Bild: pixabay
Wirtschaft & Finanzen

Datenschutzgrundverordnung und e-Privacy – Zähmung der Datenkraken?

21. Oktober 2017

Schon seit Jahren tüftelt man in der EU an einer einer einheitlichen Regelung, wie mit den elektronischen Daten der Menschen umzugehen sei. Einerseits funktioniert eine riesige Industrie durch das „Datenmining“, also das Gewinnen von elektronischen Informationen über das Hunderte von Millionen Menschen große Heer der „Nutzer“ des Internets in Europa. Andererseits sind diese User auch im Fadenkreuz der Horde an Prädatoren, die mal mehr, mal weniger harmlos, diese Datenbanken nicht nur zum eigenen Gewinn, sondern auch zum Nachteil dieser User nutzen. Diese Profile helfen auch professionellen Netzbetrügern, ihre Opfer zu ködern.

Aber auch ohne direkten Betrug ist es für die Internetbenutzer nicht egal, ob ihre Fahrten und Aufenthaltsorte zu einem typischen Bewegungsprofil verarbeitet werden, und die Information, dass sie dabei an einer Tankstelle vielleicht hin und wieder eine Flasche Alkoholhaltiges kaufen, als gekauftes Persönlichkeitsdaten-Profil bei ihrer KFZ-Versicherung auf dem Tisch des Sachbearbeiters liegt, während dasselbe Datenminig-Unternehmen sein Nutzerprofil an einen Spirituosenhersteller verkauft, der ihn dann mit seiner Schnapswerbung in jedem Werbebanner auf seinem Computerbildschirm zum Kaufen animiert, was dann wiederum im upgedateten Profil seinem Sachbearbeiter bei der Krankenversicherung auffällt.

Datenschutzgrundverordnung soll im Mai 2018 in Kraft treten

Der Schutz der Internet- und Kommunikations-Nutzer vor solchem Datenminig soll bis zum Mai 2018 in der ganzen EU einheitlich geregelt werden. Aber so ganz einig ist man sich in den beteiligten Kommissionen, Gremien und Räten noch nicht. Die Profiteure des Datenminings schicken ihre Interessensvetreter ins Rennen, die Überwachungsbehörden haben ein Wort mitzureden und die Datenschützer versuchen ebenfalls ihre Vorstellungen durchzusetzen.

Ein taz-Artikel informierte am 16.06.2015: „EU-Staaten einigen sich auf mehr Rechte für User“, dass sich die Justizminister der EU-Mitgliedsstaaten am 15.06.2015 auf eine gemeinsame Linie für die EU-“Datenschutz“-Verordnung geeinigt haben. Positiv hervorgehoben wurden in dem Artikel das „Recht auf Vergessen“, die Möglichkeit von Beschwerden an die „nationale Datenschutzbehörde“ sowie die europaweite Vereinheitlichung des Datenschutzes.

Der Artikel „Europäischer Datenschutz: Gleiche Bedingungen für alle“ (S. 40+41 des dbb Magazins Juli / August 2015) stellt ebenfalls die Vorzüge des „Recht auf Vergessenwerden“, die Beschränkung des „Profiling“ (der automatischen Auswertung von personenbezogenen Daten wie solchen über Gesundheit, Arbeitsleistung, wirtschaftliche Lage oder persönliche Vorlieben) in den Vordergrund und lobt die Vorschrift einer „unmissverständlichen Einwilligung der betroffenen Person“, deren Daten man verarbeiten will. Die EU-Justizkommissarin Vera Jourová wird zitierte, „die Datenschutzreform“ sei „ein zentrales Anliegen der Europäischen Kommission“ und im Interesse des Verbrauchers.

ePrivacy und/oder Datenschutzgrundverordnung?

Die Sache geht nun über Jahre ihren Gang durch die Gremien und Kommissionen. Gleichzeitig gibt es aber bereits Anstrengungen für eine andere Verordnung zum Umgang mit persönlichen Daten in der Europäischen Kommission.

