Archiv für den Monat: Dezember 2022

Brendel gegen Whatsapp Ireland Limited – Das Ultimatum

Veröffentlicht am von

[Update 18. Mai 2023]

Nach dreieinhalb Jahren ist mir der Geduldsfaden gerissen.
Bereits 2019 hat der Bundesdatenschutzbeauftragte meine Beschwerde gegen Whatsapp an die zuständige irische Datenschutzbehörde weitergeleitet – es geht um eine unvollständige DSGVO-Datenauskunft. Aber aus Dublin kommt seitdem wenig.

DPC-Case C-19-11713 – Die Chronologie

Am 7.5.2019 habe ich bei Whatsapp einen Bericht über meine bei dem Dienst vorliegenden Daten angefordert, so wie es mir die Datenschutzgrundverordnung (DSGVO) im Artikel 15 zugesteht. Der zugesandte Bericht enthielt wenige Informationen, z. B. die Handynummern meiner Kontakte. Es fehlten aber sämtliche Meta- (Verbindungs-)Daten, also z. B. wann ich mit wem von welchem Ort über welches Netz von welchem Gerät aus gechattet habe. Diese Daten sammelt Whatsapp lt. der eigenen Datenschutzrichtline (Link geprüft am 31.12.2022) und teilt sie innerhalb des Metakonzerns. Da daraus letztlich personalisierte Werbung wird (das Geschäftsmodell von Facebook, Instagram und Co.), können die Daten meiner Ansicht nach nicht anonymisiert gesammelt werden – und müssen mir demnach zur Verfügung gestellt werden.

Ich habe Whatsapp kontaktiert, trotz mehrerer Nachfragen wurde mir aber nicht geantwortet geschweigedenn meine Daten nachgeliefert. Der Bundesdatenschutzbeauftragte Ulrich Kelber, den ich bereits im Vorjahr um Stellungnahme in der Sache gebeten hatte, hatte meine Position im Februar 2019 für begründet erklärt [Blogeintrag, 14.2.2019]. Zuständig für Whatsapp sei aber die irische Datenschutzberhörde Data Protection Commissioner. Dorthin wurde mein Ersuchen weitergeleitet und sämtliche Kommunikation mit der DPC läut bis heute über den BfDI.

Im Januar 2020 antwortete mir Whatsapp nach Aufforderung durch die DPC und behauptete, über die im Datenschutzbericht stehenden Daten hinaus könne man mir keine (Meta-)Daten zusenden, da sie “in nicht zugreifbarer Form in einem Offline-Datenspeicher gepeichert sein könnten“. Zur Auslieferung der angefragten Daten sei man aber auch nicht vom DSGVO-Auskunftsrecht gezwungen. [Blogeintrag vom 1.2.2020]

Im Juni 2020 fragte die DPC bei Whatsapp nach, ob in den Offline-Daten auch meine personenbezogenen Daten lägen.

Im Juni 2020 bestätigte Whatsapp gegenüber der DPC, …

… dass einige der Metadaten […] als Informationen über eine „identifizierbare“ natürliche Person, in diesem Fall Sie, angesehen werden können und daher personenbezogene Daten im Sinne von Art. 4 Abs. 1 DS-GVO darstellen können, auf die das Recht auf Auskunft Anwendung finden würde, sofern keine Ausnahmen anwendbar sind. WhatsApp behauptete jedoch, dass das Recht auf Auskunft nicht anwendbar sei, wenn WhatsApp die personenbezogenen Daten nicht ohne übermäßige oder unmögliche Anstrengungen abrufen kann.

