Die Zukunft des Internets wird in Europa entschieden.

Am 4. Juli [Orig.post: morgigen Mittwoch] stimmt das EU-Parlament über ein neues Urheberrecht ab. Das Gesetz wurde vor allem von Verlegern forciert, die ihre Texte im Internet schützen wollen. Doch wie viele andere sehe ich durch das Gesetz die Freiheit des Netzes gefährdet. Deshalb habe ich “meinen Europaabgeordneten” um ein “Nein” gebeten. Folgendes schrieb ich ihm am Freitag:

Ich wende mich an Sie, weil ich Sie bitten möchte am 20. Juni im
Parlament nicht für die Reform des Urheberrechts zu stimmen. Vor allem
die in Art. 13 beinhalteten "Uploadfilter" machen mir Sorgen. Denn die
Erfahrungen mit vergleichbaren Filtern dieser Art (wie sie bspw. bei
Youtube Verwendung finden) zeigen, wie fehleranfällig sie sind. Die
Identifizierung von urheberrechtlich geschützten Inhalten mithilfe von
allem Anschein nach intransparenten Algorithmen wird, da sind sich
Informatiker und Techjournalisten einig, nicht funktionieren. Ein
gemeinnütziges Projekt wie Wikipedia wäre mit den geplanten Filtern
beispielsweise nicht möglich gewesen.

Die Reform des Leistungsschutzrechts halte ich für gefährlich, weil
dadurch die Verbreitung von Fakten in Sozialen Medien erschwert wird -
auch von seriösen Medien, die gemeinsam mit den Nutzer/innen der Netze
gegen Falschmeldungen, Hoaxes und populistische Medien vorgehen.
Davon abgesehen funktioniert das LSG in Deutschland nicht - was selbst
Springerchef Mathias Döpfner bestätigt.

Lieber Herr ■■■■■, in meinen Veranstaltungen zur Medienbildung im und
für das LWH versuche ich die Mündigkeit der Teilnehmenden im Umgang mit
digitalen Medien zu fördern. Dazu gehört fraglos die Anerkennung
geistigen Eigentums. Vor allem gehört dazu aber: Ein freies Internet, in
dem sich jeder seine Meinung bilden kann. Dieses freie Internet steht am
20. Juni zur Entscheidung. Ich bitte Sie um eine kurze Rückmeldung zu
dieser Email und vor allem: zu einem Nein am 20. Juni.

Bislang habe ich nichts von ihm gehört. Wichtiger ist mir aber 615-544-4474 , dass er dem Gesetz nicht zustimmt und so ein zweifaches Zeichen setzt: Für ein freies Netz – und gegen die Macht der Lobbyisten.

Weiterführende Links:
Dennis Horn im WDR-Blog
Stefan Niggemeier in Übermedien (zu Döpfner)
Beitrag im Arte-Journal vom 12.1.2018
Kommentar von Julia Reda MdEP Cell Phone Number Trace , Piratenpartei, auf t3n
Friedhelm Greis auf Golem zur Stimmung im Parlament

[EDIT 20.6.: Schlecht recherchiert, sorry! Heute hat nicht das Parlament puttygen ssh , sondern erst einmal der Rechtsausschuss abgestimmt – zugunsten des Paketes. Die Abstimmung findet am 4. Juli statt. Quelle]

Verstößt Whatsapp gegen die DSGVO?

Wer diesen Blog liest, weiß um meinen persönlichen, wenn auch nicht unbegründeten Kampf gegen Whatsapp. Weil es massenweise Handynummern abgreift, weil es chronisch unsicher ist  – und weil der Dienst Daten erhebt, ohne klar zu machen, wofür.

[expand title="Ausschnitte Whatsapp Datenschutzhinweise und AGB"]

WHATSAPP DATENSCHUTZRICHTLINIE, online am 10. Juni 2018 (Ausschnitt):

Wir erfassen Informationen über deine Aktivität auf unseren Diensten. Dazu zählen dienstspezifische Informationen sowie Informationen für Diagnosezwecke und Performance-Informationen. Dies umfasst auch Informationen über deine Aktivität (beispielsweise wie du unsere Dienste nutzt, deine Einstellungen für Dienste, wie du mit anderen unter Nutzung unserer Dienste interagierst sowie Zeitpunkt, Häufigkeit und Dauer deiner Aktivitäten und Interaktionen), Log-Dateien sowie Diagnose-, Absturz-, Webseiten- und Performance-Logs und ‑Berichte. Dies umfasst auch Informationen darüber, wann du dich für die Nutzung unserer Dienste registriert hast, Informationen über die von dir genutzten Funktionen wie unsere Nachrichten-, Anrufe-, Status- oder Gruppen-Funktionen, über dein Profilbild, über deine Info, dazu ob du gerade online bist, wann du zuletzt unsere Dienste genutzt hast (dein „zuletzt online“) und wann du zuletzt deine Info aktualisiert hast.

WHATSAPP AGB (TERMS OF SERVICE), online am 10. Juni 2018 (Ausschnitt):

Die Datenschutzrichtlinie legt die Rechtsgrundlagen für unsere Verarbeitung von personenbezogenen Informationen über dich dar, darunter auch das Erfassen, Verwenden, Verarbeiten und Teilen solcher Informationen sowie die Übertragung und Verarbeitung solcher Informationen in die/den USA und andere/n Länder/n weltweit, wo wir Einrichtungen, Dienstleister, verbundene Unternehmen oder Partner haben bzw. einsetzen, und zwar unabhängig davon, wo du unsere Dienste nutzt.

[/expand]

Gefährlicherweise geschieht die Datenerhebung unter dem Radar der Nutzer – denn über Whatsapp werden persönliche Gespräche geführt. Bei Facebook beispielsweise dürfte die Datensammlung den meisten Nutzern die Datensammlung mittlerweile bewusst sein, zudem ist die Monetarisierung der Informationen kein Geheimnis. Bei einem Medium wie Whatsapp, das in der Regel in der Eins-zu-Eins-Kommunikation eingesetzt wird, gerät die Datensammlung jedoch leicht in Vergessenheit. Wenn der Dienst dann noch kostenfrei und werbefrei ist, ist die Frage, welche Daten genau gesammelt und wie sie (vom Mutterkonzern Facebook?) verwertet werden, berechtigt.

Die EU-DSGVO und Whatsapp

Hier bin ich der EU-Datenschutzgrundverordnung dankbar. Als betrieblicher Datenschutzbeauftragter einer Bildungseinrichtung glaube ich, die am 25. Mai 2018 in Kraft getretene Verordnung ganz gut zu kennen. Sie nimmt die Daten verarbeitenden Unternehmen beispielsweise in die Pflicht, Daten nur für die festgelegte Zwecke zu verwenden (Art. 5). Zudem gesteht die DSGVO den Verbrauchern ein Auskunftsrecht (Art. 15) und eine Einwilligungspflicht in die Datenverarbeitung (Art. 6) zu. Zudem haben sie Möglichkeit, persönliche Daten zu exportieren (Art. 20).

Um der Verordnung Rechnung zu tragen, hat Whatsapp der App eine Funktion hinzugefügt, in dem sich Nutzer ihre persönlichen Daten zuschicken lassen können. Von der Hoffnung getrieben, endlich konkrete Infos über die Datensammlung und -verwendung zu erhalten, habe ich Whatsapp trotz meiner grundsätzliche Ablehnung installiert, ein paar Nachrichten verschickt und dann diesen Bericht angefordert. Das Ergebnis ist dürftig. In dem Bericht stehen Infos zu meinem Onlinestatus, zu meinem Smartphone und – mein Hauptgrund, die App zu meiden – alle Telefonnummern meines Smartphones. Wenn ich schon gegen meine Prinzipien verstoße, hätte ich mir mehr gewünscht.
(Download DSGVO-Bericht_geschwärzt)

Was fehlt, sind Infos über

  • die Metadaten, also, wann ich mit wem von wo aus Kontakt habe. Das sind letztlich die Daten, die Whatsapp irgendwie monetarisiert. Dass Metadaten personenbezogene Daten sind, sehen viele deutsche Juristen und etliche Politiker so;
  • den Zweck und die Verantwortlichen der Datenverarbeitung – also welche “Partner” des Unternehmens was genau damit machen.

Nothing’s up bei Whatsapp

Am 19. Mai hatte ich Whatsapp über die Support-Mailadresse um diese Informationen gebeten und mich auf die DSGVO gestützt. Als Deadline hatte ich den 1. Juni gesetzt.

