Kategorie: Online-Datenschutz
20. Januar 2023
Wie das Unternehmen am Donnerstag mitteilte, wurden beim zweiten großen Hackerangriff innerhalb von weniger als zwei Jahren die persönlichen Daten von rund 37 Millionen T-Mobile-Kunden in den Vereinigten Staaten ausgespäht. Die Hacker hatten Zugriff auf Namen, Adressen und Geburtsdaten der Kundinnen und Kunden, nicht aber auf hochsensible Daten wie Sozialversicherungs- oder Kreditkartennummern.
Ermittlungen dauern noch an
In einem Bericht teilte T-Mobile mit, am 5. Januar entdeckt zu haben, dass ein “böswilliger Akteur” an die Daten gelangt war. Mit Hilfe externer Cybersicherheitsexperten habe der Mobilfunkanbieter den Datenabfluss am nächsten Tag gestoppt, hieß es. Allerdings schloss der zum Bonner Telekom-Konzern gehörende US-Mobilfunkanbieter nicht aus, dass der Vorfall, der am oder um den 25. November begann, hohe Kosten verursachen könnte.
“Wir verstehen, dass ein Vorfall wie dieser Auswirkungen auf unsere Kunden hat und bedauern, dass es dazu gekommen ist”, so T-Mobile in einer Erklärung.
Kein Einzelfall
Die neuste Datenpanne ist der achte Hackerangriff auf T-Mobile. Im Juli 2022 musste das Unternehmen in einem Vergleich 350 Millionen Dollar zahlen, um den Vorwurf zu entkräften, dass seine Fahrlässigkeit zu einer Datenpanne im Jahr 2021 geführt hatte. Dazu kamen Ausgaben in Höhe von 150 Millionen Dollar innerhalb von zwei Jahren, um die Datensicherheit zu erhöhen.
19. Januar 2023
Die französische Datenschutzbehörde „Commission nationale de l‘informatique et des libertés“ (CNIL) veröffentliche vergangene Woche eine Pressemitteilung, derzufolge sie ein Bußgeld gegen die Social-Media Plattform TikTok in Höhe von 5 Millionen Euro verhängt habe. Der Grund für das hohe Bußgeld sei der rechtswidrige Umgang mit Cookies gewesen.
Schlechter Banner, schlechte Informationen
Die CNIL monierte, dass die Nutzer der Webseite „tiktok.com“ Cookies nicht so leicht ablehnen wie akzeptieren können. Zusätzlich informiere TikTok die Nutzer nur unzureichend über die verschiedenen Cookies, die das Unternehmen auf der Webseite einsetze.
Die französische Behörde gab bekannt, dass sie zwischen Mai 2020 und Juni 2022 die TikTok-Webseite auf ihre Cookie-Konformität hin untersucht habe. Demnach sei Gegenstand der Untersuchung die von TikTok UK und TikTok Ireland betriebene Webseite gewesen. Die Behörde habe die Webseite als nicht registrierter Nutzer besucht.
Konkret sei der CNIL aufgefallen, dass das eingesetzte Banner lediglich einen „Akzeptieren“-Button beinhaltet habe. Das Ablehnen der Cookies sei hingegen nur durch die Betätigung mehrerer Schaltflächen möglich gewesen. Dabei sei es problematisch, dass die Nutzer aufgrund des komplizierten Abwahl-Mechanismus Cookies rasch akzeptierten. Außerdem habe das Unternehmen weder auf dem Banner noch auf der per Link aufrufbaren Unterseite ausreichende Informationen für die Nutzer zur Verfügung gestellt.
Verstoß gegen Art. 82 Datenschutzgesetz
Im Ergebnis habe CNIL einen Verstoß gegen Art. 82 des französischen Datenschutzgesetz festgestellt.
Das Datenschutzgesetz ist ein nationales Regelungswerk, dass die Öffnungsklauseln der Datenschutz-Grundverordnung (DSGVO) umsetzt. Art. 82 des Datenschutzgesetzes legt Regelungen zur Speicherung und zum Auslesen bereits gespeicherter Informationen im Endgerät des Nutzers fest. Dabei ist eine vorherige Information über das Auslesen und Speichern erforderlich. Zusätzlich bedarf es für beide Vorgehensweisen eine Einwilligung.
