Seite 2: Wieso schützen uns unsere Gesetze nicht vor diesen Praktiken?

Inhaltsverzeichnis

Anhand solcher Gefahren für die staatlichen Interessen der Bundesrepublik und des offenkundig massiven Eingriffs in die Privatsphäre fast aller Bürger des Landes stellt sich die Frage, warum bestehende Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) der EU anscheinend bei diesem internationalen Handel mit Standortdaten nicht greifen. Warum muss ich auf einer Webseite alle paar Monate jeden einzelnen Cookie bestätigen, kann aber von Firmen, Geheimdiensten und Privatpersonen stundengenau und hochpräzise in allen meinen Bewegungen überwacht werden?

Um zu verstehen, wieso diese Art Praktiken überhaupt legal sind, kontaktierte heise online zunächst das Büro des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) in Bonn. Diese Bundesbehörde befindet sich gerade im Übergang von Ulrich Kelber zur neuen Bundesbeauftragten Louisa Specht-Riemenschneider, die ihren Posten bisher aber noch nicht angetreten hat. Ein BfDI-Sprecher teilte aber mit, seine Behörde sei in diesem Fall nicht zuständig. Er verwies uns auf die Berliner Beauftragte für Datenschutz und Informationsfreiheit, da der Datenmarktplatz dort ansässig sei. Der BfDI kümmere sich nur um die Datenschutzprobleme von Bundesbehörden und dergleichen. Auf die Frage, ob die Gefährdung von Mitarbeitern von Bundesbehörden aufgrund der beschriebenen Praxis nicht in die Kompetenz des BfDI falle, sagte der Sprecher: "Die Abwehr von Spionage und Terror liegt in der Zuständigkeit der Sicherheitsbehörden, weshalb wir hierzu keine Aussage machen können."

Ein Sprecher der Berliner Datenschutzbeauftragten berichtete von der behördlichen Untersuchung des Datenhandel-Marktplatzes Datarade. Leider greife in diesem Falle die DSGVO nicht, da die Verordnung sich nur mit der Verarbeitung von Daten befasse. "Wir haben den Marktplatz geprüft und dabei festgestellt, dass dieser lediglich eine Vermittlerrolle hat und keine personenbezogenen Daten zu eigenen Zwecken verarbeitet. Über den Marktplatz verbinden sich Händler und Käufer. Der eigentliche Datenaustausch findet aber über andere Kanäle statt. In dem Moment, in dem wir keine personenbezogene Datenverarbeitung vorfinden, ist es für uns als Aufsicht nicht möglich, datenschutzrechtlich tätig zu werden", erläuterte der Sprecher der Behörde. Sie könne gegen die US-Firma vorgehen, die mit diesen Daten handele, allerdings seien die praktisch durchführbaren Sanktionsmöglichkeiten in solchen Fällen begrenzt.

Der Sprecher der Berliner Datenschutzbeauftragten erläuterte weiter, er gehe davon aus, dass die Daten nicht rechtskonform erhoben worden seien, da wohl die von der DSGVO verlangte informierte Einwilligung des Nutzers in diesem Fall kaum vorliegen kann: "Die Einwilligung setzt voraus, dass die betroffenen Personen tatsächlich überschauen können, was mit ihren Daten zu welchen Zwecken geschieht. Das ist offensichtlich nicht der Fall, wenn Hunderte von Datenpunkten an hunderte Empfänger oder mehr im Hintergrund weitergeben werden. Hier kann ich als betroffene Person die Konsequenzen der Freigabe meiner Daten nicht mehr erfassen und die Risiken nicht einschätzen."

Die mangelnde Handhabe der Datenschützer sei in diesem Fall eine Regelungslücke, die der Gesetzgeber schließen müsse, räumte der Sprecher ein: "Wir sehen Regulierungsbedarf bei den Rechtsgrundlagen der Verarbeitung von Daten. Es sollte schlicht unzulässig sein, höchst detaillierte Datenprofile in verzweigten Netzwerken zu Werbezwecken zusammenzustellen und zu nutzen. Auf diesem Wege könnte den fragwürdigen Geschäftsmodellen, die sich durch die Unschärfen der Einwilligung und des Datenschutzrechts entwickelt haben, ein Ende bereitet werden. Damit würde der Gesetzgeber konsequent in die Richtung des Digital Services Act weiterdenken, der die Anzeige von Werbung auf der Grundlage von Profiling bereits in bestimmten Fällen verboten hat."

