Datenschutz-News im März: Bürger-ID +++ Datenschutz & Corona +++ Facebook vs. Australien +++ u.v.m.

Heute berichte ich wieder über ein Sammelsurium an Neuigkeiten im Bereich Datenschutz, die mir in den letzten Wochen über den Weg gelaufen sind.

Ende Januar hat der Bundestag die Einführung einer einheitlichen Bürger-Identifikationsnummer beschlossen (ich berichtete im Oktober 2020). Dafür soll die Steuer-ID behördenübergreifend genutzt werden. Über 50 verschiedene Stellen hätten so deutlich leichter Zugriff auf schon vorhandene Personendaten bei den Kollegen – etwa im Melderegister, im Führerscheinregister und im Waffenregister sowie bei der Rentenversicherung und den Krankenkassen. Die Bundesregierung betrachtet ihr Vorhaben als Teil der Digitalisierung, um Doppelerfassungen zu vermeiden und Verwaltungsvorgänge allgemein zu vereinfachen.

Die Koalitionsfraktionen haben wohl schon geahnt, dass Datenschützer dieses Vorhaben nicht so einfach durchgehen lassen. So soll die gegenseitige Datenabfrage immerhin nur gestattet sein, wenn die betroffene Person dem zustimmt und gleichzeitig soll jeder Bürger über einen sicheren Zugang – das wohl „Datencockpit“ heißen soll – selbst einsehen können, welche Behörden welche Daten zu ihm oder ihr ausgetauscht haben. Die Opposition hält das Gesetz dennoch für unvereinbar mit dem Grundgesetz und warnt, dass ein mögliches Scheitern vor dem Bundesverfassungsgericht in einigen Jahren „ein Kosten- und Zeitproblem biblischen Ausmaßes“ schaffen könnte. Sie verwiesen darauf, dass frühere Urteile sich bereits gegen eine umfassende Registrierung und Katalogisierung von Bürgerinnen und Bürgern durch das Zusammenführen von Daten aus unterschiedlichen Lebensbereichen ausgesprochen hatten.

So kritisiert auch der baden-württembergische Datenschutzbeauftragte Stefan Brink, dass der ID dann wohl nicht nur der Steuerbescheid, sondern auch der Führerschein, vielleicht auch der Personalausweis oder die Rundfunkgebühren zugeordnet werden könnten. Damit entstehe ein umfassendes Personenprofil, an dem dann auch private Marktteilnehmer interessiert sein könnten (da kommt wieder unser altes Datenmonster Facebook ins Spiel)! Brink befürchtet, dass eine Bündelung von so sensiblen Daten, die bislang in unterschiedlichen Registern geführt werden, nicht nur die Effizienz deutscher Behörden, sondern vor allem auch die Missbrauchsgefahr massiv erhöhen würde. Bis es dazu kommt, muss aber auch der Bundesrat der Neuregelung erst noch zustimmen. Dieser hatte in einer Stellungnahme ebenfalls auf verfassungsrechtliche Probleme hingewiesen. Ob er zustimmt, ist daher ungewiss.

Die Menschen in Deutschland sorgen sich wieder mehr um ihre persönlichen Daten im Netz. Zwei von drei Befragten finden in einer aktuellen Allensbach-Studie, der Staat sollte mehr tun, um Datenbetrug im Internet zu bekämpfen und den Missbrauch von persönlichen Daten durch Unternehmen zu unterbinden. Fast genauso viele wünschen sich eine bessere Absicherung ihrer Daten in sozialen Netzwerken. Damit sind diese Werte ähnlich wie in den Jahren 2018 und 2019; im Frühling letzten Jahres trat das Thema Datenschutz coronabedingt offenbar etwas in den Hintergrund und nur knapp 60 Prozent der Befragten stimmten den beiden Forderungen zu. Jetzt halten die Befragten diese Aufgaben für den Staat sogar für weit dringlicher als etwa den Schutz vor Gewaltverbrechen (55 Prozent), Terroranschlägen (46 Prozent) oder eben auch vor dem Coronavirus (42 Prozent).

Womit auch schon beim nächsten Thema wären: Hin und wieder flammt die Debatte über eine Lockerung des Datenschutzes zur Pandemie-Bekämpfung auf, sei es bei der Corona-Warn-App oder beim Impfen. Dabei zeigt sich auch die Bevölkerung sehr gespalten: 33 Prozent der Befragten sagen, sie seien bereit, für eine bessere Funktion der Corona-Warn-App mehr Daten freizugeben, 32 Prozent lehnen dies ab und 35 Prozent sagen, sie seien in dieser Frage unentschieden. Offenbar wollen viele das Thema Datensicherheit auch nicht zugunsten der Gesundheit aufgeben.

Ein solches Datenschutz-Gespenst ist kürzlich in Singapur aufgetaucht: Das Vorreiterland bei der Bluetooth-basierten Kontaktverfolgung nutzt die Daten aus der Anwendung „TraceTogether“ nun nicht mehr nur zum Aufspüren von Risikokontakten – sondern jetzt hat auch die Polizei Zugriffsrechte. Darüber informierte (!) der Innenminister das Parlament (!) vor einigen Wochen. „TraceTogether“ funktioniert ähnlich wie die deutsche App, jedoch mit einer permanenten ID pro Nutzer. Im Fall einer Infektion oder eines Kontaktes werden die Daten der Betroffenen dann auch noch mit dem Gesundheitsministerium geteilt. Früher hatte die Regierung von Singapur immer wieder betont, dass „ausschließlich im Falle eines positiven Tests auf die Daten zugegriffen“ werde. Innenminister Desmond Tan erklärte jedoch, dass die Ermittlungsbehörden laut Strafprozessordnung auf alle benötigten Daten zugreifen dürfen und dass dies auch die Daten von TraceTogether einschließe. Das ist schon schlimm genug – aber die Datenschutz-FAQ der App wurden auch erst nach jener entlarvenden Parlamentssitzung mit einem entsprechenden Update versehen. Dazu kommt: Während die App anfangs freiwillig war, ist deren Nutzung seit September verpflichtend!

Bei solchen Nachrichten wundert es nicht, dass die Menschen sich gerade im Datenschutz-Land Deutschland mehr Gedanken zum Thema machen. Das hängt wohl auch durchaus damit zusammen, dass sich für viele mit der Pandemie ihr Leben noch mehr ins Internet verlagert hat – entsprechend macht man sich wohl auch mehr Gedanken. Hoffentlich springt dieser Funke auch auf die Bundesregierung über. Zwar ist sie nicht untätig und hat nun z.B. das Gesetz gegen Hasskriminalität, das der Bundespräsident nicht unterschreiben wollte, nachgebessert. Damit können Behörden bei Ermittlungen nur noch Informationen abfragen, wenn „tatsächliche Anhaltspunkte für eine Straftat vorliegen“. Die Opposition kritisierte jedoch auch diesen Beschluss und warnte, dass das Ganze wieder einmal vorm Bundesverfassungsgericht landen könnte.

Einen größeren Wurf landete die Regierung Australiens: Die dortige Regierung will, dass Google und Facebook, wenn sie Vorschauen auf Artikel von Nachrichtenseiten anbieten, die Medienhäusern, die die Inhalte zur Verfügung stellen, dafür bezahlen. Das australische Gesetz strahlt schon in andere Länder, in die USA, nach Großbritannien und Kanada. Microsoft hat sich für das neue Onlinemediengesetz ausgesprochen und angekündigt, für seine eigene Suchmaschine Bing in Europa eine vergleichbare Regelung zu entwickeln. Das wird Google und Facebook (das sich auch mit Apple streitet) weiter unter Druck setzen und so könnte am Ende die australische Initiative das finanzielle Ökosystem der zwei wichtigsten Umschlagplätze des Internets tatsächlich und nachhaltig verändern. Facebook und Google ließen sich das natürlich nicht einfach gefallen: Facebook entschied kurzerhand, alle journalistischen Angebote in und aus Australien auszublenden. Das zeigte wieder einmal, wie eigenmächtig und selbstbewusst der Konzern ist und wie er darüber entscheidet, wer auf stumm geschaltet oder ganz mundtot gemacht wird. Das Unternehmen nahm seine Entscheidung erst zurück, als die australische Regierung das Gesetz an zwei Stellen verändert hatte. Die ganze Geschichte gibt es hier.

Und weiter geht es mit den sich immer weiter zuspitzenden Problemen, dass gewisse private Firmen alternativlos geworden zu sein scheinen – und diese ihre Monopolstellung gnadenlos ausnutzen:

WhatsApp hat sich geäußert, was passiert, wenn man die neuen Nutzungsbedingungen nicht akzeptiert (siehe dazu meinen Artikel vom Februar): Laut FAQ wird man „zwar für kurze Zeit Anrufe und Benachrichtigungen erhalten, aber in der App weder Nachrichten lesen noch welche senden können“. Auf Nachfrage von Techcrunch soll der Begriff „kurze Zeit“ als „einige Wochen“ zu interpretieren sein. Das heißt, WhatsApp würde die Accounts der Nichtzustimmenden vorerst nicht abschalten, sondern Anrufe und Benachrichtigungen zunächst weiter zustellen. Die App kann ansonsten aber nicht mehr genutzt werden. Ein Account würde gelöscht werden, wenn ein Nutzer 120 Tage nicht mehr aktiv war. Nun klingt dieses Vorgehen zwar nicht mehr so kompromisslos wie zunächst kommuniziert. Wenn die neuen AGBs sich jedoch nur die verbesserten Möglichkeiten für den Kontakt mit Unternehmens-Accounts beziehen und sich am Datenschutz nichts ändern soll, bleibt die Frage im Raum, warum man dennoch unbedingt und vor allem ausnahmslos den neuen Bedingungen zustimmen muss. So werden auch Menschen, die nicht vorhaben, in irgendeiner Weise mit Unternehmen via WhatsApp zu kommunizieren, zur Zustimmung gezwungen, wenn sie WhatsApp weiter nutzen wollen. Das hätte sich sicherlich eleganter lösen lassen.

Achtung, liebe Restaurantbesitzer! Wieder einmal überschneiden sich – wie schon beim Teil zu Australien – Datenschutz- und Kartellrecht: Lieferando, einer der großen Gewinner der Pandemie, „klont“ Webseiten zahlreicher Restaurants, mit denen der Konzern kooperiert. In der Google-Suche erscheinen die Lieferando-Klone dann weit vor den Originalen. Nach Recherchen des BR hat Lieferando diese Strategie europaweit über 120.000 Mal angewandt und preist dies gegenüber den Restaurants als zusätzlichen kostenlosen Service an, damit sie sich keine eigene Webseite zulegen müssten. Allerdings werden so natürlich Restaurants online verdrängt, die ohnehin schon eigene Webseiten hatten. Lieferando drängt sich zwischen Kunden und Restaurant; und Kunden können dank Lieferandos enger Zusammenarbeit mit Google sogar direkt dort Essen bestellen. Oh, und eine Bestellung über die Klon-Seite generiert natürlich Einnahmen für Lieferando (in Form von 13-30% Provision), während der Konzern bei einer Bestellung direkt beim Restaurant leer ausgehen würde. Für Kunden, die daher wirklich ihre lokalen Restaurants unterstützen wollen, gilt daher: Augen auf bei der Online-Bestellung! Und für Restaurantbesitzer gilt, was man auch privat häufiger mal tun sollte: Sich immer mal wieder selbst googlen!

In dieser Aufzählung schlechter Beispiele darf natürlich auch Amazon nicht fehlen: Drei ehemalige Mitarbeiter – die wohl genau wegen ihrer mehrmaligen internen Warnungen und Bedenken aus dem Unternehmen gedrängt wurden – sind mit schwerwiegenden Vorwürfen beim E-Commerce-Riesen (explizit nicht beim Cloud-Geschäft) an die Öffentlichkeit gegangen: Dort soll absolutes Daten-Chaos herrschen, sodass Pflichten und Rechtsansprüche von Kunden, die sich aus der DSGVO ergeben, überhaupt nicht erfüllt oder durchgesetzt werden könnten. Sie warnten, „wer nicht wisse, welche Daten wo gespeichert seien, könne auch keine wirksame Schutzstrategie gegen die Erbeutung dieser Daten einsetzen“ und verwiesen auch darauf, dass dadurch eine Durchsetzung des Rechts auf Vergessen(werden) nicht gewährleistet werden kann. Ebenso gebe es keine Kontrolle darüber, welche Mitarbeiter Zugriff auf welche Daten haben. Die Whistleblower haben nach eigenen Angaben Tausende von Accounts von Ex-Mitarbeitern gefunden, die immer noch Systemrechte und so auch nach Beendigung ihrer Beschäftigungsverhältnisse noch Zugriff auf die Amazon-Rechenzentren gehabt hätten. Amazon wies die erhobenen Vorwürfe als „falsch, mindestens inakkurat oder veraltet“ zurück.

Zum Schluss nochmal etwas anderes: Der Brexit ist immer noch nicht ganz durch. Jetzt gibt es gute Nachrichten für alle, die Daten (auch) in Großbritannien verarbeiten lassen – das betrifft einer aktuellen Studie zufolge sechs von zehn Unternehmen in der EU! Bis Ende Juni gilt noch eine Übergangsphase beim Datenschutz. Für die Zeit danach hat die EU-Kommission ihrem Ex-Mitglied nun gleichwertige Datenschutzstandards bescheinigt. Persönliche Daten sollen so auch weiterhin problemlos zwischen der EU und Großbritannien fließen können, obwohl die britische Regierung betont, dass beim Datenschutz eine von der EU „losgelöste und unabhängige“ Linie verfolgt werde. Allerdings müssen die EU-Staaten der Empfehlung der EU-Kommission noch zustimmen. Zuvor wird eine Stellungnahme des Europäischen Datenschutzausschusses eingeholt. Nach vier Jahren soll das Datenschutzniveau in Großbritannien dann erneut überprüft werden – wenn der EuGH das neue Konstrukt nicht vorher kassiert.

Der sonst eigentlich sehr kompetente Bundesbeauftragte für den Datenschutz Ulrich Kelber hat in einer „neuen“ Broschüre beunruhigend schlechte Ratschläge zum sicheren Surfen gegeben, die teilweise veraltet, wenig durchdacht und mitunter schädlich sind. Das häufige Ändern von Passwörtern zum Beispiel gilt inzwischen als überholt. Außerdem gibt die Broschüre „schlaue“ Tipps wie „Laden Sie nur Programme aus vertrauenswürdigen Quellen herunter“ oder „Löschen Sie verdächtige E-Mails sofort und ohne sie zu öffnen“ – erklärt aber nicht, woran man eine vertrauenswürdige Quelle erkennt oder was eine E-Mail verdächtig macht. Die Broschüre warnt vor der Eingabe von Passwörtern, während man in „freien WLANs“ surft – auch hier ohne klarzustellen, dass frei mit „unverschlüsselt“ und nicht mit „kostenlos“ gleichzusetzen ist. Die Broschüre wirkt sehr aus der Zeit gefallen. Auf neuere HTTPS-Standards, das Phänomen des Password Stuffing oder auch Ransomware wird an keiner Stelle eingegangen. Immerhin hat Kelber umgehend angekündigt, auf die Kritik zu reagieren, die Broschüre vorerst vom Netz zu nehmen und zu überarbeiten.

Und wenn meine Artikel und die Begriffe darin häufig Fragezeichen in ihrem Kopf verursachen, dann sind sie nicht allein:  Die Studie „D21 Digital Index 2019/2020“ zeigt, dass ein Großteil der Bürger viele digitale Fachbegriffe nicht kennt oder das eigene Wissen darüber falsch einschätzt. Viele der Befragten gehen außerdem davon aus, kaum Kontrolle über die eigenen Daten zu haben. Dafür wurde die App „Stadt-Land-DatenFluss“ vom Deutschen Volkshochschulverband entwickelt: um die eigene Digitalkompetenz auf spielerische Art und Weise zu stärken. Einfach mal ausprobieren – jede(r) kann hier noch was lernen!