Die Norm ähnelt der deutschen Regelung des § 25 TTDSG. Diese findet in Deutschland neben der DSGVO für die Gestaltung von Cookie-Bannern und ihrem Einsatz Anwendung.
10. Januar 2023
Seit dem 1. Januar 2021 können alle gesetzlich Versicherten eine elektronische Patientenakte (ePA) ihrer Krankenkassen erhalten. Darin befinden sich medizinische Befunde und Informationen aus vorhergehenden Untersuchungen und Behandlungen über Praxis- und Krankenhausgrenzen hinweg, die umfassend gespeichert werden können. Ähnlich wie bei der elektronischen Arbeitsunfähigkeitsbescheinigung (wir berichteten) stellen sich auch bei der ePA datenschutzrechtliche Fragen.
So steht der Bundesdatenschutzbeauftragter (BfDI) Ulrich Kelber der Umsetzung der ePA kritisch gegenüber: Ein solches Opt-out System sei in der DSGVO „grundsätzlich nicht angelegt“.
Diesen Informationen ist ein besonders hohes Schadens- und Diskriminierungspotenzial immanent mit der Folge, dass die ePA-Daten daher – sowohl bezüglich des „Ob“ als auch des „Wie“ der Verarbeitungsmodalitäten – äußerst strikten Vorgaben unterliegen.
Wer hat Zugriff auf die Daten
Ein bedeutender Aspekt ist die Frage der Zugriffsgestaltung auf die ePA. Dafür ist am 20. Oktober 2020 das Patientendaten-Schutz-Gesetz (PDSG) in Kraft getreten. Es enthält umfängliche Regelungen zur elektronischen Patientenakten. Mit dessen konkreten Ausgestaltungen zum Zugriffsmanagement – insbesondere für Versicherte, die kein geeignetes Endgerät besitzen oder nutzen wollen – verstößt es laut dem BfDI gegen die Datenschutz-Grundverordnung.
Umsetzung der ePA in vier Stufen geplant
Die Umsetzung des Berechtigungsmanagements soll in vier Stufen vorgenommen werden:
- Auf der ersten Stufe erhalten Patient*innen automatisch eine ePA.
- In der zweiten Stufe wird die digitale Akte sodann durch die Ärzte mit Informationen bestückt.
- Die dritte Stufe ermöglicht den behandelnden Mediziner*innen, die Akte einzusehen.
- Als letzte und vierte Stufe wird die Möglichkeit eröffnet, persönliche Gesundheitsdaten anonym zu Forschungszwecken zu spenden.
Offen ist allerdings noch, auf welcher Stufe Patienten der ePA widersprechen können.
Fazit
Das im PDSG normierte Zugriffsmanagement der ePA verstößt laut Kelber gegen die DSGVO und die Grundrechte der Versicherten. Der BfDI kommt so zu dem Schluss, dass eine Umsetzung der elektronischen Patientenakte ausschließlich nach den Vorgaben des nationalen Gesetzes europarechtswidrig sei.
5. Januar 2023
Nur kurze Zeit nach dem letzten Millionenbußgeld hat die irische Datenschutzbehörde Data Protection Commission (DPC) erneut gegen den Meta-Konzern Sanktionen verhängt. Der Gesamtbetrag von 390 Millionen Euro setzt sich aus Bußgeldern gegen Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) zusammen.
Rechtsgrundlage Vertrag statt Einwilligung?
Anstoß für die Untersuchung der DPC gaben die Beschwerden eines Österreichers und eines Belgiers am 25. Mai 2018, dem Tag des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO). Nach einer Änderung der Nutzungsbedingungen sollten die personenbezogenen Nutzerdaten nicht mehr auf Basis einer Einwilligung, sondern auf vertraglicher Basis verarbeitet werden. Dazu zählte auch die Nutzung für personalisierte Werbung.
