Datenschutz-News im Dezember:

Die Vorweihnachtszeit hat begonnen, und gerade in diesem Jahr werden wir alle wohl noch mehr online shoppen, als wir es ohnehin schon tun. Den allermeisten ist es vielleicht nicht bewusst, aber dabei stolpern wir regelmäßig über sogenannte „Dark Patterns“. Das sind z.B. Warnungen und Countdowns, die einem bei einer Kaufentscheidung zeitlich unter Druck setzen, schwer zu klickende Datenschutzeinstellungen oder Webseiten, auf denen man seinen Account nur mit enormem Aufwand löschen kann. Es handelt sich also um Design-Praktiken, die uns in unserem Verhalten oder unseren Entscheidungen so beeinflussen, dass uns Nachteile entstehen. Oft handelt es sich um sanfte Einflussnahme, die als Bestandteil akzeptabler Marketingstrategien kaum zu nennenswerten Nachteilen oder Schäden für uns Verbraucher führt. Es gibt aber auch „schwarze Schafe“, die bewirken, dass ungewollt höhere Kosten entstehen, unwissend dem Verkauf persönlicher Daten zugestimmt wird oder die eigenen Konsumentenrechte erheblich ausgehebelt werden. Leider sind diese „Dark Patterns“ hochwirksam und fast in jedem Online-Shop verbreitet.

Digitale Oberflächen werden oft so designt, dass Nutzer möglichst viele persönliche Daten mit Unternehmen teilen – und deren Schutz wird dem User oft maximal erschwert, z.B. durch Voreinstellung der geringstmöglichen Datenschutzeinstellungen. Denn davon, wie „smooth“ eine Webseite zu bedienen ist, ist der Umsatz eines Online-Shops direkt abhängig, weil sich genervte Kunden schneller abwenden und woanders shoppen könnten. Und leider erfordert eine korrekte Datenschutzerklärung ein paar Klicks mehr vom Kunden.

Problematische Design-Praktiken stellen die Medien- und Plattformregulierung vor neue Herausforderungen. So verpflichtet z.B. das Netzwerkdurchsetzungsgesetz seit 2017 Soziale Netzwerke dazu, rechtswidrige Inhalte in der Benutzeroberfläche meldbar zu machen. So manches Meldeformular wurde jedoch so gestaltet, dass es absichtlich kaum auffindbar ist; der gewünschte Regulierungseffekt verlief so ins Leere. Auch kartellrechtlich ist die Thematik interessant: Verschaffen sich bestimmte Anbieter mithilfe von Dark Patterns Marktvorteile gegenüber ihren Wettbewerbern? Es bedarf hier einer klaren Regulierung und Sanktionierung der schwarzen Schafe, analog zu den Vorschriften der DSGVO. Denn wenn man seine Daten doch „freiwillig“ teilen „muss“, kann auch der strenge Datenschutz der DSGVO nicht wirken.

Einen Streit um die Nutzerdaten hat die DSGVO zwischen „Check24“ und „Itsmydata“ ausgelöst. Denn laut DSGVO müssen Unternehmen ja Auskunft über gespeicherte persönliche Daten geben – und Anfragen dürfen auch von Dienstleistern gestellt werden. Darauf basiert das Geschäftsmodell des Start-Ups „Itsmydata“: Im Auftrag seiner Nutzer verschickt es gebündelte Anfragen im Auftrag ihrer privaten Kunden an mehr als 100 Unternehmen. In der Folge erhält u.a. Check24 auch Anfragen von Menschen, die dort noch nie etwas gekauft oder abgeschlossen haben. Check24 weigert sich deshalb, Anfragen von Itsmydata weiter zu beantworten – weil die Anfragen zu exzessiv und wiederum datenschutzrechtlich bedenklich seien – und versichert, dass jeder Kunde, der direkt anfragt, auch seine persönliche Datenauskunft erhält. Itsmydata wiederum weist darauf hin, dass jeder Nutzer bei ihnen über ein eigenes Konto verfüge und von dort aus als Privatperson seine persönliche Datenabfrage versende. Ein schöner Streit, der wohl vor Gericht landen wird.

Nun geht es wieder mehr in Richtung weihnachtliche Themen: Sprachassistenten wie Alexa, Siri & Co. sind inzwischen in vielen Haushalten anzutreffen und bestimmt auch in diesem Jahr wieder unter dem ein oder anderen Weihnachtsbaum zu finden, zumal wir uns ja alle gerade noch mehr als sonst häuslich einrichten. Kritiker sehen in den smarten Geräten die schlimmsten Befürchtungen George Orwells wahr geworden – und dann stellen die Leute sich diese Überwachungsmaschine auch noch freiwillig ins Haus!

Natürlich laufen Alexas Mikrofone die ganze Zeit – nur so kann sie ja hören, wann sie gerufen wird. Zwar beteuert Amazon, dass eine Verbindung zu seinen Servern (in den USA!) erst mit der direkten Ansprache des Gerätes erfolgt. Aber diverse aufgetretene Pannen belegen immer wieder das Gegenteil. Ganz banal kann „Alexa“ auch durch ähnlich klingende Phrasen wie „Komm, Peter!“  (statt „Computer“), „Alexandra“ oder „Hey Kuchen“ (statt „Hey Google“) aktiviert werden; Apples „Siri“ fühlt sich zum Beispiel auch vom Zip-Geräusch eines Reißverschlusses angesprochen. Dann wird mitgelauscht und aufgenommen. Im letzten Jahr wurde publik, dass – offiziell zwecks Qualitätssicherung – Dialoge mit „Alexa“ standardmäßig auf Amazon-Servern gespeichert und dann von menschlichen Mitarbeitern transkribiert und analysiert werden. Ohne dass die Belauschten davon wussten! Amazon will so herausfinden, welche Sprachbefehle Menschen nutzen, Kundenwünsche besser verstehen und „Alexa“ weiter verbessern. Dabei wird dann aber wirklich alles abgehört, auch sensible Daten wie Bankverbindungen, Intimgespräche usw. Unweigerlich sind persönliche Rückschlüsse möglich, welche Person da gerade spricht. Ein Skandal – vor allem, weil die Betroffenen eben nichts von der permanenten Abhörung wussten!

Immerhin haben Google und Apple inzwischen das menschliche Abhören standardmäßig deaktiviert, bei Amazon kann man es optional ausschalten, muss aber selbst aktiv werden. Immerhin kann man all seine Sprachaufzeichnungen überprüfen, verwalten und löschen. (Das heißt jetzt nicht, dass Apple oder Google nun Datenschutz-Engel wären.)

Dabei sind versehentliche Aufnahmen gar nicht so selten: Dem flämischen Sender VRT wurden letztes Jahr rund 1000 Aufnahmen des Google-Geräts zugespielt, davon waren etwa 150 offensichtlich unabsichtlich aufgezeichnet worden. Andere Quellen bestätigen ähnliche Größenordnungen. Auch gar nicht so selten kommt es vor, dass die Assistenten auf beliebige mit „Ich will…“ startende Äußerungen entsprechende Einkäufe tätigen. Hier ist es ratsam, die Einkauf-Option standardmäßig zu deaktivieren oder mit einer Extra-PIN zu schützen. Oder man stellt sein Gerät generell auf „stumm“ und/oder „taub“ oder schaltet es einfach ab, insbesondere wenn Gäste dabei sind. Denn wenn Besucher nicht ausdrücklich darüber informiert werden, dass Alexa & Co. mithören und Gespräche ggf. aufzeichnen, macht man sich unter Umständen wegen der Aufzeichnung von Gesprächen ohne Einwilligung strafbar.

Für die Sicherheitsbörden wiederum sind die anfallenden Daten natürlich ein willkommener Schatz, den sie gerne heben und z.B. vor Gericht verwenden möchten. (Randnotiz: Die EU-Staats- und Regierungschefs wollen Polizei und Geheimdiensten künftig sogar Zugriff auf jede verschlüsselte Kommunikation von Messengerdiensten ermöglichen!) Und in den USA wurde „Alexa“ schon als Zeugin bei einem Mordprozess herangezogen – gegen den Willen Amazons, denn die wollten die Daten natürlich für sich behalten.

Klares Ziel der Datensammelwut der Anbieter dürfte – wie oben bei den Dark Patterns – wohl sein, das künftige Verhalten eines Menschen vorherzusagen. Und wer könnte das besser als eine smarte Wanze? Dennoch nehmen die allermeisten Nutzer das Ausspioniert werden aus Bequemlichkeit hin, oder sind sich dessen nicht einmal bewusst. Man kann getrost davon ausgehen, dass die Mehrheit der Nutzer, wenn sie direkt gefragt werden würden, ihre Daten nicht so einfach herausrücken würden. Inzwischen wird Alexa darauf trainiert, nicht nur zu hören, was wir sagen, sondern wie wir es sagen – und passt dann seine Kaufvorschläge an die gesundheitliche und emotionale Verfassung von „Frauchen“ und „Herrchen“ an. Und bald soll Alexa auch hellhörig werden, wenn man z.B. „ich mag“ oder „ich liebe“ sagt. Man kann ja nie genug wissen… Und irgendwann wird jede Information relevant. Hoffen wir, dass die Aufsichtsbehörden den Tech-Giganten mehr auf die Finger gucken.

In diesem Sinne richtig gehandelt haben Sie ja bekanntlich bei 1&1: Dort hatte 2018 in der Hotline eine Frau die neue Handynummer ihres Ex-Mannes nur anhand seines Namens und seines Geburtsdatums herausgefunden. Der Bundesdatenschutzbeauftragte befand, dass dieses „Authentifizierungsverfahren“ seinen Namen nicht verdiente und verhängte ein Bußgeld in Höhe von fast zehn Millionen Euro. Vor dem Landgericht Bonn hielt das nun nicht stand: Das Gericht befand, dass das verhängte Bußgeld zwar dem Grunde nach berechtigt, aber unangemessen hoch ist und hat den Betrag daher auf 900.000 Euro herabgesetzt. Es ist das erste Urteil eines deutschen Gerichts zu einem DSGVO-Millionenbußgeld.

Aufgrund dieser zahlreichen und wiederholten Pannen hat man es bei der deutschen Corona-Warn-App mal andersherum versucht und sehr bewusst auf extreme Datensparsamkeit gelegt. Ihr Nutzen hält sich aber in Grenzen: Zwar wurde sie viele Millionen Mal heruntergeladen, aber unter 20 Prozent der Erkrankten teilen ihr Ergebnis in der App mit. Und dann taucht bei den Kontaktpersonen auch nur ein anonymer Warnhinweis auf, ohne zu verraten, wer der erkrankte Kontakt ist oder wann und wo man ihn oder sie getroffen hat (sodass man z.B. auch Mitanwesende ohne App warnen könnte). Inzwischen melden sich jedoch immer wieder Kritiker zu Wort, die die Wirksamkeit der App infrage stellen – Bayerns Ministerpräsident Markus Söder nannte sie gar einen „zahnlosen Tiger“ – und daher für eine Lockerung des Datenschutzes werben, wohl in Anlehnung an die erfolgreichen Eindämmungsmaßnahmen in Ostasien.

Nun soll ein Update herauskommen. Wesentliche Abstriche sind beim Datenschutz jedoch nicht zu erwarten. Bislang ist ja sogar die Angabe eines positiven Testergebnisses freiwillig. Der Direktor des Instituts der deutschen Wirtschaft, Michael Hüther, sieht darin einen wunden Punkt: „Es ist nicht einzusehen, dass selbstverständlich bei der Pandemiebekämpfung in viele Grundrechte eingegriffen wird, der Datenschutz aber zur heiligen Kuh wird.“ Viele Politiker plädieren daher für eine Widerspruchslösung.

Im Zusammenhang mit Corona und so kurz vor Weihnachten nicht das einfachste Thema – andererseits wird sich immer eine Ausrede finden, das Thema zu umgehen: der Umgang mit dem Tod in Zeiten der Digitalisierung. Aus einer Oxford-Studie geht hervor, dass es bis 2070 mehr tote als lebende Facebook-Nutzer geben wird. Was aus den Profilen wird, ist längst ein eigenes Geschäft – und verändert unseren Umgang mit Trauer. Ausführliche Gedanken hat sich die ZEIT gemacht.

Zu guter Letzt möchte ich noch auf ein Thema hinweisen, das gerade zu Weihnachten auch wieder eine Rolle spielen dürfte: Datenschutz für Kinder. An dieser Stelle möchte ich an Sie appellieren, zwei Mal nachzudenken, welche Bilder sie ins Internet stellen. Würden Sie es heute als Erwachsener gut finden, wenn Ihre Eltern dieses oder jenes Foto öffentlich im Internet gepostet hätten? Diffus wissen wir alle: „Das Internet vergisst nichts.“ Trotzdem verhalten sich viele nicht entsprechend. Einige Denkanstöße gibt es hier.

Und nun wünsche ich geruhsame, fröhliche Festtage im möglichst kleinen Kreis.