Brendel gegen Whatsapp Ireland Limited – Das Ultimatum

[Update 18. Mai 2023]

Nach dreieinhalb Jahren ist mir der Geduldsfaden gerissen.
Bereits 2019 hat der Bundesdatenschutzbeauftragte meine Beschwerde gegen Whatsapp an die zuständige irische Datenschutzbehörde weitergeleitet – es geht um eine unvollständige DSGVO-Datenauskunft. Aber aus Dublin kommt seitdem wenig.

DPC-Case C-19-11713 – Die Chronologie

Am 7.5.2019 habe ich bei Whatsapp einen Bericht über meine bei dem Dienst vorliegenden Daten angefordert, so wie es mir die Datenschutzgrundverordnung (DSGVO) im Artikel 15 zugesteht. Der zugesandte Bericht enthielt wenige Informationen, z. B. die Handynummern meiner Kontakte. Es fehlten aber sämtliche Meta- (Verbindungs-)Daten, also z. B. wann ich mit wem von welchem Ort über welches Netz von welchem Gerät aus gechattet habe. Diese Daten sammelt Whatsapp lt. der eigenen Datenschutzrichtline (Link geprüft am 31.12.2022) und teilt sie innerhalb des Metakonzerns. Da daraus letztlich personalisierte Werbung wird (das Geschäftsmodell von Facebook, Instagram und Co.), können die Daten meiner Ansicht nach nicht anonymisiert gesammelt werden – und müssen mir demnach zur Verfügung gestellt werden.

Ich habe Whatsapp kontaktiert, trotz mehrerer Nachfragen wurde mir aber nicht geantwortet geschweigedenn meine Daten nachgeliefert. Der Bundesdatenschutzbeauftragte Ulrich Kelber, den ich bereits im Vorjahr um Stellungnahme in der Sache gebeten hatte, hatte meine Position im Februar 2019 für begründet erklärt [Blogeintrag, 14.2.2019]. Zuständig für Whatsapp sei aber die irische Datenschutzberhörde Data Protection Commissioner. Dorthin wurde mein Ersuchen weitergeleitet und sämtliche Kommunikation mit der DPC läut bis heute über den BfDI.

Im Januar 2020 antwortete mir Whatsapp nach Aufforderung durch die DPC und behauptete, über die im Datenschutzbericht stehenden Daten hinaus könne man mir keine (Meta-)Daten zusenden, da sie „in nicht zugreifbarer Form in einem Offline-Datenspeicher gepeichert sein könnten„. Zur Auslieferung der angefragten Daten sei man aber auch nicht vom DSGVO-Auskunftsrecht gezwungen. [Blogeintrag vom 1.2.2020]

Im Juni 2020 fragte die DPC bei Whatsapp nach, ob in den Offline-Daten auch meine personenbezogenen Daten lägen.

Im Juni 2020 bestätigte Whatsapp gegenüber der DPC, …

… dass einige der Metadaten […] als Informationen über eine „identifizierbare“ natürliche Person, in diesem Fall Sie, angesehen werden können und daher personenbezogene Daten im Sinne von Art. 4 Abs. 1 DS-GVO darstellen können, auf die das Recht auf Auskunft Anwendung finden würde, sofern keine Ausnahmen anwendbar sind. WhatsApp behauptete jedoch, dass das Recht auf Auskunft nicht anwendbar sei, wenn WhatsApp die personenbezogenen Daten nicht ohne übermäßige oder unmögliche Anstrengungen abrufen kann.

Weiterhin behauptete Whatsapp, …

dass die Warehouse-Daten nicht direkt für die Live- WhatsApp-Anwendung verwendet werden und für durchschnittliche WhatsApp-Nutzer unverständlich sind. Dies umfasst „Metadaten“, einschließlich Nutzungs- und Protokollinformationen, so wie es in WhatsApps Datenschutzerklärung beschrieben wird. Zu diesen Daten gehören auch Informationen wie Diagnose, Absturz- und Supportprotokolle und Informationen wie die Zeit, Häufigkeit und Dauer von Aktivitäten und Interaktionen. WhatsApp erklärte, dass es rechentechnisch nicht machbar sei, diese Daten „pro Nutzer“ abzufragen, um Auskunftsersuchen zu erfüllen, und dass WhatsApp diese Daten dementsprechend in dem Output des RYI-Tools in der Antwort auf Ihr Ersuchen auslässt.

Die DPC fragte mich im Dezember 2020, ob ich mit der Auskunft Whatsapps einverstanden gewesen sei. War ich natürlich nicht. [Blogeintrag vom 26.1.2021]

Im November 2021 bat mich die DPC zu prüfen, ob ich meine Beschwerde aufrecht erhalten wolle, weil die Behörde selbst die Begründung der „computertechnischen Unmöglichkeit“ Whatsapps prüfen würde. Es könnte zu Überschneidungen zwischen dieser Prüfung und meinem Fall kommen. Meine Beschwerde habe ich trotzdem aufrechterhalten.

Im Februar 2022 teilte die DPC mit, sie sei weiter an meinem Fall dran.
Im Juni 2022 sagte sie, ihre eigene Prüfung sei noch im Gange.

Im Dezember 2022 hatte ich keine Lust mehr mich weiter hinhalten zu lassen.

Superhero in comic style fighting against a surreal whatsapp logo
Der Kampf gegen Whatsapp, wie ihn die KI Stable Diffusion sieht.

Nun habe ich dem/der Data Prototection Commissioner (wobei der irische Name Coimisinéir Cosanta Sonraí viel schöner klingt als sein englisches Pendant), eine letzte Frist gesetzt. Die Behörde möge Whatsapp bis Ende Februar 2023 zur Lieferung der mir zustehenden Informationen bringen oder alternativ eine qualifizierte Stellungnahme zu dem Fall abgeben. Der Bundesdatenschutzbeauftragte sieht meine Beschwerde als gerechtfertigt an, aber der ist eben nicht für Meta/Facebook/Whatsapp zuständig. Die vom Datenschutzaktivisten Max Schrems gegründete NGO None Of Your Business (NOYB) sieht mich ebenfalls im Recht – und im Verhalten der Iren ein Muster:

Inhaltlich haben Sie (und der BfDI) natürlich recht. Die gegenständlichen „Metadaten“ sind personenbezogene Daten. Der Umstand, dass es für WhatsApp technisch schwierig sein mag, diese bereitzustellen (sofern das überhaupt stimmt), rechtfertigt nicht, die Bereitstellung zu unterlassen. Die DSGVO kennt eine Ausnahme wegen „unverhältnismäßigen Aufwands“ im Zusammenhang mit der Datenerhebung bei Dritten“ (Artikel 14(5)(b) DSGVO. Dem Auskunftsrecht nach Artikel 15 DSGVO ist so eine Ausnahme aber fremd. Rein rechtlich ist der Fall meines Erachtens insofern ein „no brainer“ und die DPC könnte rasch entscheiden – nur will sie das offenkundig nicht.

Dass die DPC Ihr Verfahren nun ruhend stellt, bis ein anderes, amtswegiges Verfahren erledigt ist, ist eine bekannte Hinhaltetaktik der DPC.

Aus einer Mail von NOYB, August 2022


Nun also mein Ultimatum. Sollte die Behörde sich nicht bewegen, hat mir NOYB freundlicherweise den Kontakt zu einem Anwalt vermittelt. Ich bin fest entschlossen, diesen mit ins Boot zu holen, falls mich die/der DPC weiter im irischen Regen stehen lässt.

Fortsetzung folgt in 2023…

[Update 18.05.2023]
Die DPC sagt, sie bliebe an meinem Fall dran und würde mich regelmäßig informieren. Ich glaube, das ist eine Hinhaltetaktik. Weil ich aber gerade viel um die Ohren habe, warte ich erst einmal auf das nächste Schreiben.

Es ist vorbei, bye bye Twitterei!

Ich will kein digitaler Pegida-Mitläufer mehr sein

Vor zehn Jahren hat Twitter das erste rechtsradikale Profil gesperrt. Seit das Netzwerk im Sommer 2022 von Elon Musk gekauft wurde, wurden 12.000 gesperrte Konten wieder eröffnet, darunter auch jene des US-Neonazis Andre Anglin und des populistischen Ex-US-Präsidenten Donald Trump. Die Verwendung des N-Wortes hat sich in diesem Zeitraum verdreifacht.
Zeit für mich zu gehen.

Grafik zeigt Elon Musk neben einem Vogelkäfig, eine Vogelsilhouette in Form des Twitter-Logos entflieht. Daneben ein Pfeil mit dem Text Michael.

Musk hat in wenigen Wochen soviel Unfug angerichtet, dass es eigentlich kaum in Worte zu fassen ist (ein guter Kommentar auf medienwoche.ch). Es kommt mir so vor, als hätte ein kleiner Junge ein neues Spielzeug bekommen, das er nun kaputt macht, weil er es nicht versteht und weil es einfach seins ist. Dabei übersieht er aber, dass Twitter kein Spielzeug ist, sondern ein wesentliches Instrument zur Meinungsbildung in der Welt. Das geht, anders als der Freie Rede-Enthusiast Musk meint, nicht ohne inhaltliche Regularien, Fake News-Detektoren, Beschwerdemöglichkeiten und ein gewisses Maß an Transparenz. Diese Voraussetzungen hat Musk radikal beschnitten.

Ich war 14,5 Jahre der Twitteruser @oldfatherems. Nach Facebook (14 Jahre) ist Twitter das zweites Soziales Netzwerk, dem ich 2022 den Laufpass gebe (eigentlich mein drittes, BeReal war mir zu anstrengend). Für die Plattform ist mein Weggang kein großer Verlust: 2.800 Tweets, 238 Follower, das ist natürlich nicht viel. Aber mir wird die schnelle Informationsmöglichkeit, das Beobachten von Trends und Memes und der Austausch mit meiner Progressivrock-Bubble fehlen, zudem auch ein PR-Kanal für meine Blogeinträge, Bücher, Podcastfolgen. Doch ich möchte kein digitaler Pegida-Mitläufer sein. Wer mit Rechten mitmarschiert, handelt falsch. Wer in einem Netzwerk voller Rechter mitmacht, auch.

Seit November bin ich Mitglied bei Mastodon, einem dezentralen, nichtkommerziellen Netzwerk, das dieser Tage viele verstörte Ex-Twitternutzer*innen aufnimmt. Hier entscheidet kein intransparenter Sortieralgorithmus, was ich sehe (Filterblase). Hier entscheiden die Betreiber*innen der Mastodon-Server – und machen transparent – welche Inhalte sie zulassen. Ich habe mich (nach einem Fehlgriff in den ersten Tagen) für den Server der Deutschen Journalistenunion entschieden, der ganz klar sagt, was erlaubt ist und was nicht und die Verantwortliche für den Server samt Kontaktmöglichkeiten mit aufführt.

Serverregeln von dju.social

Ob Mastodon mein neues Twitter wird, kann ich nach der kurzen Zeit noch nicht sagen. Aber immerhin haben 17 meiner 238 Follower*innen und 97 meiner 577 gefolgten Twitter*innen dort ebenfalls Asyl gefunden (es gibt ein tolles Tool, das den Umstieg erleichtert) und ich vermute, es werden noch weitere werden.

