EU – Datenschutz:
Erstellt von Redaktion am Freitag 25. Mai 2018
Einmal die Einwilligung für alles, bitte
Wir halten uns an die Datenschutzgrundverordnung und jetzt Ihre Einwilligung, bitte.
Quelle : Netzpolitik. ORG
WhatsApp, Commerzbank & Co.: Einige Unternehmen nutzen die Datenschutzgrundverordnung, um Dinge umzusetzen, die so gar nicht im Sinne des Regelwerkes sind. Einwilligungen für Newsletter, die man nie bestellt hat, sind da nur ein kleiner Teil. Wir sammeln herausragende Beispiele.
Dem Nutzer die Pistole an die Brust setzen: Mit dieser Methode nutzen manche Konzerne gerade die neuen EU-Datenschutzregeln für sich, um mehr statt weniger Nutzerdaten abzugreifen. Allen voran ist dabei wieder einmal Facebook. Und deutschen Datenschützern sind in einigen Fällen fürs Erste die Hände gebunden.
Während die Debatte um die Datenschutzgrundverordnung sich in den vergangenen Wochen verstärkt um ihre Auswirkungen auf kleinere Datenverarbeiter drehte, war ein Aspekt erstaunlich wenig im Blick: Wie gehen eigentlich größere Unternehmen und Datenkonzerne mit den neuen Regeln um? Wenn solche Anbieter es in die Medien schafften, dann ging es oft eher darum, dass Dienste sich vom europäischen Markt zurückziehen. Dabei sollte man jedoch nicht vergessen, dass hinter diesen Entscheidungen immer Abwägungsprozesse von Firmen stehen. An deren Ende stand mal das Ergebnis, die eigene Praxis bis auf Weiteres nicht den europäischen Regeln zu unterwerfen; sie so umzusetzen, dass ganze Nutzergruppen ausgeschlossen sind; oder eine Umstellung zu aufwändig zu finden und kurzerhand den gesamten Dienst einzustellen.
Der kritische Blick auf mögliche Kollateralschäden bleibt wichtig. Aber ob die Datenschutzgrundverordnung ihr Versprechen eines faireren Machtverhältnisses zwischen Datenverarbeitern und Betroffenen einlösen kann, wird auch davon abhängen, wie sie in den kommenden Jahren um- und durchgesetzt wird. Wir haben uns deshalb drei Beispiele aus den vergangenen Wochen angeschaut, bei denen große Firmen einen – freundlich gesagt – kreativen Umgang mit den Vorgaben suchen. Wer weitere Fälle hat, darf sie gerne mit uns teilen – hier in der Kommentarspalte oder per Mail.
Facebook: Zeit für Gesichtserkennung und Datenzusammenführung
Das prominenteste Beispiel ist dabei wieder mal Facebook. Nur einen Tag nach Mark Zuckerbergs denkwürdigem Termin im Europäischen Parlament verkündete das Unternehmen, künftig doch im großen Stil Daten von Whatsapp-Nutzern mit Facebook und anderen Diensten zu teilen. Kommunikationsinhalte sind demnach zwar weiter verschlüsselt, für seine Verhaltensanalysen braucht das Unternehmen aber ohnehin nur Meta- und Bestandsdaten. Eine große Rolle spielt dabei künftig die Auswertung des Kommunikationsverhaltens: Wer nutzt welche Whatsapp-Funktionen, wie häufig wird kommuniziert, wann und mit wem? Auch Daten wie die Telefonnummer und Geräte-ID werden an Facebook und andere weitergegeben. Diese Informationen sind als sogenannte Identifier zentral dafür, dass Facebook auch Daten aus anderen Quellen in einem einzigen Profil zusammenführen kann.
Vor zwei Jahren hatte eine ähnliche Ankündigung des Unternehmens für einen großen Aufschrei gesorgt, weil Facebook bei der Übernahme von WhatsApp im Jahr 2014 eigentlich versprochen hatte, keine Daten zusammenzuführen. Die Hamburgische Datenschutzbehörde hatte den Vorgang damals gestoppt und sich auch in mehreren Verfahren gegen Facebook durchsetzen können.
Wie der Hamburger Behördenleiter Johannes Caspar gegenüber Golem mitteilte, seien ihm nun jedoch erstmal die Hände gebunden, weil nach der Datenschutzgrundverordnung die irische Datenschutzaufsicht federführend zuständig sei. Das Unternehmen betont, dass der Schritt mit der irischen Behörde abgestimmt sei. Facebook hat sich für den Schritt also einen klugen Zeitpunkt ausgesucht. Für solche Fälle der Uneinigkeit hält die Datenschutzgrundverordnung zwar durchaus Lösungsmechanismen bereit. Bis diese sich eingespielt haben, dürfte allerdings einige Zeit ins Land gehen. So könnte Caspar versuchen, im neuen Europäischen Datenschutzausschuss eine Klärung des Sachverhalts herbeizuführen und die irische Behörde zum Eingreifen zu zwingen – aber das kann dauern.
Auch bei seinem Hauptdienst hatte der Datenkonzern kürzlich unter Beweis gestellt, dass er sich nur dem Wort nach an die Datenschutzgrundverordnung halten will. So hat Facebook im Zuge der Einführung „neuer Datenschutzmaßnahmen“ auch in Europa die umstrittene automatische Gesichtserkennung bei Fotos gestartet. Die Einstellungen sind dabei nicht – wie von der Datenschutzgrundverordnung vorgeschrieben – so voreingestellt, dass Nutzer ohne großen Aufwand die datenschutzfreundlichste Option serviert bekommen. Stattdessen versteckt das Unternehmen die Auswahl zum Ablehnen der Gesichtserkennung in einem Auswahlmenü.
Einmal die Generalerlaubnis für alles, bitte
Facebook geht beim Ausbau seines Datengeschäfts also gewohnt rücksichtslos vor. Der Trick, die Datenschutzgrundverordnung als Anlass für eine Ausweitung der Datennutzung zu nehmen, ist aber auch bei deutschen Unternehmen beliebt. So machte der Journalist Richard Gutjahr bei Twitter auf das Vorgehen der Commerzbank aufmerksam, die sich kürzlich mit einer E-Mail an ihre Kunden wandte und um Einverständnis für die Nutzung ihrer Mail-Adresse bat.
Die irreführenderweise mit „Bestätigen Sie uns jetzt Ihre E-Mailadresse“ überschriebene Mail war derart schwammig formuliert, dass leicht der Eindruck entstehen könne, es ginge dabei tatsächlich um relevante Bankinformationen. Stattdessen geht es in dem Schreiben einzig um eine Einwilligung für Werbung. Gutjahr hat aus diesem Grund eine Übersetzung des Schreibens verbreitet: „Geben Sie uns eine Generalerlaubnis für ALLES“.
Zu breit und schwammig gefasste Einverständniserklärungen waren schon bisher einer der größten Streitpunkte im Datenschutz. Obwohl die DSGVO für Einwilligungen vorschreibt, dass diese „in einer klaren und einfachen Sprache“ gehalten sind, dürfte es mit dieser Praxis wohl erstmal weiter gehen.
„Ich habe die heutige E-Mail der commerzbank zur #DSGVO mal eben ins Deutsche übersetzt“
Was heißt hier „berechtigtes Interesse“?
Einen anderen Weg wählte der Mobilfunkanbieter O2/Telefonica. Er setzt bei der Nutzung von Kundendaten für Marketingzwecke künftig nicht auf die Einwilligung der Betroffenen, sondern auf einen anderen Erlaubnistatbestand der DSGVO: Das „berechtigte Interesse“. In einer SMS informierte der Telefonkonzern seine Kundinnen in der vergangenen Woche deshalb, er nutze künftig „bestimmte Bestandsdaten, um Ihnen für Ihren Bedarf passende Produkte von uns anzubieten.“
Wer dies nicht möchte, muss aktiv widersprechen. Hierfür stellt O2 eine neue Webseite bereit. Erst im Kleingedruckten der Seite erfährt man, um was für Daten es eigentlich konkret geht – etwa den Namen, die Anschrift und die monatliche Umsatzsumme. So wie Telefonica machen es derzeit vermutlich viele Unternehmen. Das „berechtigte Interesse“ und seine Ausgestaltung waren einer der umstrittensten Aspekte in der Verhandlung der Datenschutzgrundverordnung, weil die Gefahr besteht, dass der dehnbare Begriff sehr weit ausgelegt wird. Tatsächlich schreibt die DSGVO hier eine Abwägung der Unternehmensinteressen mit den Grundrechten der Nutzer vor und in einem Erwägungsgrund der DSGVO heißt es, auch Direktmarketing könne als berechtigtes Interesse gelten. Ob die großzügige Nutzung von Bestandsdaten für Marketingzwecke jedoch wirklich darunter fällt, darf bezweifelt werden.
Der Datenschutzaktivist Max Schrems äußerte die Vermutung, dass auch Facebook und Google künftig versuchen könnten, sich auf dieses „berechtigte Interesse“ zu berufen. Wenn sich die Aufregung um den morgigen Stichtag gelegt hat, wird es also darum gehen, genau solche Fragen zu klären. Die Datenschutzbehörden haben dabei die Gelegenheit und die Verpflichtung, zu zeigen, dass sie ihre neuen Durchsetzungsbefugnisse sinnvoll einsetzen und anhand größerer Fälle für die Klärung solch grundsätzlicher Fragen sorgen.