calendar
« Okt123456789101112131415161718192021222324252627282930 Dez »

Kampf den Datenhändlern: Privacy International legt Beschwerden ein

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Der Handel mit persönlichen Daten, Profilen und Analysen von Individuen ist inzwischen ein Milliardenmarkt. Privacy International will diese Branche zur Verantwortung ziehen. Alle Rechte vorbehalten Privacy International

Sie kennen alle, doch kaum jemand kennt sie: Datenhändler wie Acxiom und Oracle horten Informationen über Milliarden Menschen weltweit und verkaufen sie an alle, die dafür zahlen. Ohne das Geschäft dieser unbekannten Riesen würde der Datenkapitalismus in seiner heutigen Form nicht funktionieren. Auch Millionen Deutsche stecken in ihren Datenbanken – ohne ihre Erlaubnis gegeben zu haben oder Bescheid zu wissen. Die britische Nichtregierungsorganisation Privacy International (PI) hat heute bei Datenschutzbehörden Beschwerde gegen sieben Größen dieser Branche eingelegt.

Die digitale Grundrechtsorganisation wirft insgesamt sieben Firmen vor, gegen die Datenschutzgrundverordnung zu verstoßen. Sie alle sammeln in großem Stil persönliche Daten aus unterschiedlichsten Quellen und führen diese in individuellen Profilen zusammen. So fließen Informationen aus allen Lebensbereichen zu einem umfassenden Bild zusammen: Online- und Offline-Einkaufsverhalten, Einkommenssituation, Browserverläufe, Hobbies und Interessen, Beruf, Gesundheit, Sozialleben. Dabei handeln die Firmen nicht nur mit den gesammelten Daten, sondern auch mit den Schlüssen, die sie daraus über ihre Datensubjekte ziehen: Lebenssituation, Persönlichkeit, Kreditwürdigkeit. Zu den Kunden gehören andere Unternehmen, Einzelpersonen und Regierungen – ein Milliardengeschäft.

Während mit Acxiom und Oracle zwei allgemeine Datenhändler zu den beklagten Unternehmen gehören, sind die anderen fünf in den Bereichen Werbung und Kreditscoring tätig: Criteo, Quantcast und Tapad sind darauf spezialisiert, Systeme und Informationen für das Zuschneiden von Online-Werbung zu liefern, sogenannten Ad-Tech-Firmen (Werbetechnologie-Firmen). Equifax und Experian sind als Kreditauskunfteien tätig und berechnen aus ihren Daten Vertrauenswerte über Verbraucher. Sie können beispielsweise darüber entscheiden, ob und zu welchen Konditionen Menschen einen Kredit bekommen. PI-Juristin Ailidh Callander erklärt, dass Ziel der Kampagne sei es, diese mächtige und undurchsichtige Branche zu Verantwortung zu ziehen:

Die Branche basiert auf der Ausbeutung persönlicher Daten. Die meisten Menschen haben wahrscheinlich noch nie von diesen Unternehmen gehört, und doch sammeln sie so viele Daten wie möglich über uns und erstellen komplexe Profile über unser Leben. Die DSGVO setzt dem Missbrauch personenbezogener Daten klare Grenzen und gibt den Regulierungsbehörden Zähne – jetzt ist an der Zeit, sie zu nutzen, um diese Unternehmen zur Rechenschaft zu ziehen

Keine valide Rechtsgrundlage

Privacy International hat nun offizielle Beschwerden bei den Aufsichtsbehörden Großbritanniens, Irlands und Frankreichs eingelegt, weil die Profilbildung und der Datenhandel der Firmen gegen die seit Mai 2018 wirksame Datenschutzgrundverordnung (DSGVO) verstoße. Die Nichtregierungsorganisation wirft den Unternehmen unter anderem vor, gegen die Grundsätze des Datenschutzes zu verstoßen: Transparenz, Fairness, Zweckbindung, Datenminimierung, Richtigkeit, Integrität und Vertraulichkeit.

Außerdem hätten die Unternehmen keine valide Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten, insbesondere für den Zweck der Profilbildung: Dort, wo die Unternehmen sich darauf berufen, eine Einwilligung der Betroffenen zu haben, können sie laut Privacy International weder nachweisen, wie diese Einwilligung zustande gekommen ist, noch, dass die Betroffenen sie freiwillig und nach ausreichender und klarer Information gegeben haben. Wo die Datenhändler sich auf eine andere Rechtgrundlage berufen, ihr „legitimes Interesse“ an der Sammlung und Verarbeitung der Daten, hätten sie nicht wie vorgeschrieben eine Abwägung mit Folgen für die Betroffenen vorgenommen, sondern ihr kommerzielles Interesse einfach höher gewertet.

Besonders eklatant sei der Regelbruch in Hinblick auf besonders geschützte Daten wie die zu politischen Meinungen, weltanschaulichen Überzeugungen, Gesundheit oder der sexuellen Orientierung. Außerdem sei es für Betroffene nur schwer möglich, gegenüber den Databrokern ihre Rechte auf Auskunft, Zugang und Löschung wahrzunehmen, die ihnen die Datenschutzgrundverordnung garantiert.

Die PI-Kampagne geht deshalb über die Beschwerden bei den Aufsichtsbehörden hinaus. Privacy International stellt die beschuldigten Firmen in kurzen Videos vor, bietet ein Quiz, mit dem man prüfen kann, ob eigene Daten bei den Databrokern gelandet sein könnten und dokumentiert anschaulich, wie sie selbst das Auskunftsrecht genutzt haben, um den Datenhändlern auf die Schliche zu kommen. Außerdem stellt die Organisation Musterschreiben für Löschbitten bereit, mit denen sich Menschen an die Datenhändler wenden können. Die Briefe sind zwar auf englisch verfasst, können selbstverständlich aber auch von Menschen in Deutschland genutzt werden.

Die DSGVO macht’s möglich

Mit ihrer Beschwerde nutzt die NGO eine mit der Datenschutzgrundverordnung neu geschaffene Möglichkeit zur kollektiven Durchsetzung des Datenschutzes. Der Verordnung zufolge dürfen Organisationen oder Verbände ohne Gewinnerzielungsabsicht nämlich in Vertretung für Betroffene Aufsichtsverfahren anstrengen. Weil die Behörden selbst nicht dafür ausgestattet sind, Unternehmen im großen Stil eigenständig zu prüfen, sind solche Beschwerden aus der Zivilgesellschaft besonders wichtig.

Der Fall ist auch für deutsche Behörden interessant und könnte im Rahmen der neuen internationalen Kooperationsmechanismen der DSGVO gemeinsam bearbeitet werden. Schließlich verarbeiten die beklagten Firmen auch Daten von Millionen Menschen in Deutschland und haben Niederlassungen in der Bundesrepublik.

Bereits kurz nach Wirksamwerden der DSGVO hatte die österreichische Organisation None of Your Business Beschwerde gegen Google und Facebook eingelegt. Nach der neuen Verordnung drohen Unternehmen bei systematischen und wiederholten Verstößen Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes.

Undurchsichtige Branche

Grundlage des Vorgehens gegen die Datenfirmen sind Informationen, die Privacy International aus mehr als 50 Datenauskunftsanfragen, aus dem Marketingmaterial und den Datenschutzerklärungen der Unternehmen gewonnen hat. Was man über das rechtswidrige Verhalten der Firmen weiß, sei demnach nur die Spitze des Eisberges, erklärt die NGO. Mit der Aktion verbinde sich auch die Hoffnung, dass die zuständigen Aufsichtsbehörden im Zuge ihrer Ermittlungen tiefere Einblicke erhalten.

Ein umfassender Bericht der US-Federal Trade Commission über das Databroker-Business [PDF] kam 2014 zu dem Schluss, dass die Datenhändler Informationen über nahezu jeden US-Amerikaner verfügen. Ähnliches gilt für Deutschland: Ein anderer Datenhändler, VisualDNA, warb bis vor kurzem noch damit, Profile von 60 Millionen deutschen Internetnutzern im Repertoire zu haben. Fast alle Firmen, deren Geschäftsmodell auf Online-Werbung basiert, arbeiten mit den Datenhändlern zusammen. Auch Social-Media-Firmen wie Google, Facebook, Snapchat und Twitter, die fleißig selbst Daten sammeln, kaufen von Datenhändlern weitere Informationen hinzu. Damit vervollständigen sie ihre Profile und versuchen nachzuvollziehen, ob der Klick auf eine von ihnen ausgespielte Werbung am Ende auch zu einem Einkauf geführt hat.

Dabei ist für Verbraucher laut Federal Trade Commission nicht ansatzweise nachvollziehbar, wer was über sie weiß. Ende 2016 sorgte hierzulande eine Recherche des NDR für Aufsehen, bei der Journalisten in gekauften Datensätzen ganze Browserverläufe von Bundestagsmitarbeitern, Richtern und Polizisten entdeckten. Vor wenigen Wochen zeigte der MDR in einer Recherche, wie leicht es ist, mithilfe von Databrokern Informationen über die sexuelle Orientierung von Menschen zu bekommen, deren E-Mailadresse man hat. Der Wiener Privacy-Forscher Wolfie Christl beschreibt in einem Report von 2017 ausführlich, wie das Entstehen dieser ausschließlich von ökonomischen Zielen geleiteten Branche zu einer Datenumwelt geführt habe, „in der Individuen kontinuierlich überwacht und evaluiert, kategorisiert und eingruppiert, bewertet und klassifiziert, gezählt und nummeriert“ werden.

Frederike Kaltheuner, die das Databroker-Projekt bei Privacy International verantwortet, fordert Medien, Wissenschaft und Zivilgesellschaft auf, der Branche weiter auf den Zahn zu fühlen:

Die Welt wird von Unternehmen und Regierungen mit dem Ziel neugestaltet, Daten nutzen können. Ohne dringliche und ununterbrochene Maßnahmen werden Daten auf eine Weise verwendet, die sich die Menschen heute nicht einmal mehr vorstellen können, um unsere Leben zu definieren und zu manipulieren – ohne dass wir verstehen, warum dies geschieht und ohne dass wir in der Lage sind, effektiv zurückzuschlagen. Wir ermutigen Journalisten, Wissenschaftler, Verbraucherorganisationen und die Zivilgesellschaft im weiteren Sinne, diese Branchen stärker zur Rechenschaft zu ziehen.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

von Datenschutz – netzpolitik.org, gepostet am Donnerstag, 8. November 2018 um 17:15
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: