Daten­schutz­grund­ver­ordnung und e‑Privacy – Zähmung der Datenkraken?

Schon seit Jahren tüftelt man in der EU an einer einer ein­heit­lichen Regelung, wie mit den elek­tro­ni­schen Daten der Men­schen umzu­gehen sei. Einer­seits funk­tio­niert eine riesige Industrie durch das „Daten­mining“, also das Gewinnen von elek­tro­ni­schen Infor­ma­tionen über das Hun­derte von Mil­lionen Men­schen große Heer der „Nutzer“ des Internets in Europa. Ande­rer­seits sind diese User auch im Faden­kreuz der Horde an Präda­toren, die mal mehr, mal weniger harmlos, diese Daten­banken nicht nur zum eigenen Gewinn, sondern auch zum Nachteil dieser User nutzen. Diese Profile helfen auch pro­fes­sio­nellen Netz­be­trügern, ihre Opfer zu ködern.

Aber auch ohne direkten Betrug ist es für die Inter­net­be­nutzer nicht egal, ob ihre Fahrten und Auf­ent­haltsorte zu einem typi­schen Bewe­gungs­profil ver­ar­beitet werden, und die Infor­mation, dass sie dabei an einer Tank­stelle viel­leicht hin und wieder eine Flasche Alko­hol­hal­tiges kaufen, als gekauftes Per­sön­lich­keits­daten-Profil bei ihrer KFZ-Ver­si­cherung auf dem Tisch des Sach­be­ar­beiters liegt, während das­selbe Daten­minig-Unter­nehmen sein Nut­zer­profil an einen Spi­ri­tuo­sen­her­steller ver­kauft, der ihn dann mit seiner Schnaps­werbung in jedem Wer­be­banner auf seinem Com­pu­ter­bild­schirm zum Kaufen ani­miert, was dann wie­derum im upge­da­teten Profil seinem Sach­be­ar­beiter bei der Kran­ken­ver­si­cherung auffällt.

Daten­schutz­grund­ver­ordnung soll im Mai 2018 in Kraft treten

Der Schutz der Internet- und Kom­mu­ni­ka­tions-Nutzer vor solchem Daten­minig soll bis zum Mai 2018 in der ganzen EU ein­heitlich geregelt werden. Aber so ganz einig ist man sich in den betei­ligten Kom­mis­sionen, Gremien und Räten noch nicht. Die Pro­fi­teure des Daten­mi­nings schicken ihre Inter­es­sens­ve­treter ins Rennen, die Über­wa­chungs­be­hörden haben ein Wort mit­zu­reden und die Daten­schützer ver­suchen eben­falls ihre Vor­stel­lungen durchzusetzen.

Ein taz-Artikel infor­mierte am 16.06.2015: „EU-Staaten einigen sich auf mehr Rechte für User“, dass sich die Jus­tiz­mi­nister der EU-Mit­glieds­staaten am 15.06.2015 auf eine gemeinsame Linie für die EU-“Datenschutz“-Verordnung geeinigt haben. Positiv her­vor­ge­hoben wurden in dem Artikel das „Recht auf Ver­gessen“, die Mög­lichkeit von Beschwerden an die „nationale Daten­schutz­be­hörde“ sowie die euro­pa­weite Ver­ein­heit­li­chung des Datenschutzes.

Der Artikel „Euro­päi­scher Daten­schutz: Gleiche Bedin­gungen für alle“ (S. 40+41 des dbb Magazins Juli / August 2015) stellt eben­falls die Vorzüge des „Recht auf Ver­ges­sen­werden“, die Beschränkung des „Pro­filing“ (der auto­ma­ti­schen Aus­wertung von per­so­nen­be­zo­genen Daten wie solchen über Gesundheit, Arbeits­leistung, wirt­schaft­liche Lage oder per­sön­liche Vor­lieben) in den Vor­der­grund und lobt die Vor­schrift einer „unmiss­ver­ständ­lichen Ein­wil­ligung der betrof­fenen Person“, deren Daten man ver­ar­beiten will. Die EU-Jus­tiz­kom­mis­sarin Vera Jourová wird zitierte, „die Daten­schutz­reform“ sei „ein zen­trales Anliegen der Euro­päi­schen Kom­mission“ und im Interesse des Verbrauchers.

ePrivacy und/oder Datenschutzgrundverordnung?

Die Sache geht nun über Jahre ihren Gang durch die Gremien und Kom­mis­sionen. Gleich­zeitig gibt es aber bereits Anstren­gungen für eine andere Ver­ordnung zum Umgang mit per­sön­lichen Daten in der Euro­päi­schen Kommission.

Der Vor­schlag der Euro­päi­schen Kom­mission vom 10. Januar 2017 für eine „ePrivacy“-Verordnung  soll nun die Richt­linie aus dem Jahr 2002 refor­mieren und geht noch über die bald gel­tende Daten­schutz-Grund­ver­ordnung hinaus. Hierbei wird der Gewinn an Sicherheit und Ver­trau­lichkeit der per­sön­lichen Daten in der elek­tro­ni­schen Kom­mu­ni­kation sowohl was Telefon, Mes­sengers, wie WhatsApp, Skype, Email, SMS und ähn­liche Internet-Dienste betrifft, in den Vor­der­grund gestellt. Außerdem soll das aus­ufernde Pro­filing der Internet-Nutzer durch Google Ana­lytics und ver­wandten Diensten beschränkt werden. Diese so genannten „Meta­Daten“ dürfen nur noch mit der aus­drück­lichen Erlaubnis der betref­fenden Person wei­ter­ver­wendet werden. Web­seiten dürfen die Besucher schon seit 2009 nur noch mit deren Ein­wil­ligung „ver­folgen“: Das ist der bekannte Klick auf das Knöpfchen „Cookies akzeptieren“.

Wird dagegen ver­stoßen, drohen Firmen 4% des Jah­res­um­satzes als Strafzahlung.

Ins­be­sondere die Internet-Wer­be­industrie ist mit dieser Regelung nicht glücklich, und fordert, die ePrivacy-Richt­linie in Anbe­tracht der EU-weiten, kom­menden Daten­schutz-Grund­ver­ordnung aufzugeben.

Daten­scouts auf unseren elek­tro­ni­schen Spuren

Jeder Netz­nutzer kennt es, kaum hat man, zum Bei­spiel auf Amazon oder einem Pflan­zen­versand oder einem Mode­label nach irgend­einem Produkt gesucht, öffnen sich von da an bei allen mög­lichen anderen Seiten Wer­be­banner, die dieses oder ähn­liche Pro­dukte imper­tinent bewerben.

Die Nutzer werden in ihrem Ver­halten beob­achtet, regis­triert, Vor­lieben her­aus­ge­ar­beitet und als Ziel­gruppen mit bestimmten Nach­richten, Infor­ma­tionen und Wer­bungen „beglückt“.

Die Inhalte von pri­vaten Mit­tei­lungen über Email und Mes­senger sind aber noch eine ganz andere Qua­lität. Das Interesse der Wer­be­industrie, auch die Kon­takte und Bekannt­schaften und das private Netzwerk von Usern für Wer­be­zwecke zu nutzen, liegt auf der Hand. Manche Firmen fordern von Daten­sammlern bis­weilen im Netz gesam­melte Infor­ma­tionen über Geschäfts­partner oder Mit­ar­beiter an. Die Geschichten über krank­ge­meldete Mit­ar­beiter, die dann so dumm sind, die foto­gra­fi­schen Beweise über die ver­schie­denen Stadien ihrer Trun­kenheit und ihres Zärt­lich­keits­be­dürf­nisses der Vor­nacht auf Facebook zu posten sind bekannt. Soviel Dummheit gehört auch bestraft. Doch mit pro­fes­sio­nellem Daten­mining findet man so etwas auch über Bewe­gungs­profile und die sozialen Kon­takte des frag­lichen Mit­ar­beiters und deren Pos­tings oder Tele­fonate heraus (Mann, war der Kevin gestern Nacht wieder voll …).

Es ist heute nämlich möglich, die Teil­nehmer eines Tele­fonats oder einer Message zu bestimmen, und die Kon­takte im Adressbuch eines Smart­phones aus­zu­lesen. Damit lässt sich in Kom­bi­nation mit den über­mit­telten, pri­vaten Inhalten auch vor­her­sagen, wie sich die Indi­viduen ver­halten werden, wann Herr A, der sich mit Frau B ver­ab­redet hat an welchem Ort sein wird, und ob es sich lohnt, ihn mit Restau­rant­wer­bungen an diesem Ort zu bewerben. Oder Oma C fragt über SMS Enkel D, was er sich zu Weih­nachten wünscht und, wie von Zau­berhand bekommt Oma C nun ständig Im Internet Wer­be­ein­blendung für die gewünschten Geschenke serviert.

Es gibt ver­schiedene Kom­mis­sionen innerhalb der EU, die sich für oder gegen die Bei­be­haltung der ePrivacy-Regelung aus­sprechen. Das Euro­pa­par­lament wird mit dem Euro­parat darüber ver­handeln. Das wird wahr­scheinlich noch Monate dauern. Es wird sich weisen, ob die Euro­päische Kom­mission die ePrivacy-Ver­ordnung zusammen mit der Daten­schutz-Grund­ver­ordnung am 25. Mai ver­ab­schieden kann.

Die Schnüf­fel­dienste und Daten­sammler im Netz

Es geht in erster Linie darum, ob Internet-Dienste, wie Goo­g­le­Ana­lytics oder Facebook mit seinen Likes oder für den Nutzer nicht erkennbare Tracker-Pro­gramme die Inter­net­nutzer auf ihrem Weg durch das Netz ver­folgen dürfen. Alles das, was die Nutzer tun und lassen, wofür sie sich inter­es­sieren wird zu einem per­sön­lichen Profil ver­ar­beitet und gespei­chert. Daher bekommt man auf den Wer­be­bannern ständig Werbung gezeigt, die nach diesem Profil zu uns passt. Diese Profile werden aber auch wei­ter­ver­kauft an Unter­nehmen. Zum Bei­spiel ver­wenden Ver­si­che­rungen diese Profile, um mehr über ihre eigenen Kunden zu erfahren. Das geschieht heute noch andauernd und ohne Rechtsgrundlage.

Strittig ist noch, ob die Nutzer im Internet zukünftig nur noch dann bestimmte Seiten und Dienste nutzen können, wenn sie der Daten­sammlung per „Cookie akzep­tieren“ zustimmen, ansonsten aus­ge­schlossen sind. Und, ob die Brow­ser­software gesetzlich bestimmte Vor­ein­stel­lungen haben muss, die das Optimum an Daten­si­cherheit bieten. Manche Gremien lehnen dies als Bevor­mundung ab.

Wei­terhin wird über eine Ver­schlüs­selung noch debat­tiert. Die Grünen wollen im Prinzip ein VPN für alles und alle, also eine Ende-zu-Ende-Ver­schlüs­selung aller über­tra­genen Daten, in der Meinung, die Geheim­dienste dadurch fern­halten zu können.

Außerdem muss geklärt werden, ob Kom­mu­ni­ka­ti­ons­daten auch nach der Über­mittlung geschützt werden müssen. Emails, zum Bei­spiel, werden ja auch noch nach der Über­mittlung auf Servern gespei­chert (z.B. Vor­rats­da­ten­spei­cherung) und sind dort recht einfach einsehbar.

Mit Daten­mining ist viel Geld zu verdienen
Die Gegner der ePrivacy-Ver­ordnung sind vor allem die Inter­es­sens­gruppen, die mit den Pro­fil­daten der Nutzer Geld ver­dienen. Dabei geht es nicht nur um direkte Werbung für ihre Pro­dukte, sondern auch darum, die gewon­nenen Daten auch weiter zu ver­kaufen. Die Wer­be­industrie, die selber keine Pro­dukte direkt an die Nutzer ver­kauft, sondern spe­zia­li­siert auf das Pro­filing mittels Track­ing­pro­grammen große Daten­banken erstellt, mit umfang­reichen und detail­lierten Pro­filen von Nutzern, kann solche Samm­lungen von Pro­filen ganz nach den Wün­schen der Kunden zusam­men­stellen. Wer inter­es­siert sich für Technik, Autos, Bau­märkte, Werkzeug, Zubehör? Wer reist viel, gibt hohe Summen aus und legt Wert auf teure Kleidung … usw.

Detail­lierte Profile von Nutzern werden sogar online ver­steigert. Die Käufer dieser Profile beschränken sich nicht alle auf harmlose Werbung. Manche benutzen die Vor­lieben und Nei­gungen der Nutzer als Lock­mittel für Betrug im Netz (Klick­betrug).

Tele­fon­an­bieter können mit den Bewe­gungs­pro­filen ihrer Mobil­kunden viel Geld ver­dienen, Mes­senger- und Soziale Netz­werke werten gern die Inhalte der Unter­hal­tungen aus, um Trends und Mei­nungen zu erheben und zu verkaufen.