Der Vorschlag der Europäischen Kommission vom 10. Januar 2017 für eine „ePrivacy“-Verordnung  soll nun die Richtlinie aus dem Jahr 2002 reformieren und geht noch über die bald geltende Datenschutz-Grundverordnung hinaus. Hierbei wird der Gewinn an Sicherheit und Vertraulichkeit der persönlichen Daten in der elektronischen Kommunikation sowohl was Telefon, Messengers, wie WhatsApp, Skype, Email, SMS und ähnliche Internet-Dienste betrifft, in den Vordergrund gestellt. Außerdem soll das ausufernde Profiling der Internet-Nutzer durch Google Analytics und verwandten Diensten beschränkt werden. Diese so genannten „MetaDaten“ dürfen nur noch mit der ausdrücklichen Erlaubnis der betreffenden Person weiterverwendet werden. Webseiten dürfen die Besucher schon seit 2009 nur noch mit deren Einwilligung „verfolgen“: Das ist der bekannte Klick auf das Knöpfchen „Cookies akzeptieren“.

Wird dagegen verstoßen, drohen Firmen 4% des Jahresumsatzes als Strafzahlung.

Insbesondere die Internet-Werbeindustrie ist mit dieser Regelung nicht glücklich, und fordert, die ePrivacy-Richtlinie in Anbetracht der EU-weiten, kommenden Datenschutz-Grundverordnung aufzugeben.

Datenscouts auf unseren elektronischen Spuren

Jeder Netznutzer kennt es, kaum hat man, zum Beispiel auf Amazon oder einem Pflanzenversand oder einem Modelabel nach irgendeinem Produkt gesucht, öffnen sich von da an bei allen möglichen anderen Seiten Werbebanner, die dieses oder ähnliche Produkte impertinent bewerben.

Die Nutzer werden in ihrem Verhalten beobachtet, registriert, Vorlieben herausgearbeitet und als Zielgruppen mit bestimmten Nachrichten, Informationen und Werbungen „beglückt“.

Die Inhalte von privaten Mitteilungen über Email und Messenger sind aber noch eine ganz andere Qualität. Das Interesse der Werbeindustrie, auch die Kontakte und Bekanntschaften und das private Netzwerk von Usern für Werbezwecke zu nutzen, liegt auf der Hand. Manche Firmen fordern von Datensammlern bisweilen im Netz gesammelte Informationen über Geschäftspartner oder Mitarbeiter an. Die Geschichten über krankgemeldete Mitarbeiter, die dann so dumm sind, die fotografischen Beweise über die verschiedenen Stadien ihrer Trunkenheit und ihres Zärtlichkeitsbedürfnisses der Vornacht auf Facebook zu posten sind bekannt. Soviel Dummheit gehört auch bestraft. Doch mit professionellem Datenmining findet man so etwas auch über Bewegungsprofile und die sozialen Kontakte des fraglichen Mitarbeiters und deren Postings oder Telefonate heraus (Mann, war der Kevin gestern Nacht wieder voll …).

Facebook? Gefällt mir nicht!: In fünf Schritten aus dem weltgrößten Datensammel-Netzwerk aussteigen von [Maier, Noris]Es ist heute nämlich möglich, die Teilnehmer eines Telefonats oder einer Message zu bestimmen, und die Kontakte im Adressbuch eines Smartphones auszulesen. Damit lässt sich in Kombination mit den übermittelten, privaten Inhalten auch vorhersagen, wie sich die Individuen verhalten werden, wann Herr A, der sich mit Frau B verabredet hat an welchem Ort sein wird, und ob es sich lohnt, ihn mit Restaurantwerbungen an diesem Ort zu bewerben. Oder Oma C fragt über SMS Enkel D, was er sich zu Weihnachten wünscht und, wie von Zauberhand bekommt Oma C nun ständig Im Internet Werbeeinblendung für die gewünschten Geschenke serviert.

Es gibt verschiedene Kommissionen innerhalb der EU, die sich für oder gegen die Beibehaltung der ePrivacy-Regelung aussprechen. Das Europaparlament wird mit dem Europarat darüber verhandeln. Das wird wahrscheinlich noch Monate dauern. Es wird sich weisen, ob die Europäische Kommission die ePrivacy-Verordnung zusammen mit der Datenschutz-Grundverordnung am 25. Mai verabschieden kann.

Die Schnüffeldienste und Datensammler im Netz

Es geht in erster Linie darum, ob Internet-Dienste, wie GoogleAnalytics oder Facebook mit seinen Likes oder für den Nutzer nicht erkennbare Tracker-Programme die Internetnutzer auf ihrem Weg durch das Netz verfolgen dürfen. Alles das, was die Nutzer tun und lassen, wofür sie sich interessieren wird zu einem persönlichen Profil verarbeitet und gespeichert. Daher bekommt man auf den Werbebannern ständig Werbung gezeigt, die nach diesem Profil zu uns passt. Diese Profile werden aber auch weiterverkauft an Unternehmen. Zum Beispiel verwenden Versicherungen diese Profile, um mehr über ihre eigenen Kunden zu erfahren. Das geschieht heute noch andauernd und ohne Rechtsgrundlage.

Strittig ist noch, ob die Nutzer im Internet zukünftig nur noch dann bestimmte Seiten und Dienste nutzen können, wenn sie der Datensammlung per „Cookie akzeptieren“ zustimmen, ansonsten ausgeschlossen sind. Und, ob die Browsersoftware gesetzlich bestimmte Voreinstellungen haben muss, die das Optimum an Datensicherheit bieten. Manche Gremien lehnen dies als Bevormundung ab.

Weiterhin wird über eine Verschlüsselung noch debattiert. Die Grünen wollen im Prinzip ein VPN für alles und alle, also eine Ende-zu-Ende-Verschlüsselung aller übertragenen Daten, in der Meinung, die Geheimdienste dadurch fernhalten zu können.

Außerdem muss geklärt werden, ob Kommunikationsdaten auch nach der Übermittlung geschützt werden müssen. Emails, zum Beispiel, werden ja auch noch nach der Übermittlung auf Servern gespeichert (z.B. Vorratsdatenspeicherung) und sind dort recht einfach einsehbar.

Mit Datenmining ist viel Geld zu verdienen
Die Gegner der ePrivacy-Verordnung sind vor allem die Interessensgruppen, die mit den Profildaten der Nutzer Geld verdienen. Dabei geht es nicht nur um direkte Werbung für ihre Produkte, sondern auch darum, die gewonnenen Daten auch weiter zu verkaufen. Die Werbeindustrie, die selber keine Produkte direkt an die Nutzer verkauft, sondern spezialisiert auf das Profiling mittels Trackingprogrammen große Datenbanken erstellt, mit umfangreichen und detaillierten Profilen von Nutzern, kann solche Sammlungen von Profilen ganz nach den Wünschen der Kunden zusammenstellen. Wer interessiert sich für Technik, Autos, Baumärkte, Werkzeug, Zubehör? Wer reist viel, gibt hohe Summen aus und legt Wert auf teure Kleidung … usw.

Detaillierte Profile von Nutzern werden sogar online versteigert. Die Käufer dieser Profile beschränken sich nicht alle auf harmlose Werbung. Manche benutzen die Vorlieben und Neigungen der Nutzer als Lockmittel für Betrug im Netz (Klickbetrug).

Telefonanbieter können mit den Bewegungsprofilen ihrer Mobilkunden viel Geld verdienen, Messenger- und Soziale Netzwerke werten gern die Inhalte der Unterhaltungen aus, um Trends und Meinungen zu erheben und zu verkaufen.