US-Cloud-Dienste bleiben weiter erlaubt – die Vorratsdaten- speicherung hingegen nicht!

Glück gehabt – das gilt sowohl für Google, Amazon & Co. als auch für deutsche Behörden: Das Oberlandesgericht Karlsruhe hat die Datenschutzbedenken der Vergabekammer Baden-Württemberg verworfen und gestattet Behörden, bei öffentlichen Aufträgen weiterhin auf Tochtergesellschaften von US-amerikanischen Cloud-Anbietern zurückgreifen. Die Vergabekammer war zuvor der Auffassung, wegen des „latenten Risikos“, dass US-Behörden auf die Daten zugreifen könnten, seien diese bei der Vergabe von vornherein auszuschließen. Dem OLG zufolge reicht es aus, dass die Cloud-Anbieter zusichern, die Daten in Deutschland zu verarbeiten. Darauf kann man sich dann als Kunde auch verlassen. Erst wenn ernste Zweifel bestünden, müsse man ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen, so die Richter.

Mehr Aufsehen erregte natürlich das EuGH-Urteil zur Vorratsdatenspeicherung in Deutschland, die (abermals) weitgehend verboten wurde. Nach der aktuellen Gesetzeslage sollen Standort- und Verkehrsdaten (z.B. wer mit wem chattet, wer wen wie lange anruft, von welcher IP-Adresse man ins Internet geht und überhaupt wo sich Smartphones den ganzen Tag so aufhalten) pauschal anlass- und unterschiedslos sechs Monate lang gespeichert werden.

Seit 2017 haben sich die Telekom und der Internetprovider SpaceNet durch die deutschen Instanzen geklagt, da sie keine Daten speichern wollten. Deshalb lag die Vorratsdatenspeicherung seitdem sowieso auf Eis – nun ist sie in ihrer bisherigen Form passé. Denn aus den gespeicherten Daten könnten sehr genaue Schlüsse auf das individuelle Privatleben gezogen und so ein Personenprofil erstellt werden, argumentiert der EuGH.

Anschaulich belegen dies die gespeicherten Daten des Politikers Malte Spitz, die er 2009/10 bei der Telekom eingeklagt hat – zu einer Zeit also, als unser Leben noch um einiges mehr offline ablief (und ein älteres Gesetz zur Vorratsdatenspeicherung galt als jenes, das jetzt gekippt wurde) . Aus den Metadaten lässt sich relativ leicht ein Bewegungs-, Verhaltens- und Sozialprofil erstellen.

Der EuGH lässt nur wenig Spielraum für Ausnahmen – z.B. wenn eine ernste Bedrohung für die nationale Sicherheit vorliegt. Dann könnten eventuell pauschal Daten aller Menschen gespeichert werden, solange dies im Verhältnis zur Bedrohung angemessen ist und auf den absolut notwendigen Zeitraum beschränkt wird und z.B. von Gerichten oder einer unabhängigen Verwaltungsstelle kontrolliert wird. Zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen könnten Daten beispielsweise eng geografisch und zeitlich oder auf bestimmte Personenkreise eingegrenzt gespeichert werden. Der EuGH stellt klar, dass für alle Ausnahmen „klare und präzise Regeln“ notwendig sind (z.B. in welchen Fällen liegt eine Bedrohung der nationalen Sicherheit vor?) und dass sichergestellt werden muss, dass „die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen“.

Ganz im Sinne des alten Datenschutz-Dilemmas „Freiheit vs. Sicherheit“ freute sich der liberale Bundesjustizminister Marco Buschmann über das Urteil und twitterte, man werde „die anlasslose Vorratsdatenspeicherung nun zügig und endgültig aus dem Gesetz streichen“. Innenministerin Nancy Faeser wiederum verwies auf die rechtlichen Möglichkeiten, die das Urteil eröffne, diese müsse man nun auch nutzen. Buschmann hingegen bevorzugt das „Quick-Freeze-Verfahren“, in dem Telekommunikationsanbieter überhaupt nur mit richterlicher Anordnung verpflichtet werden dürfen, anlassbezogene Daten überhaupt aufzubewahren und Daten an Ermittlungsbehörden weiterzugeben. Diese Idee gilt als „grundrechtsschonend“, weil nur die Daten derjenigen Personen gespeichert werden würden, denen tatsächlich etwas vorgeworfen wird. Buschmann will auf jeden Fall noch im Oktober seinen Gesetzesvorschlag vorstellen – wir dürfen gespannt sein auf den Kompromiss, den er mit dem Innenministerium aushandelt.

Ebenfalls gespannt sein darf man auf das Post-Cookie-Zeitalter: Das soll bei Google in etwa zwei Jahren starten – in der zweiten Jahreshälfte 2024 soll Schluss sein mit Werbe-Cookies in Browser Chrome. In der aktuellen Form würden Cookies von Drittanbietern oft missbraucht, einige Werbeeinblendungen seien außerdem zu aufdringlich und störend und man sieht sich in der Pflicht, neue Lösungen zu entwickeln, bei denen der Datenschutz im Vordergrund steht. Werbung erachtet Google jedoch weiter als notwendig, um das Internet als solches kostenlos zu erhalten. (Inwiefern das im Globalen Süden gilt, steht – Stichwort „digitaler Kolonialismus“ – auf einem anderen Blatt.) Künftig will Google auf das Konzept „Topics“ setzen, bei dem der Browser selbst ein Interessenprofil anlegt, ohne dass Daten an Werbekunden weitergegeben werden, die zur konkreten Identifizierung dienen könnten. User sollen so nicht mehr über Websites hinweg verfolgt werden können.

Und zu guter Letzt mal wieder ein Bußgeld gegen Meta: Instagram soll in Irland 405 Millionen Euro Strafe zahlen, denn dort konnten Teenager „Business-Accounts“ betreiben, wodurch nicht nur die Accounts standardmäßig öffentlich waren – auch Telefonnummern und E-Mail-Adressen der Nutzer waren z.T. öffentlich einsehbar. Irland hatte erst letztes Jahr eine Geldstrafe von 225 Millionen Euro gegen WhatsApp verhängt. Meta meint, es habe sich um veraltete Einstellungen gehandelt, und kündigte an, die Entscheidung anzufechten. Man kann’s ja mal versuchen…

Foto: Adobe Stock | pickup