteten Lungen und Zungen) Bilder von verwüsteten Menschen, Städten oder sowas einzublenden. Permanent, auf jeder Seite, in jeder App.

Permalink

Facebook: Tschö mit Ö!

... das wäre cool. So aus Sicht eines Datenschutzliebhabers.

Schrems II macht die Situation für US-basierte Social-Media-Buden etwas komplizierter. Nun hat ein Facebook-Vertreter ("associate general counsel") recht empört verlauten lassen, dass man ja jetzt echt nicht wisse, wie das alles denn bitteschön weitergehen solle mit Facebook in Europa. Aber das wolle man natürlich nicht als Drohung verstanden wissen, dass Facebook sich aus der EU bald verabschiede.

Verdammt schade eigentlich.

Ein paar super zitierfähige Passagen des Berichts bei Techcrunch:

We of course won’t [shut down in Europe] — and the reason we won’t of course is precisely because we want to continue to serve customer and small and medium sized businesses in Europe.

Precisely! Wir jammern hier nicht, weil uns ja eine gewaltige Menge personenbezogener Daten fehlen würde, die wir dann nicht mehr so monetarisieren und für andere Zwecke missbrauchen könnten, wie es uns gefällt. Wir sind zutiefst um das Wohlergehen unserer Kunden besorgt, das uns besonders am Herzen liegt.

Clegg went on to claim that while Facebook being forced to suspend data transfers from the EU to the US “would of course be very bad for Facebook” the impact of such an order “would be absolutely disastrous for the economy as a whole”.

Die Weltwirtschaft bricht zusammen, weil Facebook keine Daten mehr aus Europa wegschlürfen darf. Grundgütiger. Ich dachte schon, die Corona-Auswirkungen seien schlimm.

“What is at stake here is quite a big issue that in the end can only be resolved politically between a continued negotiation between the US and the EU that clearly is not going to happen until there’s a new US administration in place after the transition period in the early part of next year,”

Ui. Das klingt ja fast danach, als wünsche man sich einen Führungswechsel im Weißen Haus. Obwohl Facebook ja eigentlich ganz zufrieden mit dem Don sein müsste - Tiktok und so.

Ich muss mal endlich anfangen mit meiner Beitragsserie (UPDATE: Die Beitragsserie hat begonnen) rund um Alternativen für Datenkraken-Dienste. Hilft nix. Und wenns am Ende nur zwei Leute lesen und was Passendes für sich finden, ist die Welt schon ein Stückchen geretteter.

Permalink

Schau, schau, Schuschufa: Der E-Pool

Sollte irgendjemand die Schufa nicht kennen... unerwartet das ist. Und bedauerlich. Die Schufa aggregiert Daten zur Kreditwürdigkeit bzw. Bonität.

Der Laden hegt Pläne. Zwar sind die noch nicht öffentlich bzw. spruchreif, aber wenn man schon mal das Öl des 21. Jahrhunderts gehortet und erkannt hat, wie gut sich das verkaufen lässt, erscheinen die Pläne plausibel.

Die Schufa hat eine gewaltige Verantwortung, weil mit den dort gesammelten Daten im schlimmsten Fall Existenzen vernichtet und Schicksale besiegelt werden können. In weniger schlimmen Fällen wird einem vielleicht ein neuer Mobilfunkvertrag verweigert oder es bekommt Probleme, wer eine neue Wohnung mieten möchte.

Ganz besonders tragisch ist das, wenn der Schufa-Score einfach deshalb fehlerhaft ist, weil die Daten, aus denen der Score ermittelt wird, aus dem Gesamtkontext gerissen wurden, möglicherweise gar nicht mehr aktuell oder sogar einfach immer schon falsch waren. Alles schon passiert. Die Schufa ist im Übrigen nicht an Transparenz interessiert; wie sich der Score konkret errechnet, wird nicht verraten.