Weiterhin behauptete Whatsapp, …

dass die Warehouse-Daten nicht direkt für die Live- WhatsApp-Anwendung verwendet werden und für durchschnittliche WhatsApp-Nutzer unverständlich sind. Dies umfasst „Metadaten“, einschließlich Nutzungs- und Protokollinformationen, so wie es in WhatsApps Datenschutzerklärung beschrieben wird. Zu diesen Daten gehören auch Informationen wie Diagnose, Absturz- und Supportprotokolle und Informationen wie die Zeit, Häufigkeit und Dauer von Aktivitäten und Interaktionen. WhatsApp erklärte, dass es rechentechnisch nicht machbar sei, diese Daten „pro Nutzer“ abzufragen, um Auskunftsersuchen zu erfüllen, und dass WhatsApp diese Daten dementsprechend in dem Output des RYI-Tools in der Antwort auf Ihr Ersuchen auslässt.

Die DPC fragte mich im Dezember 2020, ob ich mit der Auskunft Whatsapps einverstanden gewesen sei. War ich natürlich nicht. [Blogeintrag vom 26.1.2021]

Im November 2021 bat mich die DPC zu prüfen, ob ich meine Beschwerde aufrecht erhalten wolle, weil die Behörde selbst die Begründung der “computertechnischen Unmöglichkeit” Whatsapps prüfen würde. Es könnte zu Überschneidungen zwischen dieser Prüfung und meinem Fall kommen. Meine Beschwerde habe ich trotzdem aufrechterhalten.

Im Februar 2022 teilte die DPC mit, sie sei weiter an meinem Fall dran.
Im Juni 2022 sagte sie, ihre eigene Prüfung sei noch im Gange.

Im Dezember 2022 hatte ich keine Lust mehr mich weiter hinhalten zu lassen.

Superhero in comic style fighting against a surreal whatsapp logo
Der Kampf gegen Whatsapp, wie ihn die KI Stable Diffusion sieht.

Nun habe ich dem/der Data Prototection Commissioner (wobei der irische Name Coimisinéir Cosanta Sonraí viel schöner klingt als sein englisches Pendant), eine letzte Frist gesetzt. Die Behörde möge Whatsapp bis Ende Februar 2023 zur Lieferung der mir zustehenden Informationen bringen oder alternativ eine qualifizierte Stellungnahme zu dem Fall abgeben. Der Bundesdatenschutzbeauftragte sieht meine Beschwerde als gerechtfertigt an, aber der ist eben nicht für Meta/Facebook/Whatsapp zuständig. Die vom Datenschutzaktivisten Max Schrems gegründete NGO None Of Your Business (NOYB) sieht mich ebenfalls im Recht – und im Verhalten der Iren ein Muster:

Inhaltlich haben Sie (und der BfDI) natürlich recht. Die gegenständlichen “Metadaten” sind personenbezogene Daten. Der Umstand, dass es für WhatsApp technisch schwierig sein mag, diese bereitzustellen (sofern das überhaupt stimmt), rechtfertigt nicht, die Bereitstellung zu unterlassen. Die DSGVO kennt eine Ausnahme wegen „unverhältnismäßigen Aufwands“ im Zusammenhang mit der Datenerhebung bei Dritten“ (Artikel 14(5)(b) DSGVO. Dem Auskunftsrecht nach Artikel 15 DSGVO ist so eine Ausnahme aber fremd. Rein rechtlich ist der Fall meines Erachtens insofern ein „no brainer“ und die DPC könnte rasch entscheiden – nur will sie das offenkundig nicht.

Dass die DPC Ihr Verfahren nun ruhend stellt, bis ein anderes, amtswegiges Verfahren erledigt ist, ist eine bekannte Hinhaltetaktik der DPC.

Aus einer Mail von NOYB, August 2022


Nun also mein Ultimatum. Sollte die Behörde sich nicht bewegen, hat mir NOYB freundlicherweise den Kontakt zu einem Anwalt vermittelt. Ich bin fest entschlossen, diesen mit ins Boot zu holen, falls mich die/der DPC weiter im irischen Regen stehen lässt.

Fortsetzung folgt in 2023…

[Update 18.05.2023]
Die DPC sagt, sie bliebe an meinem Fall dran und würde mich regelmäßig informieren. Ich glaube, das ist eine Hinhaltetaktik. Weil ich aber gerade viel um die Ohren habe

buy zithromax online

, warte ich erst einmal auf das nächste Schreiben.