[expand title="Email an Whatsapp"]

Sehr geehrte Damen und Herren,

Ich habe über die Android-App einen Bericht meiner Account-Informationen angefordert und diesen auch erhalten. Grundsätzlich begrüße ich diese neue Funktion sehr. Leider findet sich darin aber nur ein Bruchteil der persönlichen Daten, die Sie laut Ihren Geschäftsbedingenen erheben und die Sie mir laut Art. 20 EU-DSGVO zwecks Datenportierung zur Verfügung [Anm.: Flüchtigkeitsfehler aus Originalmail korrigiert] stellen müssen. Beispielsweise sind die Verbindungsdaten meiner Chats, also u. a. wann ich von wo aus mit wem Kontakt hatte, nicht in dem zugesandten Datensatz erhalten.
Ebenso gibt mir die Datenschutzgrundverordnung das Recht zu erfahren, zu welchem Zweck Sie diese Daten konkret gesammelt und wie sie verarbeitet wurden (vgl. Art. 5 und 6).
Bitte senden Sie mir diese Informationen bis zum 1. Juni 2018 zu. Diese Email sowie die Ergebnisse meines Ersuchens werde ich auf meinem Blog www.spaehgypten.de veröffentlichen.

Es grüßt Sie
Michael Brendel

[/expand]

Was folgte, war ernüchternd. Nach einer Standardantwort, die auf die FAQ verwies, habe ich am 21. Mai mein Anliegen bekräftigt (per Mail an eine offenbar dem Fall zugeordneten individuelle Supportadresse) und am 3. Juni erneut eine Mail geschickt, in dem ich den 6. Juni als spätesten Termin für die Antwort festgesetzt habe.

Doch: Whatsapp meldete sich nicht.
Seit drei Wochen keine menschliche Reaktion.

Das Unternehmen verstößt damit nicht nur gegen die Spielregeln einer guten Kundenbeziehung. Weil es mir die Auskunft über meine personenbezogenen Daten und deren Verarbeitung verweigert, verstößt es aus meiner Sicht auch gegen die EU-Datenschutzgrundverordnung.
Ich habe deshalb heute die niedersächsische Datenschutzbeauftragte um Vertretung meiner Verbraucherinteressen gebeten. Ich werde berichten, wie sie die Lage einschätzt.

[Update 5.8.2018:

Ich habe Post von der Landesbeauftragten für Datenschutz bekommen. Sie hat meinen Fall an die Bundesbeauftragte Andrea Voßhoff weitergeleitet, weil der Dienst Whatsapp dem Telekommunikationsgesetz (TKG) unterliegt. Ich bin gespannt, wann ich von ihr höre.]

Wo .COM dransteht, ist kein Deutschland drin, oder, BND?

Stefan Funke, CC BY-SA 2.0 (https://creativecommons.org/licenses/by-sa/2.0)

Das Bundesverwaltungsgericht hält das Abgreifen von Mails nichtdeutscher Personen beim größten Internet-Knoten der Welt, dem DE-CIX in Frankfurt, durch den BND für legitim. Der BND kopiert dabei den gesamten durchgeleiteten Internetverkehrbis zu 6 Terabit pro Sekunde (bis zu 750 Gigabyte!). Der Deutsche Welle-Redakteur Marcel Fürstenau macht in seinem Kommentar auf die Absurdität aufmerksam, die Nationalität eines E-Mail-Absenders an ebendieser erkennen zu wollen.

Dass sich gelegentlich auch Ihre oder meine Daten unter angezapften Leitungen befinden, ist schon aus statistischen Gründen sehr wahrscheinlich. Schließlich saugen Geheimdienste permanent Millionen von Kommunikationsverbindungen ab. Sie tun das mit konkreten Suchbegriffen, sogenannten Selektoren. Dabei sollen und dürfen aber nur Ausländer überwacht werden. Das aber lässt sich beim besten Willen nun einmal nicht gewährleisten. Niemand weiß im Zweifelsfall, wer sich hinter einem Mail-Account wie “@gmail.com” verbirgt. Auch der Deutsche Welle-Account endet mit “com”. Kurzum: Wer behauptet, die Staatsangehörigkeit eines Mail-Absenders oder am Telefon Englisch sprechenden Menschen zweifelsfrei zu kennen, macht sich lächerlich.

Die Betreiber des DE-Cix wollen nun nach Karlsruhe ziehen.
Und ich frage mich, ob mein Auskunftsrecht im Rahmen der EU-DSGVO nicht auch für den Geheimdienst gilt. Ich mache mich mal schlau.