Natürlich kann man theroetisch einmal pro Jahr seinen aktuellen Status und Informationen über die gesammelten Daten bei der Schufa kostenlos anfordern. Aber wer macht das schon? Und der eigene Status sagt auch nichts aus darüber, was andere daraus machen. Falls ein Betroffener wirklich sehen wollte, was jemand an Daten erhält, der eine Abfrage über eine Person einholt, wäre durch den Betroffenen eine kostenpflichtige Abfrage über sich selbst durchzuführen. Das allein empfinde ich schon als skandalös.

Was sammelt bzw. führt die Schufa eigentlich alles so?

Der Schufa-E-Pool

Die SZ (Paywall) und der NDR haben herausgefunden, dass die Schufa ein Konzept für eine Datenbank entwickelt hat, die Kundendaten aus dem Bereich der Energieversorgung zusammenführt.

Noch verkauft die Schufa das Ergebnis dieses Konzepts nicht als Produkt. Und angesichts des öffentlichen Aufschreis dürfte das Projekt derzeit auf Eis liegen. Marketing-Material zum Schufa-E-Pool - so wird diese Datenbank genannt - das für eine Weile öffentlich verfügbar war, wurde rein zufällig zeitlich korrelierend mit den Recherchen der Medien wieder aus dem Verkehr gezogen.

Aber einer der naheliegenden Gründe für eine solche Datenbank ist, unliebsame Kunden zu identifizieren und dafür zu sorgen, dass ihnen zukünftige Verträge verweigert werden. Insbesondere solche, die die Bonus-Möglichkeiten beim Wechsel zu einem neuen Versorger ausschöpfen wollen.

Dass die Energieversorger ihre Preise schon seit langer Zeit alles andere als fair (Paywall) gestalten, ist kein Geheimnis. Und im Rahmen der Corona-Krise lassen sie sich zu besonders abstrus begründeten Rekordpreisen hinreißen.

Allein das Vorhaben, potenzielle Kunden dafür zu bestrafen, dass sie das einzige ihnen zur Verfügung stehende Instrument nutzen, der Kostenwillkür der Energiekonzerne zu entgehen, ist an Verwerflichkeit schwer zu überbieten. Und dieses Bonus-Lockmittel-Bauernfänger-Instrument wurde von den Energiekonzernen ja selbst eingeführt im Rahmen der fortwährenden Gewinnoptimierung.

Der für mich als Datenschutz-Verfechter interessante Part wird sein, ob diese Art von sehr offensichtlich gezielter Kundendatensammlung und deren geplanter Verwendung als rechtlich zulässig deklariert wird. Und was genau dann in dieser Datenbank, wenn sie dann mal produktiv eingesetzt wird, wirklich an Daten enthalten sind.

Aber wundert euch mal nicht, wenn sich beim jährlichen Energieversorgerwechsel die Ablehnungen bei euch häufen, weil erkannt wurde, dass ihr eure Möglichkeiten zur Kostenoptimierung ausschöpft. Ihr seid einfach unerwünscht, wenn ihr den Energiekonzernen nicht Geld schenken wollt.

Wenn man im Übrigen überlegt, wer die wesentlichen Stakeholder bei der Schufa sind - und wen sie bedienen wollen - das passt doch wie Arsch auf Eimer.

Permalink

Schrems II - und jetzt?

Zur Abwechslung mal wieder ein Stück ernsthafte Datenschutz-Unterhaltung: Schrems II. Weil etliche Kunden gefragt haben, was das eigentlich jetzt für Auswirkungen habe. Wars das mit Facebook-Marketing oder Google Analytics? ... Freut euch mal nicht zu früh, ihr SM-Hasser. Konkrete Hinweise nach der ausführlichen Einleitung.

Wieso trägt das Urteil den Beinamen Schrems II?

Maximilian Schrems ist ein bekannter Jurist und Datenschutz-Verfechter, der einen wesentlichen Beitrag dazu geleistet hat, dass die USA nicht mehr als Land angesehen wird, in dem personenbezogene Daten von EU-Bürgern ein angemessenes Schutzniveau genießen. Gern mal bei Wikipedia vorbei surfen und nachlesen, was der Max so getrieben hat bisher. Ich mag ihn.

