calendar
« Apr12345678910111213141516171819202122232425262728293031 Jun »

Datenschutz: Einmal die Einwilligung für alles, bitte

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Wir halten uns an die Datenschutzgrundverordnung und jetzt Ihre Einwilligung, bitte. Gemeinfrei-ähnlich freigegeben durch unsplash.com Sofia Sforza

Dem Nutzer die Pistole an die Brust setzen: Mit dieser Methode nutzen manche Konzerne gerade die neuen EU-Datenschutzregeln für sich, um mehr statt weniger Nutzerdaten abzugreifen. Allen voran ist dabei wieder einmal Facebook. Und deutschen Datenschützern sind in einigen Fällen fürs Erste die Hände gebunden.

Während die Debatte um die Datenschutzgrundverordnung sich in den vergangenen Wochen verstärkt um ihre Auswirkungen auf kleinere Datenverarbeiter drehte, war ein Aspekt erstaunlich wenig im Blick: Wie gehen eigentlich größere Unternehmen und Datenkonzerne mit den neuen Regeln um? Wenn solche Anbieter es in die Medien schafften, dann ging es oft eher darum, dass Dienste sich vom europäischen Markt zurückziehen. Dabei sollte man jedoch nicht vergessen, dass hinter diesen Entscheidungen immer Abwägungsprozesse von Firmen stehen. An deren Ende stand mal das Ergebnis, die eigene Praxis bis auf Weiteres nicht den europäischen Regeln zu unterwerfen; sie so umzusetzen, dass ganze Nutzergruppen ausgeschlossen sind; oder eine Umstellung zu aufwändig zu finden und kurzerhand den gesamten Dienst einzustellen.

Der kritische Blick auf mögliche Kollateralschäden bleibt wichtig. Aber ob die Datenschutzgrundverordnung ihr Versprechen eines faireren Machtverhältnisses zwischen Datenverarbeitern und Betroffenen einlösen kann, wird auch davon abhängen, wie sie in den kommenden Jahren um- und durchgesetzt wird. Wir haben uns deshalb drei Beispiele aus den vergangenen Wochen angeschaut, bei denen große Firmen einen – freundlich gesagt – kreativen Umgang mit den Vorgaben suchen. Wer weitere Fälle hat, darf sie gerne mit uns teilen – hier in der Kommentarspalte oder per Mail.

Facebook: Zeit für Gesichtserkennung und Datenzusammenführung

Das prominenteste Beispiel ist dabei wieder mal Facebook. Nur einen Tag nach Mark Zuckerbergs denkwürdigem Termin im Europäischen Parlament verkündete das Unternehmen, künftig doch im großen Stil Daten von Whatsapp-Nutzern mit Facebook und anderen Diensten zu teilen. Kommunikationsinhalte sind demnach zwar weiter verschlüsselt, für seine Verhaltensanalysen braucht das Unternehmen aber ohnehin nur Meta- und Bestandsdaten. Eine große Rolle spielt dabei künftig die Auswertung des Kommunikationsverhaltens: Wer nutzt welche Whatsapp-Funktionen, wie häufig wird kommuniziert, wann und mit wem? Auch Daten wie die Telefonnummer und Geräte-ID werden an Facebook und andere weitergegeben. Diese Informationen sind als sogenannte Identifier zentral dafür, dass Facebook auch Daten aus anderen Quellen in einem einzigen Profil zusammenführen kann.

Vor zwei Jahren hatte eine ähnliche Ankündigung des Unternehmens für einen großen Aufschrei gesorgt, weil Facebook bei der Übernahme von WhatsApp im Jahr 2014 eigentlich versprochen hatte, keine Daten zusammenzuführen. Die Hamburgische Datenschutzbehörde hatte den Vorgang damals gestoppt und sich auch in mehreren Verfahren gegen Facebook durchsetzen können.

Wie der Hamburger Behördenleiter Johannes Caspar gegenüber Golem mitteilte, seien ihm nun jedoch erstmal die Hände gebunden, weil nach der Datenschutzgrundverordnung die irische Datenschutzaufsicht federführend zuständig sei. Das Unternehmen betont, dass der Schritt mit der irischen Behörde abgestimmt sei. Facebook hat sich für den Schritt also einen klugen Zeitpunkt ausgesucht. Für solche Fälle der Uneinigkeit hält die Datenschutzgrundverordnung zwar durchaus Lösungsmechanismen bereit. Bis diese sich eingespielt haben, dürfte allerdings einige Zeit ins Land gehen. So könnte Caspar versuchen, im neuen Europäischen Datenschutzausschuss eine Klärung des Sachverhalts herbeizuführen und die irische Behörde zum Eingreifen zu zwingen – aber das kann dauern.

Auch bei seinem Hauptdienst hatte der Datenkonzern kürzlich unter Beweis gestellt, dass er sich nur dem Wort nach an die Datenschutzgrundverordnung halten will. So hat Facebook im Zuge der Einführung „neuer Datenschutzmaßnahmen“ auch in Europa die umstrittene automatische Gesichtserkennung bei Fotos gestartet. Die Einstellungen sind dabei nicht – wie von der Datenschutzgrundverordnung vorgeschrieben – so voreingestellt, dass Nutzer ohne großen Aufwand die datenschutzfreundlichste Option serviert bekommen. Stattdessen versteckt das Unternehmen die Auswahl zum Ablehnen der Gesichtserkennung in einem Auswahlmenü.