Verbraucherzentralen fordern radikale Änderung des Online-Werbemarktes

Auch ein Pressesprecher des Bundesverbandes der Verbraucherzentralen (vzbv) sagte heise online, die Experten des Verbandes gingen davon aus, dass Nutzer von Smartphone-Apps auf Grund der im Betriebssystem eingebauten Einwilligungs-Mechanismen überhaupt nicht wissen können, wofür ihre Positionsdaten verwendet werden. "In den meisten Fällen weiß der App-Betreiber das wohl selbst nicht", so der vzbv-Sprecher. Die Verbraucherschützer sehen hier genau wie die Berliner Datenschutzbeauftragte eine Gesetzeslücke. Allerdings sei es nicht genug, gegen einzelne Apps oder einzelne Firmen vorzugehen, die mit diesen Daten handeln. "Das ist ein Kampf gegen Windmühlen". Mit anderen Worten: das sei ein aussichtsloser Kampf.

Der vzbv sieht das aktuelle System der Online-Werbung an sich als zentrales Problem und fordert ein Verbot, Menschen zu Werbezwecken zu tracken. Sowohl im Netz als auch über deren Positionsdaten. Zu diesem Zweck pochen die Verbraucherschützer auf eine Neuregelung des Rechts auf Privatsphäre aller EU-Bürger. Dazu will der vzbv die E-Privacy-Verordnung der EU komplett überarbeiten. Diese steckt seit acht Jahren im Gesetzgebungsprozess fest; ohne Hoffnung auf eine baldige Umsetzung. Der VZBV plädiert nun auf eine Neuregelung und ein Totalverbot von Profilbildung für Werbezwecke. Angesichts des undurchsichtigen Geflechts aus Millionen von Apps, von denen viele Positionsdaten erheben, hunderten von schleierhaften Firmen, die mit diesen Daten handeln und der vom Gesetz ignorierten Marktplätze, die sich als reine Zwischenhändler die Hände nicht schmutzig machen, scheint dieser Ansatz momentan der einzig erfolgversprechende zu sein.

Wie verhindere ich die Weitergabe meiner Standortdaten?

Bis sich die Politik dazu durchringen kann, das Erheben von – beziehungsweise den Handel mit – solchen Standortdaten einzuschränken oder am besten ganz zu verbieten, bleibt Nutzern nichts anderes übrig, als sich in digitaler Selbstverteidigung zu trainieren. So lässt sich etwa mit etwas Aufwand verhindern, dass mobile Betriebssysteme die MAID des Nutzers weitergeben.

Auf Android-Geräten mit Google-Diensten heißt die MAID "Werbe-ID". Diese kann in den Einstellungen unter dem Punkt "Google" oder "Google-Dienste", Unterpunkt "Alle Dienste" gelöscht werden, was die Weitergabe der Positionsdaten bis auf Weiteres verhindern sollte. In iOS heißt die MAID dagegen IDFA (Identifier for Advertisers) und ist nicht ohne spezielle Apps auszulesen. Sie lässt sich auch nicht löschen. Allerdings kann man in den Einstellungen im Menü-Punkt "Datenschutz", Unterpunkt "Tracking" allen Apps verbieten, Positionsdaten weiterzugeben. In einem weiteren Unterpunkt "Apple-Werbung" sollte man dem Handyhersteller ebenfalls verbieten, die eigene Werbung mit Hilfe von Standort- und anderen Daten zu personalisieren.

Grundsätzlich empfiehlt es sich darüber hinaus, auf digitale Hygiene und Datensparsamkeit zu achten. Das heißt, Sie sollten nur solchen Apps überhaupt Standortdaten geben, die diese auch wirklich benötigen. Dazu gehören etwa Navigations-Apps oder Wetter-Karten. Wer in sicherheitskritischen Bereichen arbeitet oder privat Dinge unternimmt, von denen er definitiv nicht will, dass andere davon erfahren, sollte überlegen, sein Smartphone auszuschalten. Vielleicht muss man beim Bordellbesuch oder auf dem Weg zur Geliebten ja gar nicht per Smartphone erreichbar sein?

Neben dem Smartphone gilt es aber auch, andere Computer nicht aus dem Auge zu verlieren. Sowohl auf Laptops als auch Desktop-Computern sollten Sie in den Windows-Einstellungen etwa die Übermittlung von Positionsdaten an Microsoft und die personalisierte Werbung abstellen. Des Weiteren sollte Sie, wenn möglich, beim Besuch von Webseiten diesen das Tracking und Profiling des Browsers mittels Cookies untersagen.

Realistisch gesehen lässt sich die Weitergabe von Standortdaten in unserer heutigen digitalen Welt wohl nie komplett verhindern. Aber immerhin können Sie die Datensammelwut an so vielen Stellen wie möglich einschränken, sich des Risikos bewusst sein und bei Datenschutzbeauftragten und Politikern darauf beharren, dass legislativ am Verbot dieser Praktiken gearbeitet wird.

(anw)