Meta argumentierte, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag mit dem Nutzer zustande gekommen sei. Die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung ihrer Facebook- und Instagram-Dienste sei für die Erfüllung dieses Vertrags, einschließlich der Bereitstellung personalisierter Dienste und verhaltensorientierter Werbung, erforderlich, sodass diese Verarbeitungen gemäß Artikel 6 Abs. 1 lit. b DSGVO (die „vertragliche“ Rechtsgrundlage für die Verarbeitung) rechtmäßig gewesen seien.
Dagegen vertraten die Beschwerdeführer die Meinung, dass Meta sich weiterhin auf die Einwilligung als Rechtsgrundlage berufe. Indem Meta den Zugang zu seinen Diensten von der Zustimmung der Nutzer zu den aktualisierten Nutzungsbedingungen abhängig mache, zwinge es sie faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen.
Jahrelange Entscheidungsfindung
In einem Beschlussentwurf vom Oktober 2021 hatte die DPC eine Geldbuße zwischen 28 und 36 Millionen Euro für angemessen erachtet. Meta habe demnach gegen seine Transparenzpflichten verstoßen, indem Nutzer nicht ausreichend über die Verarbeitungsprozesse informiert worden seien. Metas Vorgehen hinsichtlich der Rechtsgrundlage sei jedoch zulässig gewesen.
Die im Rahmen des Kooperations- und Kohärenzverfahrens beteiligten Datenschutzbehörden waren mit der Entscheidung der DPC nicht einverstanden, sodass schließlich der Europäische Datenschutzausschuss (EDSA) beteiligt wurde. Dieser widersprach der Rechtsauffassung der DPC. Er befand, dass Meta im Rahmen der personalisierten und verhaltensbezogenen Werbung nicht auf einen Vertrag als Rechtsgrundlage zurückgreifen könne.
Laut der Datenschutzorganisation noyb habe die DPC während des Verfahrens mit Meta eng zusammengearbeitet. Meta habe sogar argumentiert, dass die DPC das Vorgehen abgesegnet habe.
Wie geht es nun weiter?
Neben dem Bußgeld hat die DPC Meta dazu verpflichtet, innerhalb von drei Monaten nachzuweisen, dass die Verarbeitungstätigkeiten entsprechend der Vorgaben angepasst wurden. Wie diese Umsetzung aussehen soll, ist noch unklar. Voraussichtlich wird Meta gerichtlich dagegen vorgehen.
Darüber hinaus hat die DPC angekündigt, gegen den EDSA zu klagen. Dieser hatte ihr aufgetragen, eine weitere Untersuchung gegen Facebook und Instagram hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten einzuleiten. Der EDSB habe keine allgemeine Aufsichtsfunktion, die mit der der nationalen Gerichte in Bezug auf nationale unabhängige Behörden vergleichbar sei. Es stehe dem EDSB nicht frei, eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen.
3. Januar 2023
Der Digitalverband Bitkom veröffentlichte zu Jahresbeginn die Ergebnisse einer repräsentativen Umfrage zu Erfahrungen mit Cyberkriminalität. Befragt wurden in Deutschland 1.014 Personen ab 16 Jahren, die das Internet nutzen.
Drei von vier Internetnutzerinnen und -nutzern 2022 betroffen
Nach den Ergebnissen der Umfrage waren drei von vier der Befragten (75 Prozent) 2022 von Cyberkriminalität betroffen. Die Ergebnisse folgen dem Trend der letzten Jahre. Während 2019 noch 40 Prozent nicht von Cyberkriminalität betroffen waren, waren es 2020 nur noch 34 Prozent. 2021 waren es mit 21 Prozent dann fast genauso viele wie 2022 mit 22 Prozent.
