Datenschutz-News im Juli: Meta-KI und „Chatkontrolle“ausgebremst +++ Neue BfDI im Amt +++ Tracking durch Mobilfunkanbieter

Zuerst eine gute Nachricht: Die irische Datenschutzbehörde hat Meta vorerst untersagt, Daten von Instagram und Facebook für das Training seiner Künstlichen Intelligenz einzusetzen. Zuerst wollte sie das Vorhaben, das am 26. Juni starten sollte, wohl absegnen. Nach Protesten – u.a. natürlich von Max Schrems und seiner Organisation noyb – sieht die Behörde doch noch weiteren Gesprächsbedarf. Meta zeigte sich enttäuscht, da die Behörden bereits im März informiert worden seien. KI-Entwickler stehen offenbar bereits tatsächlich vor dem Problem, dass die Trainingsdaten für ihre riesigen Modelle inzwischen knapp werden! Daher werden verzweifelt neue Datenquellen gesucht.

Vermutlich wird das auch ein großes Thema für die neue Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Louisa Specht-Riemenschneider. Sie wird in der Politik vielfach als „pragmatisch“ gelobt. Ob das heißt, dass sie – anders als ihr „unbequemer“ Vorgänger Ulrich Kelber (der ja noch kurz vor Ende seiner Amtszeit den BND verklagt hatte oder auch der Bundesregierung den Betrieb ihrer Facebook-Fanpage untersagt hatte) – weniger „nervt“? Wohl kaum, bei der Bewertung von Social-Media-Präsenzen argumentiert sie ähnlich wie Kelber. Und der hat ihr auch die Bewertung von Olaf Scholz‘ TikTok-Account vererbt. Auch hier haben Bundeskanzler- bzw. -presseamt wohl keinen Austausch mit dem BfDI gesucht. Auch mit Karl Lauterbachs elektronischer Patientenakte, die 2025 trotz aller Bedenken kommen soll, wird sie sich bald auseinandersetzen müssen. Und mit den neuen Befugnissen, die dank AI Act und Digital Services Act seitens der EU auf ihr Haus zukommen.

In seinen letzten Amtstagen lief Kelber auch noch Sturm gegen einen Baustein des vierten Bürokratieentlastungsgesetzes: Passend zur Urlaubszeit sollen Airlines, Flughafenbetreiber und Dienstleister am Boden Zugang zu den Daten auf dem Chip des Reisepasses, inklusive biometrischer Merkmale, erhalten, damit jeder Fluggast durchschnittlich eine ganze Minute einspart und so „entlastet“ wird. Damit würde man zum ersten Mal Privatunternehmen Zugriff auf den Chip im Pass gewähren.

Wo die Reise hingeht, zeigt sich indes z.B. in Indien, wo an Flughäfen schon vielfach Gesichtserkennung eingesetzt wird, damit man die Hände frei hat und gar nicht mehr seine Bordkarte oder seinen Pass vorzeigen muss. Auch in der EU wird darüber diskutiert, die sogenannte Berlin Group unter dem Vorsitz des BfDI hat dazu ein Arbeitspapier erstellt. Schon jetzt ist klar: Die erforderliche freiwillige Einwilligung zur Gesichtserkennung ist zweifelhaft, wenn die Weigerung zu Nachteilen wie einer längeren Wartezeit bis hin zum Verpassen des Flugzeugs führt. Also Vorsicht, wenn Ihnen solche Technologie im Sommerurlaub begegnet. Planen Sie lieber ein bisschen mehr Zeit ein.

Eine neue Baustelle haben die Telefonanbieter Telekom, Telefónica/O2, Vodafone und Orange aufgemacht, die gemeinsam (!) die Tracking-Firma Utiq gegründet haben, welche im großen Stil das Surfverhalten von Mobilfunknutzern in Deutschland auswerten und ihnen personalisierte Werbung servieren soll. Im Gegensatz zu herkömmlichen Cookies sehen die Mobilfunkanbieter webseitenübergreifend, wer auf welchen Seiten unterwegs ist, und sie wissen, wem welcher Internetanschluss gehört. Mit Zustimmung der Nutzer wird ihr Verhalten dann auf jeder Seite, die Utiq engagiert, getrackt und ihr Gerät wiedererkannt. Die individuellen Mobilfunk-IDs werden dazu pseudonymisiert, damit Werbetreibende Webseiten-Besucher identifizieren und auf anderen Webseiten mit personalisierter Werbung oder sogar personalisierten Webseiten, z.B. mit auf sie zugeschnittenen Kaufvorschlägen passend zu ihrem bisherigen Surf-Verhalten, ansprechen können.

Die Werbe-ID bleibt für 24 Stunden gültig, die Kennung für die Personalisierung von Websites 90 Tage – Utiq betont, dass durch diese zeitliche Begrenzung keine umfassenden Aktivitäts- oder Verhaltensprofile von Nutzern über einen längeren Zeitraum erstellt werden könnten und dass außerdem nur die Surfaktivitäten eines Nutzers auf einer begrenzten Anzahl von Websites gesammelt werden, die von demselben für die Datenverarbeitung Verantwortlichen betrieben werden. Nach eigenen Angaben ist der Dienst schon auf über 60 deutschen Websites eingebunden, u.a. bei zahlreichen großen Zeitungen. Der BfDI Kelber hat dem Ganzen – wenn auch mit Bauchschmerzen – grünes Licht gegeben.

Hingegen droht TikTok wieder neuer Ärger in den USA: Die Federal Trade Commission, die neben Handel auch für Verbraucherschutz zuständig ist, geht von der Verletzung eines US-Gesetzes zum Datenschutz bei Kindern aus und hat das Justizministerium eingeschaltet. In Deutschland hat der Landesdatenschutzbeauftragte von Baden-Württemberg eine Handreichung veröffentlicht, wie Unternehmen TikTok rechtssicher einsetzen, anstatt pauschal auf ein Verbot zu drängen. Hier werden wohl oder übel Realitäten anerkannt.

Von mehreren Hackerangriffen betroffen ist die CDU: Kurz vor der Europawahl gelangten zahlreiche interne Papiere und Informationen in fremde Hände, sogar der Terminkalender von Friedrich Merz. Die Partei hatte dies, wie vorgeschrieben, binnen 72 Stunden der Berliner Datenschutzbeauftragten gemeldet; allerdings könnte noch ein Bußgeldverfahren drohen, wenn diese zu dem Ergebnis kommen sollte, dass die Partei nicht genügend technische und organisatorische Maßnahmen gegen entsprechende Angriffe ergriffen haben sollte.

Seit mittlerweile drei Jahren prüft die Berliner Behörde – in der es wohl nur einen Mitarbeiter für politische Parteien gibt (in Berlin!) – noch ein älteres Datenschutzproblem der CDU: Im Vorfeld der Bundestagswahl 2021 waren Helfer mit einer internen App unterwegs, die beim Haustürwahlkampf eintragen konnten, ob und von wem die Tür geöffnet wurde, wie die besuchte Person die CDU findet oder worüber gesprochen wurde. Diese Daten sollten dann für weiteres Microtargeting genutzt werden, wie es u.a. Donald Trump 2016 zur Präsidentschaft verholfen hatte. Ohne großen Aufwand ließen sich danach aber knapp 20.000 dieser Datensätze im Internet einsehen – großteils Namen, E-Mail-Adressen, Fotos der Wahlkampfhelfer; aber auch über 1.000 Namen von Unterstützern, die im Wahlkampf geworben und registriert wurden und deren Daten nicht vor einem unberechtigten Zugriff geschützt wurden. Inwieweit die Datenpunkte personenbezogen sind, also, ob sich Angaben an Haustüren auch für Außenstehende bestimmten Personen identifizierbar zuordnen lassen, ist von Fall zu Fall verschieden, deshalb dauert die Prüfung wohl auch so lange.

Ebenfalls lange dauert die Verabschiedung der EU-Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern – umgangssprachlich bekannt als „Chatkontrolle“: Unter anderem Deutschland versagt seine Zustimmung, sodass die Abstimmung im Rat der EU vertagt wurde. Über den endgültigen Gesetzestext müssten die Länder anschließend ohnehin noch mit EU-Parlament und EU-Kommission verhandeln. Die Idee: Google, Meta oder Messenger-Dienste sollen sämtliche Inhalte auf ihren Plattformen nach sexualisierter Gewalt an Kindern durchsuchen müssen. Das würde das Ende der Ende-zu-Ende-Verschlüsselung, einen massiven Eingriff in das Grundrecht auf Privatleben, in das Fernmeldegeheimnis und insgesamt eine anlasslose Massenüberwachung bedeuten. Messenger-Dienste wie Threema oder Signal haben schon angekündigt, ihre Dienste in der EU einstellen zu wollen, sollten sie zur Durchleuchtung verpflichtet werden. Interessanterweise gehört Österreich zu den lautstarken Befürwortern der Chatkontrolle, aus Angst davor, dass sich Kriminelle wie Terroristen über verschlüsselte Messengerdienste koordinieren würden, ohne dass die Polizei mitlesen kann, sodass Ermittlungen kaum noch möglich seien.

Zuletzt noch ein kurzer Blick auf den Digitalen Euro, dessen Entwicklung die EZB derzeit vorantreibt, um Mastercard, Paypal & Co. eine echte europäische Alternative entgegenzusetzen. Frühestens 2028 soll er eingeführt werden – und der Datenschutz wird erfreulicherweise von Anfang an mitgedacht. Geplant ist z.B. eine Offline-Funktion, welche ein „bargeldähnliches Maß an Privatsphäre“ bieten soll, bei der wirklich nur Zahler und Empfänger die Details der Transaktion sehen können. Dabei sollen Maßnahmen wie Pseudonymisierung, Hashing und Datenverschlüsselung zum Einsatz kommen. Zahlungsdienstleister erhalten nur Zugang zu den personenbezogenen Daten, die zur Bekämpfung von Geldwäsche erforderlich sind. So soll Bedenken entgegengewirkt werden, dass der digitale Euro als Überwachungsinstrument genutzt werden könnte. Allerdings soll er auch nur eine Ergänzung und kein Ersatz für das vielfach geliebte Bargeld sein.