Einmal die Generalerlaubnis für alles, bitte

Facebook geht beim Ausbau seines Datengeschäfts also gewohnt rücksichtslos vor. Der Trick, die Datenschutzgrundverordnung als Anlass für eine Ausweitung der Datennutzung zu nehmen, ist aber auch bei deutschen Unternehmen beliebt. So machte der Journalist Richard Gutjahr bei Twitter auf das Vorgehen der Commerzbank aufmerksam, die sich kürzlich mit einer E-Mail an ihre Kunden wandte und um Einverständnis für die Nutzung ihrer Mail-Adresse bat.

Die irreführenderweise mit „Bestätigen Sie uns jetzt Ihre E-Mailadresse“ überschriebene Mail war derart schwammig formuliert, dass leicht der Eindruck entstehen könne, es ginge dabei tatsächlich um relevante Bankinformationen. Stattdessen geht es in dem Schreiben einzig um eine Einwilligung für Werbung. Gutjahr hat aus diesem Grund eine Übersetzung des Schreibens verbreitet: „Geben Sie uns eine Generalerlaubnis für ALLES“.

Zu breit und schwammig gefasste Einverständniserklärungen waren schon bisher einer der größten Streitpunkte im Datenschutz. Obwohl die DSGVO für Einwilligungen vorschreibt, dass diese „in einer klaren und einfachen Sprache“ gehalten sind, dürfte es mit dieser Praxis wohl erstmal weiter gehen.

„Ich habe die heutige E-Mail der commerzbank zur #DSGVO mal eben ins Deutsche übersetzt“, twitterte Journalist Richard Gutjahr am Mittwoch. All rights reserved Richard Gutjahr

Was heißt hier „berechtigtes Interesse“?

Einen anderen Weg wählte der Mobilfunkanbieter O2/Telefonica. Er setzt bei der Nutzung von Kundendaten für Marketingzwecke künftig nicht auf die Einwilligung der Betroffenen, sondern auf einen anderen Erlaubnistatbestand der DSGVO: Das „berechtigte Interesse“. In einer SMS informierte der Telefonkonzern seine Kundinnen in der vergangenen Woche deshalb, er nutze künftig „bestimmte Bestandsdaten, um Ihnen für Ihren Bedarf passende Produkte von uns anzubieten.“

Wer dies nicht möchte, muss aktiv widersprechen. Hierfür stellt O2 eine neue Webseite bereit. Erst im Kleingedruckten der Seite erfährt man, um was für Daten es eigentlich konkret geht – etwa den Namen, die Anschrift und die monatliche Umsatzsumme. So wie Telefonica machen es derzeit vermutlich viele Unternehmen. Das „berechtigte Interesse“ und seine Ausgestaltung waren einer der umstrittensten Aspekte in der Verhandlung der Datenschutzgrundverordnung, weil die Gefahr besteht, dass der dehnbare Begriff sehr weit ausgelegt wird. Tatsächlich schreibt die DSGVO hier eine Abwägung der Unternehmensinteressen mit den Grundrechten der Nutzer vor und in einem Erwägungsgrund der DSGVO heißt es, auch Direktmarketing könne als berechtigtes Interesse gelten. Ob die großzügige Nutzung von Bestandsdaten für Marketingzwecke jedoch wirklich darunter fällt, darf bezweifelt werden.

Der Datenschutzaktivist Max Schrems äußerte die Vermutung, dass auch Facebook und Google künftig versuchen könnten, sich auf dieses „berechtigte Interesse“ zu berufen. Wenn sich die Aufregung um den morgigen Stichtag gelegt hat, wird es also darum gehen, genau solche Fragen zu klären. Die Datenschutzbehörden haben dabei die Gelegenheit und die Verpflichtung, zu zeigen, dass sie ihre neuen Durchsetzungsbefugnisse sinnvoll einsetzen und anhand größerer Fälle für die Klärung solch grundsätzlicher Fragen sorgen.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

von Datenschutz – netzpolitik.org, gepostet am Donnerstag, 24. Mai 2018 um 21:41
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
  • Bitte beteiligt euch! Seit einigen Tagen gibt es nun die Möglichkeit, sich an der von FiS initiierten Petition gegen den aktuellen
  • Oral History: Einwilligung sinnvoll Das Verarbeiten von Zeitzeugenaussagen für noch nicht exakt umrissene zeitgeschichtliche Forschungsvorhaben bedarf der Einwilligung der befragten Person. In diesem Rahmen
  • Tagesgeldkonto jetzt ohne Schufa-Anfrage Im Internet gibt es wunderbare Übersichten über die Verzinsung von Tagesgeld und – heute wichtig – dessen Absicherung. Bei der Eröffnung
  • Wir sind sicher, aber bitte habt Angst! Wir sind sicher, aber bitte habt Angst! Inland , Datenschutz , Sicherheit [6] Kommentare Nach der ersten Ausstrahlung des Merkel-Senfs
  • Bitte nicht stören #6 I am Connor MacLeod of the Clan MacLeod. I was born in 1518, in the village of Glenfinnan, on
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: