calendar
« Mai123456789101112131415161718192021222324252627282930 Jul »

Datenschutz-Grundverordnung: Wie sich Unternehmen eine Erlaubnis für alles holen

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Bitte machen Sie hier ein Kreuz für ihre Einwilligung. CC-BY-SA 2.0 ErWin

„Ihre Daten sind uns wichtig!“ Betreffzeilen wie diese landeten in den letzten Wochen zu Dutzenden in E-Mail-Posteingängen. Die Datenschutzgrundverordnung hat viele Unternehmen (und andere Organisationen) dazu gebracht, ihre Datenschutzregeln zu ändern. In Zuge dessen kam es auch zu manch kurioser oder schlichtweg rechtlich fragwürdiger Änderung. Manche Unternehmen nutzten die neuen Datenschutzregeln, um Dinge umzusetzen, die so gar nicht im Sinne des Regelwerkes sind.

Einige Beispiele stellten wir bereits vor zwei Wochen vor. Seitdem schickten uns zahlreiche LeserInnen weitere fragwürdige Fälle zu, von denen wir einige im Folgenden aufzählen.

Zur Nutzung von Tumblr bitte diese 322 Kästchen markieren

Opt-out funktionierte bei Tumblr nur einzeln – Regler für Regler. Screenshot/netzpolitik.org

Tumblr, die Microblogging-Plattform und niemals versiegende Meme-Quelle, machte es Nutzern in der ersten Woche nach dem 25. Mai besonders schwer. Wie bei anderen Webseiten auch, mussten Nutzer von Tumblr den neuen Cookie-Bedingungen einwilligen, bevor sie süße Katzen-GIFs sehen können. Möchte man sich der personalisierten Werbung entziehen, kann man dem Setzen von Cookies von Dritten wie etwa Werbefirmen widersprechen – das sogenannte Opt-out.

Im Gegensatz zu anderen Webseiten fehlte bei Tumblr aber bis vor kurzem die Möglichkeit, allen Firmen auf einmal zu widersprechen. Stattdessen musste man bei jeder der 322 gelisteten Firmen einzeln das Häkchen zur Zustimmung entfernen. Nach viel Kritik in den sozialen Netzwerken und einem Eintrag in der „GDRP Hall of Shame“ hat Tumblr die Option mittlerweile nachgerüstet.

Problemfall „berechtigtes Interesse“

Ein anderer Leser wies uns auf die neuen Datenschutzregeln von Eventim hin. Der Tickethändler setzt nicht auf das rechtliche Konstrukt der Einwilligung, sondern auf sein „berechtigte Interesse“, personalisierte Daten zu verwerten. Dabei nutzt Eventim – wie auch andere Unternehmen – ein sehr breites Verständnis von „berechtigtem Interesse“ und zählt darunter auch die Nutzung von Geräte- und Browser-Fingerabdrücken für personalisierte Werbung und Empfehlungen. Mit Fingerabdrücken werden Nutzer anhand von zahlreichen Informationen identifiziert, die ein Browser oder Gerät an Webseiten übermittelt.

Ob die Nutzung von Fingerprinting für Werbung durch ein „berechtigtes Interesse“ des Unternehmens gerechtfertigt ist, darf bezweifelt werden. Das „berechtigte Interesse“ und seine Ausgestaltung waren einer der umstrittensten Aspekte in der Verhandlung der Datenschutzgrundverordnung, weil die Gefahr besteht, dass der dehnbare Begriff sehr weit ausgelegt wird. Hier sind Datenschutzbehörden und Gerichte gefragt, die Grenzen des Konstrukts festzulegen.

Per Gewinnspiel eine Einwilligung erschleichen

„Jetzt mitspielen“: So erschleicht sich E.ON die Einwilligung für Werbemails. Screenshot/netzpolitik.org

„Zehn mal ein Jahr Gratis-Energie“ verlost der Stromkonzern E.ON unter allen Kunden, die dem weiteren Empfang von Werbemails zustimmen. Wie viele andere Firmen nutzte E.ON die Umstellungen auf die neuen Datenschutzregeln, um seine Newsletter-Datenbank auf die neuen Vorgaben einzustellen.

Art und Weise sind jedoch irreführend: Um mehr Menschen eine Einwilligung abzuknöpfen, koppelte der Stromkonzern das Ganze mit einem Gewinnspiel. Statt einem „Ja, ich will weiterhin E-Mails erhalten“ schrieb E.ON lediglich „Jetzt mitspielen“. Kein Wort darüber, dass mit dem Klick auf das Gewinnspiel eine Einwilligung zum weiteren Erhalt von Werbemails gegeben wurde.

Klassiker: E-Mail-Adressen verraten

Und zu guter Letzt sind da noch jene Organisationen, die in der allgemeinen Hektik vor dem 25. Mai alle über die Jahre etablierten Standards vergessen haben. So schickte der Tracking-Blocker Ghostery seine aktualisierten Datenschutzbedingungen jedem Nutzer per E-Mail mitsamt den E-Mail-Adressen von 499 anderen Nutzern. Mittlerweile hat Ghostery für den Vorfall um Entschuldigung gebeten.

Der gleiche Fehler passierte der CDU-Ratsfraktion in Hannover. Sie wollte von über 900 Personen und Institutionen die Einwilligung zum weiteren Bezug des Newsletters erhalten – und offenbarte gleich allen die Empfängerliste.

Als Mischung aus Panik, skurrilen Reaktionen und Versuchen, einfach so weiterzumachen wie bisher, beschrieb Datenschutzaktivist Max Schrems die Reaktionen von Unternehmen im Interview mit netzpolitik.org. Der Österreicher hat mit seiner Organisation NYOB bereits erste Beschwerden gegen zu breit gefasste Zustimmungsklauseln bei Android, Instagram, WhatsApp und Facebook eingereicht.

Kennst du noch weitere Fälle, in denen Organisationen die Datenschutzgrundverordnung nutzen, um Dinge umzusetzen, die so gar nicht im Sinne des Regelwerkes sind? Dann schreib an simon@netzpolitik.org oder hinterlasse einen Kommentar. Ein Fall, über den wir gerne mehr wissen wollen: Eine Sparkasse hat in den letzten Tagen mit Drohgebärden versucht, von ihren Kunden eine Einwilligung für personalisierte Werbung (ähnlich dieser hier) zu bekommen. Schreib uns gerne, wenn du davon betroffen bist.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

von Datenschutz – netzpolitik.org, gepostet am Freitag, 8. Juni 2018 um 18:16
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: