Von A wie Anonymisierung bis Z wie Zweckbindung
Ganz klar: Wer seine Daten schützen will, muss Marketing studieren – oder unser Glossar lesen.
Es war einmal ein sicherer Hafen für Daten von EU-Bürgern in den USA. Der war zwar kein Hafen, sondern ein Abkommen, und auch nicht sicher, weil Geheimdienstler trotzdem auf die Verbraucherdaten zugreifen durften. Deshalb wurde der Hafen trockengelegt und durch einen Privatsphäre-Schild ersetzt. Bis herauskam, dass der bloß ein umetikettierter sicherer Hafen ist – also auch nicht sicher. Der Europäische Gerichtshof erklärte den Schild für unwirksam, weshalb die Daten in den USA jetzt ohne Hafen und ohne Schutzschild herumliegen und die Welt um zwei schöne Buzzwords ärmer ist. Das fällt aber kaum ins Gewicht: Es bleiben noch genügend andere, die Verwirrung stiften und Privatsphäre draufschreiben, wo Überwachung drinsteckt.
Die zentralen Begriffe rund um Datenschutz, -sammeln und –verwertung zu verstehen, ist wichtig, denn täglich verlangen zig Cookie-Banner eine informierte Einwilligung und es vergeht kaum eine Woche ohne Privacy-Grundsatzdiskussionen in den Medien oder vor Gericht. Meist wird dabei auch um die Auslegung der in der DSGVO verwendeten Begriffe gestritten, die Datenschützer naturgemäß sehr eng und Verwerter recht großzügig interpretieren. Das Feilschen und Tricksen beginnt schon bei den zentralen Definitionen der DSGVO (Was sind überhaupt personenbezogene Daten und ab wann kann man von informierter Einwilligung sprechen?) und endet bei Implementierungsdetails wie etwa der Werbe-ID für Mobilgeräte.
Die lässt sich unter iOS durch Überschreiben mit Nullen praktisch deaktivieren, unter Android aber nur zurücksetzen, woraufhin das System eine neue Identifikationsnummer generiert. Unter Googles Mobilsystem lässt sich die ID also faktisch nicht stilllegen und App-Hersteller könnten theoretisch die alte mit der neuen ID verknüpfen – also den Nutzer weiterhin über Apps und Geräte hinweg tracken. Unterm Strich hat die Werbebranche wohl die höchste Perfektion entwickelt, wenn es darum geht, sich hart an der Grenze des Erlaubten zu bewegen und diese Grenzen permanent auszuloten. Unser Glossar erklärt den Fachjargon und die Tricks der Marketing-Branche – auch für aufmerksame Zeitgenossen lesenswert, die bei einem Cookie-Banner noch nie versehentlich auf „Alle akzeptieren“ geklickt haben.
Selbstbedienung
Enormen Klärungsbedarf schaffen KI-basierende Verfahren. Aktuelle Beispiele sind die Personensuchmaschinen Clearview (USA) und PimEyes (Polen), die aus öffentlich zugänglichen Personenfotos von Facebook, Instagram und Co. mit einem Scraper kurzerhand riesige biometrische Datenbanken aufgebaut haben – mit mehreren Milliarden Datensätzen bei Clearview und 900.000 bei PimEyes. Diese lassen sich anhand eines Beispielfotos nach weiteren Aufnahmen der abgebildeten Person durchsuchen. Das Scraping verstößt gegen die Nutzungsbedingungen der Social-Media-Plattformen, aber verstoßen Clearview und PimEyes auch gegen die DSGVO? Deren Artikel 9 verbietet in der Regel die Verarbeitung biometrischer Daten zur Identifizierung von Personen. Doch wie das Beispiel Werbe-ID zeigt, entscheidet sich häufig an Details, ob ein Anbieter sich noch im Rahmen des rechtlich Zulässigen bewegt. Deshalb lässt der Hamburger Datenschutzbeauftragte Johannes Caspar jetzt prüfen, wie genau Clearview die Fotos verarbeitet, und Ähnliches dürfte auch dem polnischen Pendant drohen.
Ob und in welchem Maß Daten verarbeitet werden dürfen, hängt auch von deren Gefährdungspotenzial ab. Immer wieder stößt man deshalb auf halbseidene Anonymisierungsversprechen, die entweder bewusst oder unbewusst nicht erfüllt werden. Wie anonym ist k-Anonymität? Und ist Differential Privacy gut (wegen der Privatsphäre) oder schlecht, weil es wie ein astreiner Buzzword-Begriff klingt und an „Alternative Fakten“ erinnert? Wir verraten außerdem, wie aufwendig das Verschleiern der Identität angesichts von Big Data und Künstlicher Intelligenz geworden ist und dass auch maschinelles Lernen keine uneingeschränkte Datennutzung rechtfertigt.
Datenoase
Trotz der Urteile des EuGH gibt es ihn noch: den sicheren Hafen. Er befindet sich in Irland und bewahrt die großen Datenkonzerne, die dort ihre EU-Niederlassung haben, traditionell vor allzu strenger Besteuerung. Wir erklären, warum sich der finanziell vorteilhafte Firmensitz auch angesichts der DSGVO als echter Glücksgriff für die Unternehmen erwies und nehmen Erfolge und Misserfolge seit Einführung der DSGVO unter die Lupe.
Dieser Artikel stammt aus c't 18/2020.
(atr)