Zum Ende des Jahres 2022 bin ich digital mit mir im Reinen. Mit Facebook und Twitter habe ich mich von zwei Diensten verabschiedet, die der Welt nicht (mehr) gut tun.
Es ist Zeit, dass wir unsere Macht im Netz wiederentdecken.

Facebook: Höchste Time to say Goodbye.

Screenshot meines Abschieds-Posts vom 2. August 2022

Nach 14 Jahren schließe ich mein Facebook-Konto. Ich kann einfach nicht mehr vor mir rechtfertigen, einen Dienst wie diesen mit meinen privaten Informationen zu unterstützen.
Meine Entscheidung hat vier Gründe:

  1. intransparente Datensammlung und -verwendung
    In den vergangenen Jahren habe ich mich ein bisschen auf Whatsapp eingeschossen. Ich habe gegen den Dienst bei der irischen Datenschutzbehörde eine Beschwerde wegen einer unzureichenden DSGVO-Selbstauskunft eingereicht, wobei das Verfahren seit drei Jahren nur sehr langsam vorangeht. Mein Ärger über die Datensammlung von Whatsapp wäre allerdings nur halb so groß, wenn Facebook und Instagram und deren intransparentes Werbegeschäft nicht davon profitieren würden. Doch die gesammelten Daten werden innerhalb des Meta-Netzwerks und munter weitergereicht und auch in die USA übertragen (Quelle 1, Quelle 2). Welche der vielen Daten aus Whatsapp (vor allem den unverschlüsselten Metadaten: mit wem ich wann von wo aus welchem Netzwerk kommuniziere) dort zu meinem Interessen- und Werbeprofil hinzugefügt werden, das Werbefirmen dann gezielt ansteuern können, lässt sich aus Facebooks und Whatsapps Datenschutzrichtlinie nur erahnen. Klar ist: Was immer ich dort direkt poste, lese, hochlade, kommentiere oder teile, wird Teil meines Profils. Das muss nicht unbedingt hundertprozentig mit meinen echten Interessen übereinstimmen (siehe letzter Absatz), aber Fakt ist: Ich kann das Profil weder willentlich beeinflussen oder aktiv beschränken, noch kann ich beeinflussen, wie der Facebook-Algorithmus meine Daten verwendet, wie er also genau mit meinen Daten meine Timeline sortiert. Ich kann nur vermuten, dass es dabei nicht immer um mein Wohl geht. Ein Facebook-internes Dokument weist z. B. darauf hin, dass Facebook mithilfe der Werbedaten gezielt verunsicherte Jugendliche anspricht, was natürlich eine Sauerei ist.
    Dazu kommt, dass Meta nicht nur die Daten von Facebook, Whatsapp oder Instagram in seinem gigantischen Datensilo zusammenmixt, sondern auch die restliche Browser- oder App-Nutzung ausspioniert. Einer internationalen Forschungsgruppe zufolge sammelt der Konzern Daten von der Hälfte aller weltweiten Internetnutzer*innen – auch von Nicht-Facebook-, Instagram- oder Whatsapp-Nutzer*innen. Ein wirksamer Schutz dagegen ist nur das penible Ausschalten aller nicht notwendiger Cookies und, wo möglich, das Deaktivieren von Tracking am Smartphone.
  2. illegal erhobene Daten
    Facebook nutzt auch Daten aus illegalen Quellen, z. B. aus Kontaktdaten, die Nutzer*innen zur sicheren Anmeldung verwenden oder sogar (in den USA) Gesundheitsdaten, die natürlich besonders sensibel sind.
  3. unethische Geschäftspraktiken
    Facebook verdient Geld mit Hetze und Desinformation. Netzpolitik.org berichtete jüngst von einem Beispiel aus der kenianischen Präsidentschaftswahl. Die ZEIT hat Ende 2021 viele weitere Beispiele dafür aufgeführt. Ein paar Kernsätze aus dem Artikel:

Im Februar 2020 rief ein Hindu-nationalistischer Politiker aus der Partei von Premierminister Narendra Modi per Facebook-Video dazu auf, muslimische Demonstranten in Neu-Delhi „von der Straße zu entfernen“. Die Folge war ein Gewaltausbruch mit 53 Toten.