Erfragt wurden beispielsweise Erfahrungen mit Schadsoftware, Betrug beim Online-Shopping oder auch Beleidigungen in sozialen Netzwerken. Bei der Hälfte der Befragten waren persönliche Daten ungefragt weitergegeben worden. Auch der Betrug beim Online-Einkauf oder Online-Banking sowie die Infizierung mit Schadprogrammen trat häufig auf. Bei drei Prozent fand sogar ein Identitätsdiebstahl statt. Bei den Delikten im Rahmen der Interaktion mit anderen Usern fielen insbesondere Beleidigungen und sexuelle Belästigungen auf. Dabei waren Frauen mehr als doppelt so oft betroffen wie Männer.
Ignorieren statt reagieren
Kaum einer der Befragten gab an, auf Forderungen eingegangen zu sein. Vielfach (ca. ein Drittel) entschieden sie sich dafür, auf den Vorfall nicht zu reagieren. Rund die Hälfte suchte das Gespräch mit Freunden und Bekannten. In etwa genauso viele suchten Kontakt mit dem Unternehmen, beispielsweise der Social-Media-Plattform, der Bank oder dem E-Mail-Anbieter. Einige löschten auch ihren Account oder kündigten diesen.
Mehr Polizeieinsatz gegen Cyberkriminalität
Während nur ein knappes Fünftel den Weg der Strafanzeige bei der Polizei wählte, fand sich ein breiter Konsens für einen stärkeren Einsatz der Polizei gegen Cyberkriminalität. So forderten 97 Prozent eine bessere Finanzierung spezieller Polizeieinheiten. 93 Prozent wünschten sich eine stärkere Polizeipräsenz im digitalen Raum. Dagegen fanden nur sieben Prozent die öffentliche Debatte zur Cyberkriminalität übertrieben.
Sicherheitsmaßnahmen und gesunder Menschenverstand
Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder sprach sich dafür aus, dass jeder entsprechende Sicherheitsmaßnahmen treffen müsse. Man müsse damit rechnen, im Internet auf Cyberkriminelle zu treffen. Daher sei es beispielsweise erforderlich, sichere Passwörter zu nutzen, Virenschutzsoftware zu nutzen oder auch persönliche Informationen nur sparsam weiterzugeben. Dazu helfe auch „gesunder Menschenverstand gegen Cyberkriminelle“, so Rohleder. „Wie in der analogen Welt gilt auch im Digitalen: Sind Angebote zum Beispiel von Online-Shops einfach zu gut, um wahr zu sein, sollte man die Finger weglassen. Und wer online von entfernten Verwandten oder Bekannten um Geld gebeten wird, sollte prüfen, ob es sich dabei wirklich um die vorgeblichen Personen handelt“.
2. Januar 2023
Die dänische Aufsichtsbehörde hat am 20.5.2022 einen Fall zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden.
Über den Sachverhalt
Der Betroffene hatte auf eBay einen Artikel bei dem Unternehmen Asus gekauft und im Rahmen des Kaufs seine E-Mail-Adresse angegeben. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com, in der der Asus Online Shop als Absender angegeben war und in der er gebeten wurde, das Kauferlebnis bei Asus auf Trustpilot zu bewerten. Der Betroffene kontaktierte daraufhin Trustpilot von einer anderen E-Mail-Adresse und bat um Auskunft über eventuell verarbeitete personenbezogene Daten. Trustpilot antwortete und teilte mit, dass kein aktiver Nutzer für die E-Mail gefunden werden konnte und daher keine Daten über den Betroffenen verarbeitet wurden. Der Betroffene erhielt danach erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops. Der Shop bat ihn darin, den Einkauf bei Asus zu bewerten. Der Betroffene beschwerte sich deswegen bei der bayerischen Behörde (BayLDA). Das BayLDA leitete die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiter.
Die Entscheidung der Behörde
Als die für Trustpilot zuständige Datenschutzbehörde hat sie also darüber entscheiden müssen, ob Trutspilot nach Art. 15 DSGVO verpflichtet war, die Auskunft zu erteilen.
In der Begründung der dänischen Behörde geht hervor, dass allein der für die Verarbeitung Verantwortliche nach Art. 15 DSGVO zur Auskunft an den Betroffenen verpflichtet.
„Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“
Unterstützungspflicht des Auftragsverarbeiter
Jedoch ist Trustpilot nach Art. 28 Abs. 3 lit. e DSGVO verpflichtet, den Verantwortlichen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannte Rechte der betroffenen Person zu unterstützen.
Außerdem hat der Betroffene im Rahmen seiner Anfrage auch seinen Namen und seine postalische Adresse angegeben hatte. Deswegen kritisierte die dänische Datenschutzbehörde, dass Trustpilot keine einheitliche Vorgehensweise bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die der Betroffene im Zusammenhang mit seiner Anfrage übermittelt hat, umgesetzt hat. Trustpilot war offenbar nicht in der Lage, nach dem Namen und der Adresse zu suchen und einen Vergleich durchzuführen. Dadurch hätte Trustpilot die Möglichkeit gehabt, die betroffene Person zu identifizieren und, als Auftragsverarbeiter, den Verantwortlichen in dem vereinbarten Umfang bei der Verarbeitung zu unterstützen. Die dänische Behörde hat dies jedoch nur als Hinweis an Trustpilot gegeben und das Verfahren eingestellt.
Fazit
In der Begründung empfiehlt die Aufsichtsbehörde, dass Trustpilot zusätzliche Daten (Name und Adresse) als Auftragsverarbeiter erhalten soll, die für die eigene Leistung nicht unbedingt erforderlich sind, aber für Betroffenenanfragen relevant sein könnten. Diese Empfehlung mag aus Sicht der Erleichterung von Betroffenenanfragen zwar sinnvoll sein, doch ist der Verantwortliche (für den Trustpilot als Auftragsverarbeiter auch bei Betroffenenanfragen unterstützen muss) laut Art. 11 DSGVO nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur um Betroffenenrechte zu erfüllen. Zu beachten ist, dass die erforderlichen Daten (Name und Adresse) bereits beim Verantwortlichen vorliegen. Eine mögliche Alternative könnte sein, dass Trustpilot die Anfrage des Betroffenen (inklusive der unbekannten E-Mail-Adresse) direkt an den Verantwortlichen weiterleitet.
27. Dezember 2022
Die irische Datenschutzbehörde Data Protection Commissioner (DPC) hat nach eigenen Angaben Untersuchungen gegen Twitter eingeleitet. Hintergrund ist ein Datenleck des Social Media-Konzerns, bei dem mehrere gesammelte Datensätze mit personenbezogenen Daten von Twitter-Nutzern im Internet zur Verfügung gestellt worden waren. Es sollen dabei weltweit ca. 5,4 Millionen Nutzer betroffen gewesen sein.
Twitter-IDs, E-Mail-Adressen und Telefonnummern betroffen
Das Datenleck war im Januar 2022 bekannt und dann innerhalb von fünf Tagen von Twitter geschlossen worden. In den Datensätzen sollen Twitter-IDs, E-Mail-Adressen sowie Telefonnummern den betroffenen Personen zugeordnet worden sein. Diese Datensätze wurden in Hacking-Plattformen zum Kauf angeboten.
Womöglich ist die Zahl an Betroffenen sogar noch größer als geschätzt. Laut dem israelischen Sicherheitsforscher Alon Gral sollen sogar Daten von 400 Millionen Twitter-Konten aus einem Datenleck – möglicherweise aus demselben Leck – Elon Musk direkt zum Kauf angeboten worden sein. Daraus angebotene Probedatensätze enthielten die Daten prominenter Personen.
Austausch zwischen DPC und Twitter
Auch wenn Twitter die genauen Zahlen der Betroffenen nicht bestätigt hat, hat das Unternehmen den Vorfall der DPC gemeldet, welche die für Twitter zuständige Datenschutzbehörde ist. In der nachfolgenden Korrespondenz ergab sich für die DPC der Eindruck, dass eine oder mehrere Bestimmungen der Datenschutzgrundverordnung (DSGVO) verletzt worden sein könnten. Bereits im November hatte die Vorsitzende der DPC, Helen Dixon, im Interview mit POLITICO Bedenken hinsichtlich Twitters Datenschutzpraxis ausgedrückt.
DPC als Aufsichtsbehörde der Tech-Giganten
Die DPC ist neben Twitter auch für Tech-Giganten wie Google und Facebook zuständig. Diese haben ihre Niederlassungen in Irland und unterfallen damit regelmäßig dem Zuständigkeitsbereich der irischen Datenschutzaufsicht. Aus diesem Grund hat die DPC Twitter 2021 eine Geldbuße von 450.000 Euro auferlegt. Zuletzt war eine massive Geldbuße gegen Meta erfolgt.
Wenn sich der Vorwurf im Untersuchungsverfahren bestätigt, ist angesichts der hohen Sanktionsmöglichkeiten seitens der DPC erneut ein empfindliches Bußgeld zu erwarten. Die DSGVO ermöglicht in Art. 83 Sanktionen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
23. Dezember 2022
Das Bundesjustizministerium hat die Handelsregisterverordnung (HRV) angepasst, die Änderungen treten heute in Kraft. Ziel sei ein besserer Schutz personenbezogener Daten im digitalen Handelsregister.
Hintergrund
Das Handelsregisterportal wird von den Ländern betrieben. Die HRV ist der einzige Bereich, in dem das Bundesjustizministerium selbst als Verordnungsgeber tätig werden kann. Unter der Web-Adresse „handelsregister.de“ ließen sich seit dem 1. August dieses Jahres sämtliche Einträge im Handels-, Genossenschafts-, Partnerschafts- und Vereinsregister per Webformular abrufen. Die für die Allgemeinheit ohne Registrierung zugänglichen Dokumente enthielten oft sensible persönliche Daten wie Adressen, Geburtsdaten, Bankverbindungen oder auch Unterschriften.
Nach einer Gesetzesänderung zur Umsetzung der EU-Digitalisierungsrichtlinie waren teilweise Dokumente mit sensiblen personenbezogenen Daten übers Internet frei abrufbar. Das Ministerium reagierte nun auf Kritik von Datenschützern und passte die HRV an, um die Informationen in dem Online-Verzeichnis besser zu schützen.
Änderungen in der Handelsregisterverordnung
§ 9 HRV führt nun aus, dass in das digitale Handelsregister nur Unterlagen aufgenommen werden sollen, die aufgrund besonderer Rechtsvorschriften zwingend einzureichen seien, also beispielsweise keine Ausweiskopien. Gleichzeitig wird klargestellt, dass Erbscheine, Erbverträge, öffentliche Testamente und andere nach § 12 Abs. 1 Satz 5 HGB hinterlegte Urkunden nicht in das Register aufgenommen werden sollen. Die Einsicht in diese Dokumente sei für den Rechtsverkehr nicht notwendig.
Darüber hinaus regelt der neue Absatz 7 des § 9 HRV die Möglichkeit des Austauschs von Dokumenten. Wenn das ursprünglich eingereichte Dokument Teilinformationen enthalte, die nicht zum Registerordner gehörten, könne die betroffene Person ein neues Dokument ohne die fraglichen Informationen einreichen. So könne das neue Dokument gegen das alte Dokument ausgetauscht und das alte Dokument gesperrt werden.
Prozess noch nicht abgeschlossen
Des Weiteren stehe das Bundesministerium der Justiz im Austausch mit den Justizbehörden der Länder und der Bundesnotarkammer, um so weitere Verbesserungen im Datenschutz voranzutreiben. Auch suche man weiterhin nach technischen Lösungen zur Bearbeitung von bereits eingestellten Daten.
22. Dezember 2022
Wie die Verbraucherzentrale NRW berichtet, hat Google im Klageverfahren vor dem Landgericht Berlin eine Unterlassungserklärung abgegeben und seine Cookie-Banner angepasst. Daraufhin wurde das Verfahren für erledigt erklärt und damit beendet.
Klage der Verbraucherzentrale NRW wegen „Dark Patterns“
Die Klage hatte die Verbraucherzentrale NRW im April 2022 erhoben. Darin warf sie Google vor, Nutzerinnen und Nutzer mithilfe sogenannter „Dark Patterns“ dazu zu bewegen, zu mehr Cookies eine Einwilligung zu erteilen als beabsichtigt. Solche Dark Patterns sind darauf ausgelegt, Personen zu Handlungen zu verleiten, die ihren eigenen Interessen entgegenlaufen. Cookies sind kleine Textdateien, die der Webbrowser auf dem Gerät bei einem Webseitenbesuch speichert. Sie ermöglichen es (Dritt-)Anbietern, das Nutzungsverhalten beim Surfen im Internet nachzuverfolgen.
Die Cookie-Banner auf den Webseiten der Suchmaschine von Google waren in einer Weise gestaltet, die es Besucherinnen und Besuchern erheblich schwieriger machte, die Verarbeitung von Cookies abzulehnen als in diese einzuwilligen. Für die Zustimmung genügte ein einziger Klick. Dagegen musste zur Ablehnung auf eine zweite Ebene des Banners gewechselt werden. Um sämtliche nicht technisch erforderlichen Cookies abzulehnen, mussten mindestens drei verschiedene Kategorien von Cookies einzeln abgelehnt werden.
Laut Verbraucherzentrale NRW sei dieses Vorgehen ein Trick, um die Einwilligung zu „erschleichen, um an möglichst viele persönliche Informationen zu gelangen, diese zu sammeln und zu verarbeiten“. Das Ablehnen von Cookies müsse genauso leicht sein wie das Akzeptieren.
Das neue Cookie-Banner von Google setzt diese Vorgabe nun auch um. Es stehen zwei Schaltflächen nebeneinander, mit denen entweder alle Cookies akzeptiert oder abgelehnt werden können.
Der Kampf gegen undurchsichtige Cookie-Banner
Wohl die meisten Internetnutzerinnen und -nutzer sind genervt von der Flut an Cookie-Bannern im Internet. Sie sind das erste, womit sie auf jeder neuen Webseite konfrontiert werden. Grund dafür ist vor allem, dass eine Einwilligung nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), welches auf der europäischen ePrivacy-Richtlinie beruht, für alle nicht technisch unbedingt erforderlichen Cookies benötigt wird. Dabei sind die Webseitenbetreiber in der Gestaltung keineswegs frei. So hat der Europäische Gerichtshof 2019 entschieden, dass bestimmte Informationen darin enthalten sein müssen: Der Verantwortliche muss erkennbar sein, die Verarbeitungszwecke und Dauer müssen angegeben werden und auch die Weitergabe der Daten muss klar kommuniziert werden. Darüber hinaus gelten für die Einwilligung die Anforderungen der Datenschutzgrundverordnung (DSGVO). Eine Einwilligung muss freiwillig, bestimmt, informiert und unmissverständlich sein (vgl. Art. 4 Nr. 11 DSGVO). Außerdem müssen die Freiwilligkeit der Einwilligung und ihre jederzeitige Widerrufbarkeit kommuniziert werden.
Infolge von Klagen und Beschwerden von den Verbraucherzentralen und Datenschutzorganisationen wurden bereits auf zahlreichen Webseiten die Cookie-Banner geändert. Um den Umgang mit Cookies zu erleichtern, arbeitet die Bundesregierung derzeit an einer Rechtsverordnung zur zentralen Einwilligungsverwaltung. Damit könnten Nutzerinnen und Nutzer in ihrem Browser ihre Cookie-Präferenzen einmalig angeben, anstatt dies auf jeder einzelnen Webseite zu tun.
19. Dezember 2022
In letzter Zeit haben Chatkontrollen immer mehr an Bedeutung gewonnen. Dabei handelt es sich um Maßnahmen, die dazu dienen, die Kommunikation in Online-Chats zu überwachen und gegebenenfalls zu beschränken. Diese Kontrollen werden oft von Unternehmen und Regierungen eingesetzt, um die Sicherheit und Integrität von Online-Communities zu gewährleisten.
