Digital Services Act & Digital Markets Act passieren das EU-Parlament +++ DSGVO-Bußgelder steigen rapide +++ Datenschutz bei DNA-Analysen

Anfang Juli hat das EU-Parlament den „Digital Services Act“ (DSA) und den „Digital Markets Act“ (DMA) verabschiedet. Die Zustimmung auf Ministerebene gilt nun als Formsache, sodass davon auszugehen ist, dass beide Gesetze im Herbst 2022 in Kraft treten werden. DMA und DSA sollen das aktuelle Katz-und-Maus-Spiel beenden, wo die Datenschutz- und Kartellbehörden den Digitalriesen in langwierigen Verfahren hinterherhinken. Der DSA ergänzt bzw. aktualisiert die inzwischen 20 Jahre alte E-Commerce-Richtlinie der EU und der DMA verpasst dem Wettbewerbsrecht ein Update.

So nimmt der DSA Plattformen mehr in die Verantwortung und soll sicherstellen, dass z.B. Terrorpropaganda, Hate Speech und Desinformation – aber auch Verkaufsangebote für gefälschte Waren – schneller aus dem Netz verschwinden. Digitalen Diensten wird fest ihre Rolle als Vermittler zugeschrieben, die Verbrauchern den Zugang zu Waren, Dienstleistungen und Inhalten ermöglichen; dabei sollen sie in Zukunft auch die wichtigsten Parameter ihrer Empfehlungsalgorithmen offenlegen müssen.

Der DMA schließt daran an und soll die Marktmacht der fünf großen „Gatekeeper“ Amazon, Alphabet, Apple, Meta und Microsoft beschneiden und für einen fairen Wettbewerb sorgen. Denn kleinere Anbieter sind derzeit de facto auf den guten Willen der Großen angewiesen, um im Netz sichtbar zu sein – manche EU-Parlamentarier sprechen von Wild-West-Methoden.

Der DMA schreibt nun Interoperabiltät vor, d.h. große Messengerdienste wie WhatsApp und iMessage müssen sich dafür öffnen, auch Nachrichten von anderen Anwendungen zu empfangen. Die Gatekeeper dürfen ihre eigenen Dienste oder Produkte nicht mehr besser bewerten als die der Konkurrenten. Vorinstallierte Software und Apps müssen sich einfach deinstallieren lassen und die Geräte müssen künftig Anwendungen und App-Stores von dritten Anbietern zulassen. Gatekeeper dürfen personenbezogene Daten von Nutzern ohne deren aktive Zustimmung nicht mehr für gezielte Werbung nutzen. Ebenso dürfen sie – ohne ausdrückliche Einwilligung der Nutzer – nicht mehr Daten aus verschiedenen Quellen zusammenführen. Zu guter Letzt müssen zumindest geschäftliche Nutzer Zugriff auf ihre Daten auf der Plattform des Gatekeepers haben.

Bei Verstößen gegen den DSA drohen Bußgelder von bis zu sechs Prozent des Jahresumsatzes, beim DMA können sogar bis zu zehn Prozent fällig werden. Bei der DSGVO sind es bisher nur maximal vier Prozent des Jahresumsatzes. Apropos: Vier Jahre nach der verbindlichen Einführung der DSGVO scheint die Kulanzphase der Datenschutzbehörden vorbei zu sein – inzwischen wurden EU-weit Bußgelder in Höhe von über 1,5 Milliarden Euro verhängt, davon 1,3 Milliarden allein im Jahr 2021. Besagte Gatekeeper traf es am härtesten: Amazon musste in Luxemburg 746 Millionen Euro zahlen; WhatsApp (Meta) in Irland 225 Millionen Euro und Google in Frankreich 90 Millionen Euro.

Kürzlich kassierte auch VW eine Strafe von 1,1 Millionen Euro, weil auf einer Testfahrt für neue Assistenzsysteme in Österreich ein mit Kameras ausgestattetes Auto eines beauftragten Dienstleisters die Umgebung filmte und nicht entsprechend gekennzeichnet war. Das Auto wurde im Jahr 2019 aufgrund der auffällig angebauten Kameras von der Polizei angehalten. Die niedersächsische Landesdatenschutzbeauftragte verhängte nun ein Bußgeld auf der Basis von Artikel 13 (mangelnde Information der gefilmten Verkehrsteilnehmer), Artikel 28 (kein Auftragsverarbeitungsvertrag mit dem Subunternehmen), Artikel 30 (keine Erläuterung der technischen und organisatorischen Schutzmaßnahmen im Rahmen der Dokumentationspflichten) und Artikel 35 (keine Datenschutz-Folgenabschätzung) der DSGVO.

Gegen wohl noch viel mehr DSGVO-Artikel verstoßen Unternehmen, die DNA-Analysen anbieten, mit denen man angeblich herausfinden kann, aus welchen Weltregionen die eigenen Vorfahren so stammen. Allerdings sitzen die Anbieter, wie so oft, meist in den USA und scheren sich daher nicht wirklich um EU-Recht.

Werfen wir daher zuerst auch einmal einen Blick auf die USA: In den 70-er und 80-er Jahren hat dort der „Golden State Killer“ mindestens 13 Menschen ermordet und Dutzende weitere vergewaltigt. Im Jahr 2018 kamen ihm die Ermittler endlich auf die Schliche – und zwar weil DNA-Spuren von damals mit aktuellen öffentlichen DNA-Datenbanken abgeglichen wurden; also solchen Datenbanken, die Proben von Menschen sammeln, die erfahren wollen, zu wie viel Prozent sie „deutsch“, „irisch“, „italienisch“ oder was auch immer angeblich sind.

In jenem Fall hatten zwei entfernte Cousins des Täters ihre DNA-Proben bei „GEDMatch“ eingereicht, wo die Analyse sogar kostenlos ist, wenn man der Weiternutzung seines Genmaterials zustimmt. Anhand dieser beiden Matches haben die Ermittler mithilfe einer Genealogie-Professorin in mühevoller Kleinarbeit einen Stammbaum mit mehreren Tausend Verwandten erstellt (die entfernten Cousins und der Täter hatten in der 1. Hälfte des 19. Jahrhunderts gemeinsame Ur-Ur-Ur-Großeltern) und sind so innerhalb von nur zwei Monaten in klassischer Ermittlungsarbeit letztlich auf den Täter gestoßen, er wurde 2020 verurteilt.

In den USA haben schon über 40 Millionen Menschen ihre DNA untersuchen lassen, sodass dort bereits 60 Prozent aller Menschen mit europäischen Vorfahren identifiziert werden können – und das Stand 2018! Kein Wunder, dass dort mithilfe solch öffentlicher DNA-Datenbanken – ohne richterliche Erlaubnis – schon mehr als 200 Verbrechen aufgeklärt wurden, in Schweden war ein einzelner Fall als Pilotprojekt ebenfalls erfolgreich.

In Deutschland können Datenbanken, die für die Ahnenforschung genutzt werden, nicht für die DNA-Analytik in Kriminalfällen genutzt werden. Allerdings hat das BKA seit 1998 eine eigene Datei mit etwa 1,2 Millionen DNA-Datensätzen (Stand 2018), die bei Verbrechen in Deutschland gesammelt wurden und inzwischen unverzichtbarer Bestandteil der Polizeiarbeit sind. Diese Daten werden aktuell für zehn Jahre gespeichert, 25 Jahre stehen zur Debatte.

Rechtliche Grundlage ist §81g Abs. 1 der Strafprozessordnung. Über 80 Prozent der vom BKA gesammelten Daten stammen jedoch von vergleichsweise milden Straftaten wie Eigentumsdelikten, denn diese werden um einiges häufiger begangen als schwere Verbrechen. Bis 2019 durfte die Polizei mittels DNA-Analyse nur das Geschlecht ermitteln. Inzwischen ist auch eine weitergehende Ermittlung des Phänotyps erlaubt und es dürfen Alter, Augen-, Haar- und Hautfarbe bestimmt werden. Und die deutsche Polizei kooperiert mit 20 anderen EU-Staaten und deren eigenen Datenbanken.

Das Problem aus Datenschutzperspektive ist, dass für die Ermittlungen Gendaten von Menschen abgeglichen werden, die nichts von der Polizeiarbeit wissen und dem in der Regel auch nicht zugestimmt haben. (In den USA haben die Anbieter das zwar nachträglich in ihre AGBs eingebaut, aber wiederum ohne die aktive Einwilligung der Kunden einzuholen. Und dort kooperieren die Anbieter nicht nur mit dem FBI, sondern z.B. auch Pharmaunternehmen.) Außerdem hat man in der klassischen Ermittlungsarbeit als Verwandter eines Beschuldigten das Recht, die Aussage zu verweigern.

Natürlich hat die DNA-Analyse-Datei ihre Daseinsberechtigung. Abzuwägen ist jedoch immer mit dem Recht des Betroffenen auf informationelle Selbstbestimmung. Außerdem ist belegt, dass z.B. China zwangsweise DNA-Proben von ethnischen Minderheiten wie den Uiguren entnimmt und diese dann in öffentlichen Datenbanken hochlädt. Da die DNA zu den äußerst sensiblen persönlichen Daten zählt, ist sie in der EU nach DSGVO Artikel 9, Absatz 1 besonders geschützt – schließlich ist sie für jede Person individuell und unveränderbar! Sie kann praktisch nicht anonymisiert werden. Daher sollte man sich den weitreichenden Konsequenzen der Analyse bewusst sein, auch wenn die Werbung noch so tolle Erkenntnisse verspricht.

Zum Abschluss nun noch weitere Meldungen in Kürze:

• Die Deutsche Bahn und ihre App „DB Navigator“ werden gerade gegrillt – doch ob an den Datenschutz-Vorwürfen etwas dran ist, ist strittig.
• Der Bundesverband der Verbraucherzentralen wirft Tesla irreführende Werbung zu CO2-Emissionen und mangelnde Aufklärung der Käufer beim Datenschutz vor und hat den Konzern deshalb nun verklagt.
• Die Verbraucherzentrale NRW wiederum verklagt Telekom, Telefonica und Vodafone, da diese Schufa & Co. nicht nur über ausbleibende Zahlungen informieren, sondern auch ganz allgemeine Positivdaten übermittelt, z.B. wer wann welche Verträge abschließt.
• Die Botschaft von Bangladesch in Berlin stellt persönliche Daten von Menschen, die dort einen Pass beantragen, offenbar dauerhaft ungeschützt ins Netz und deutsche Datenschutzbehörden können nichts dagegen tun.
• Großbritannien plant die dortigen Datenschutzgesetze zu schwächen, um die Wirtschaft zu „entfesseln“. Das Narrativ des Datenschutzes als „Spielverderber“ und Innovationsbremse scheint sich durchzusetzen. Noch gilt ein Gesetz analog zur DSGVO. Sollte dies kippen, droht die EU-Einstufung als unsicheres Drittland (wie die USA).
• Und im baden-württembergischen Walldorf gilt zum Schutz seltener Vögel ein saisonales Ausgangsverbot für Katzen. Nachdem bereits mindestens ein Zwangsgeld in Höhe von 500 Euro verhängt wurde, prüft nun der Landesdatenschutzbeauftragte Stefan Brink, wie dort mit den Daten der Halter umgegangen wird. Sachen gibt’s …

Foto: Adobe Stock | dmutrojarmolinua