Es ist vorbei, bye bye Twitterei!

Veröffentlicht am von

Ich will kein digitaler Pegida-Mitläufer mehr sein

Vor zehn Jahren hat Twitter das erste rechtsradikale Profil gesperrt. Seit das Netzwerk im Sommer 2022 von Elon Musk gekauft wurde, wurden 12.000 gesperrte Konten wieder eröffnet, darunter auch jene des US-Neonazis Andre Anglin und des populistischen Ex-US-Präsidenten Donald Trump. Die Verwendung des N-Wortes hat sich in diesem Zeitraum verdreifacht.
Zeit für mich zu gehen.

Grafik zeigt Elon Musk neben einem Vogelkäfig, eine Vogelsilhouette in Form des Twitter-Logos entflieht. Daneben ein Pfeil mit dem Text Michael.

Musk hat in wenigen Wochen soviel Unfug angerichtet

, dass es eigentlich kaum in Worte zu fassen ist (ein guter Kommentar auf medienwoche.ch). Es kommt mir so vor, als hätte ein kleiner Junge ein neues Spielzeug bekommen, das er nun kaputt macht, weil er es nicht versteht und weil es einfach seins ist. Dabei übersieht er aber, dass Twitter kein Spielzeug ist, sondern ein wesentliches Instrument zur Meinungsbildung in der Welt. Das geht, anders als der Freie Rede-Enthusiast Musk meint, nicht ohne inhaltliche Regularien, Fake News-Detektoren, Beschwerdemöglichkeiten und ein gewisses Maß an Transparenz. Diese Voraussetzungen hat Musk radikal beschnitten.

Ich war 14,5 Jahre der Twitteruser @oldfatherems. Nach Facebook (14 Jahre) ist Twitter das zweites Soziales Netzwerk, dem ich 2022 den Laufpass gebe (eigentlich mein drittes, BeReal war mir zu anstrengend). Für die Plattform ist mein Weggang kein großer Verlust: 2.800 Tweets, 238 Follower, das ist natürlich nicht viel. Aber mir wird die schnelle Informationsmöglichkeit, das Beobachten von Trends und Memes und der Austausch mit meiner Progressivrock-Bubble fehlen, zudem auch ein PR-Kanal für meine Blogeinträge, Bücher, Podcastfolgen. Doch ich möchte kein digitaler Pegida-Mitläufer sein. Wer mit Rechten mitmarschiert, handelt falsch. Wer in einem Netzwerk voller Rechter mitmacht, auch.

Seit November bin ich Mitglied bei Mastodon, einem dezentralen, nichtkommerziellen Netzwerk, das dieser Tage viele verstörte Ex-Twitternutzer*innen aufnimmt. Hier entscheidet kein intransparenter Sortieralgorithmus, was ich sehe (Filterblase). Hier entscheiden die Betreiber*innen der Mastodon-Server – und machen transparent – welche Inhalte sie zulassen. Ich habe mich (nach einem Fehlgriff in den ersten Tagen) für den Server der Deutschen Journalistenunion entschieden, der ganz klar sagt, was erlaubt ist und was nicht und die Verantwortliche für den Server samt Kontaktmöglichkeiten mit aufführt.

Serverregeln von dju.social

Ob Mastodon mein neues Twitter wird, kann ich nach der kurzen Zeit noch nicht sagen. Aber immerhin haben 17 meiner 238 Follower*innen und 97 meiner 577 gefolgten Twitter*innen dort ebenfalls Asyl gefunden (es gibt ein tolles Tool, das den Umstieg erleichtert) und ich vermute, es werden noch weitere werden.

Zum Ende des Jahres 2022 bin ich digital mit mir im Reinen. Mit Facebook und Twitter habe ich mich von zwei Diensten verabschiedet, die der Welt nicht (mehr) gut tun.
Es ist Zeit, dass wir unsere Macht im Netz wiederentdecken.