Zwei Schremsen gab es schon:

  1. Das Urteil Schrems I, gesprochen in 2015. Ein Resultat war das Ende des Safe-Harbor-Abkommens.
  2. Das Urteil Schrems II, gesprochen im Juli 2020, hat das Ende des Privacy Shield als wesentliches Ergebnis.

DSGVO vs. USA

Laut DSGVO darf man anstandslos personenbezogene Daten quer durch die EU schicken, weil seitens des EuGH davon ausgangen wird, dass in den Mitgliedsländern der EU das gleiche, grundlegende Datenschutzniveau gewährleistet ist und die Rechte der Betroffenen (deren Daten rumgeschickt werden) auch durchgesetzt werden können.

Man darf Daten auch in Länder außerhalb der EU schicken, sofern sichergestellt ist, dass im Empfängerland die Rechte der Betroffenen genauso durchgesetzt werden können wie in der EU.

Diese Möglichkeit ist im Falle der Vereinigten Staaten von Amerika nicht gegeben und war sie auch noch nie. Die Amis scheren sich nicht um die Gesetzgebung anderer Länder und stellen ihre eigenen Interessen stets voran. Sowohl Safe Harbor als auch Privacy Shield sollten diesen Egoismus etwas zurechtstutzen. Taten sie aber beide nicht - diese Abkommen waren so albern löchrig und einseitig die USA bevorteilend, dass ich als Bürger der EU schon peinlich berührt war ob der Durchsetzungsunfähigkeit unserer devoten Verhandlungspartner aus der EU.

Einer der Kernkritikpunkte war und bleibt die völlig hemmungslose Überwachung des Datenverkehrs durch die Geheimdienste in den USA, der auch EU-Bürger zum Opfer fielen, immer noch fallen und auch weiterhin fallen werden. Dieser Datenlutscherei könnte man wahrscheinlich nur durch das Kappen sämtlicher Datenverbindungen nach den USA beikommen. Das hätte für viele Leute eher unangenehme Auswirkungen. Lassen wir daher das Thema Geheimdienste mal beiseite.

Beispiel Google Analytics

Es sei als Beispiel Google Analytics gewählt. Wers nicht kennt: Ein Analysewerkzeug, mit dem u.a. Herkunft, technische Ausstattung, und Surfverhalten von Nutzern aufgezeichnet werden. Man kann sich sicher sein, dass personenbezogene Daten, die von Google beim Einsatz dieses Tools erhoben werden, nicht in der EU bleiben, sondern in die USA flitzen. Wer Google Analytics einsetzt, muss mit Google (genauer, der irischen Dependance) einen Auftragsverarbeitungsvertrag abschließen, der den Anforderungen der DSGVO genügt. In dem ist geregelt, welche Daten zu welchen Zwecken erhoben werden, außerdem wo und wie lange Google sie speichert.

Wie oben schon geschrieben, darf man personenbezogene Daten unter bestimmten Voraussetzungen und nach eingehender Prüfung der rechtlichen Rahmenbedingungen auch in Länder jenseits der EU-Grenzen schicken. Diese Prüfungen wären eigentlich aufwändig und möglicherweise auch kostspielig (anwaltliche Beratung ist da schon angebracht, sowohl daheim als auch in der Ferne). Der Privacy Shield hatte den Vorteil, dass er diese aufwändigen Prüfungen unnötig machte - es wurde ein angemessenes Datenschutzniveau seitens der EU einfach angenommen.

Nun, da der Privacy Shield nicht mehr gültig ist, wären theoretisch wieder die aufwändigen Prüfungen nötig. Für Google, Facebook, Apple und all die anderen Datenkraken aus den USA wäre das natürlich ein Drama, denn dann könnten sie die ganzen Personendaten nicht mehr einfach in die USA durchschleifen und damit Geld verdienen.

Nicht doch noch ein Schlupfloch übrig? Es gäbe noch theoretisch die explizite, informierte und dokumentierte Zustimmung der Website-Nutzer: "Ja, ich bin damit einverstanden, dass meine personenbezogenen Daten nicht nur innerhalb der EU herumgereicht werden, sondern auch nach USA, China, Indien und in andere Länder fließen, die sich um meine in der EU geltenden Rechte nicht so sehr scheren." Aber wenn man eine solche Einverständnisabfrage halbwegs gesetzeskonform umsetzt, inklusive einer klaren Beschreibung möglicher Risiken, dürfte ein nahezu überwältigender Anteil der Nutzer kein Einverständnis geben.