Allerdings gibt es auch Bedenken hinsichtlich der Implikationen von Chatkontrollen. Kritiker argumentieren, dass solche Maßnahmen die Meinungsfreiheit einschränken und dazu führen können, dass wichtige Diskussionen und Debatten unterdrückt werden. Es besteht die Gefahr, dass Chatkontrollen zu Unrecht angewendet werden und somit zu falschen Entscheidungen führen.
Der Entwurf der EU-Kommission zur Neuregelung der „Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, auch bekannt als CSA-Verordnung steht massiv unter Druck.
Der Grund: Der Entwurf zur neuen CSA-Verordnung macht keine genauen Vorgaben dazu, mit welchen konkreten Technologien die geplanten Maßnahmen umgesetzt werden sollen. Dafür sollen die Plattform-Betreiber verantwortlich sein. Gleichzeitig wird solchen Tech-Konzernen das Recht eingeräumt, hochgradig grundrechtseinschränkende Technologien zu entwickeln und zu verwenden. Um aber das Ziel der neuen CSA-Verordnung zu erreichen, also die Erstellung und die Verbreitung von Kindesmissbrauchsdarstellungen aktiv zu bekämpfen, sollen bestehende und erfolgreiche Strukturen des Kinderschutzes und deren Ausbau gefördert werden.
Ist Tech-Solutionismus die Lösung?
Der Tech‑Solutionismus besagt, dass Probleme durch neue Technologien gelöst werden können. Zugleich hat die Einführung komplexer neuer technischer Systeme meist die Entstehung von neuen Problemen zur Folge. Insbesondere die im Entwurf genannten algorithmischen Entscheidungssysteme sind nicht näher spezifiziert. Die tatsächliche Erkennung, so sieht es der Bericht vor, bleibt „technologieneutral“.
Zudem ist das automatisierte Melden von Inhalten ein viel komplexeres Problem, was sich an andere Anwendungsfälle bereits heute schon zeigen lässt. Die Algorithmen schlagen ohne inhaltliche Grundlage überdurchschnittlich häufig bei der Kommunikation unterrepräsentierter Gruppen an. Damit setzt so ein Entscheidungssystem die gesellschaftliche Diskriminierung fort, wobei aufgrund ihrer scheinbaren Objektivität die Entscheidung weniger angreifbar macht. Technische Lösungen können wohl nur so neutral sein, wie die Gruppe, die sie schafft, und die Daten, auf denen sie basiert.
Verschlüsselte Kommunikation aufbrechen
Die CSA-Verordnung sieht vor, digitale Kommunikationswege, wie Messenger, Chats auf Spieleplattformen, in Lern-Apps oder Ähnlichem, zu überprüfen. Genauso sollen Anwendungen, die die Kommunikation zwischen den Gesprächsteilnehmenden verschlüsseln, überwacht werden. Damit ist eine wirklich Ende-zu-Ende-verschlüsselte Kommunikation nicht mehr möglich. Eine ständige und dauerhafte Prüfung widerspricht aber dem Prinzip der Verschlüsselung: Entweder funktioniert sie und ist daher von keiner Instanz aufgebrochen werden oder sie ist kaputt.
Das “Datenschutzgrundrecht”
Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme schützt unsere persönlichen Daten und unsere privaten Kommunikationen, die digital gespeichert oder verarbeitet werden. Bei präventiven Eingriffen in diesen Schutzbereich sind insbesondere dem Staat hohe Hürden gesetzt: Solche Eingriffe sind immer nur anlassbezogen zulässig. Der Entwurf der CSA führt aber dazu, dass solche geschützten Bereiche aufgrund kontinuierlicher maschineller und menschlicher Überwachung nicht mehr existieren können. Insbesondere Journalisten, Whistleblower und Anwälten sind besonders auf intakte Verschlüsselung ihrer Kommunikation angewiesen. Die Überwachung durch Chatkontrollen würden ihre Arbeit nahezu aushebeln.
Pages: 1 2 ... 5 6 7 8 9 ... 90 91 