Die User kriegen ja schon die Krise, wenn sie (sofern unbeeinflusst von irgendwelchen Dark Patterns) Cookie-Banner sehen ... *klicklick* ablehnen, AB-LEH-NEN!

Uff... klingt alles nicht so toll für den Marketing-Guru, der ohne Analytics, Facebook und Twitter nicht mal den Lokus heimsuchen kann.

Ein letztes, schmollmundiges Aber! Es gibt ja immer noch die Standardvertragsklauseln. Die gibt es eigentlich schon lang, aber erst jetzt rücken sie mal wieder so richtig in den Fokus. Die sind nicht ganz unkompliziert in der Handhabung, wie z.B. das LDI NRW beschreibt. Und sie verlagern die Verantwortung bezüglich Datenschutz auf den Auftragsverarbeiter. Will heißen: Ein Unternehmen in China müsste verbindlich, schriftlich, vertraglich zusichern, sich an EU-Datenschutzstandards zu halten, wenn es personenbezogene Daten aus der EU verarbeiten soll. Was angesichts des chinesischen Überwachungsapparats ab OSI-Schicht 1 nahezu unerfüllbar sein dürfte. Aber ich kann mir beim besten Willen nicht vorstellen, dass mindestens die amerikanischen Big Four (Apple, Google, Facebook und Microsoft) nicht schon längst etliche Millionen Dollar Hirnschmalz eintopfen, um entsprechende Klauseln und Zusicherungen zurechtzulügen. Die Chinesen halte ich da für gleichgültiger, weil die weit weniger abhängig sind von Daten aus dem EU-Internet als die Amis.

Kurzfristig jedoch erscheint es sinnvoll, auch wenn man Gefahr läuft, im Tränenmeer der Marketingabteilung zu ersaufen, den Einsatz von DSGVO-konformen Plattformen zu empfehlen.

Analytics kann man zum Beispiel durch Matomo ersetzen. Und wenn man willig ist, gewisse Einschränkungen bezüglich längerfristigem Kampagnentracking hinzunehmen, ist sogar die Nutzung von Matomo OHNE COOKIES möglich. Kein Cookie Banner mehr!!11^

(Aber ein Consent-Banner sollte schon noch sein, gell? Weil Tracking-Einverständnis und so. Tracking geht nämlich auch ohne Cookies, und wie! Und kommt mir bloß nicht mit berechtigtem Interesse oder sowas.)

Ich bin im Übrigen kein Rechtsanwalt und meine Einschätzung kann auch kompletter Unfug sein.

Permalink

Sind Datenschutz-Befürworter unerträgliche Zyniker?

Meine Frau sagte heute morgen zu mir, dass mein Blog ja ganz prima sei - es ihr aber allmählich zu zynisch und zu aggressiv werde. Und wir haben noch nicht mal den ersten Monat nach dem Livegang des Blogs hinter uns. Was soll das noch werden?

Ich habe da eine Weile drauf rumgekaut, und muss ihr recht geben. Hab das nicht bemerkt.

Das Problem ist, dass man als Datenschutz-Verfechter derzeit zwar viele Gründe zum Lachen (...verzweifeltem) hat, aber nicht zur Freude. Beispiele, wie Firmen oder Behörden sich mit dem Schutz personenbezogener Daten wirklich Mühe geben, sind sehr rar gesät.

Aber als kleine Entschädigung für mein fortwährendes, zynisches Gemaule kommt hier eine positive Zwischenmeldung: Laut einer wortgenauen Suche bei Google nach der Phrase "wir nehmen den schutz ihrer daten sehr ernst" versprechen über 300 Websites in ihren Datenschutzerklärungen, Selbiges zu tun. Wenn das mal kein Grund zur Freude ist!!!11

Permalink