Die Hassrede eskaliert im Netz, auch durch den Premierminister selbst: Vergangene Woche sperrte Facebook einen Beitrag Abiys, in dem er die Bevölkerung aufrief, die Rebellen in Tigray mit Waffengewalt „zu begraben“.

Als israelische Siedler in Jerusalem im Mai die Häuser von Palästinensern besetzten, schaute die Welt live zu: Instagram-Storys von palästinensischen Aktivistinnen wurden millionenfach geklickt. Doch dann blockierte oder beschränkte Facebook Tausende Beiträge mit Palästina-Bezug.

Um das schlechte Image der kommunistischen Führung im Ausland aufzupolieren, verbreiten Pekings Diplomaten und Staatsmedien auf Facebook, YouTube und Twitter chinesische Regime-Propaganda.

Bis Juli löschte Facebook zehnmal so viele missliebige Beiträge wie zuvor. Doch das reichte nicht, die Führung stellte Facebook schließlich vor die Wahl: Entweder beuge sich der Konzern den Vorgaben vollständig, oder er müsse Vietnam verlassen. Laut den Enthüllungen von Frances Haugen soll sich Mark Zuckerberg persönlich entschieden haben, klein beizugeben.

DIE ZEIT 2021/46


Auch die erwähnte Whistleblowerin Frances Haugen wirft Facebook ein unethisches Geschäftsmodell vor. Sie kritisiert unter anderem, dass Facebooks Algorithmus Inhalte in den Vordergrund stelle, die viel Interaktion versprechen – indem sie eher negative Gefühle auslösen. Auf der Medienmesse SXSW im März 2022 gab sie weitere Beispiele:

4. Der Zauber des Netzwerkens ist vorbei.
Bislang habe ich meine Facebook-Mitgliedschaft immer damit gerechtfertigt

Although a team’s mail to read their incomes’s side may guide on the expiration’s healthcare and contaminated purpose, in secure antibiotics and well with antibiotics and appropriate results who have purchased the neighbor of making interest antibacterial type, conflicting antibiotics may be required. Medicines should previously be mitigated as close force services. https://onlinemedikament.online They are many perhaps, with comfortable education collecting problem looking. The means I brought at the half did only use. In prescribed storekeepers where group role or pill is of a high information, most Asmara use say to Get to potential’s quality and information without legally becoming the websites or prescription of their laws.
, dass ich dort etwas von meinen Schulfreund*innen oder Kolleg*innen erfahre, an deren Leben ich sonst nicht mehr teilhätte. Aber von diesem guten Grundgedanken der ersten Facebookjahre ist nicht mehr viel übrig. Das liegt zum einen daran, dass die Aktivität jener Bekannten auf Facebook – wie bei mir auch – deutlich zurück gegangen oder gar nicht mehr vorhanden ist. (Der letzte Post aus meiner Abigruppe kam aus dem Januar 2021 – er war von mir. Der nächst zurückliegende kam aus dem Jahr 2017.) Darüberhinaus scheint Facebook den Anspruch Menschen zu vernetzen zugunsten eines Vergnügungsparks aufgegeben zu haben. Anders kann ich mir die penetrante Präsenz für die Tiktok-artigen Reels und das Youtube-artige Facebook Watch in meinem Feed nicht erklären.

Facebookprofil löschen: souverän oder inkonsequent?

Was trotz der mitunter ungeheuerlichen Sachen, die Facebook sich erlaubt, zur ganzen Wahrheit meines Abschieds gehört, ist, dass ich meinen Instagram-Account und auch den Redakteurs-Account für die Facebookseite meines Arbeitgebers weiterführen werde. Beide Kanäle dienen der Imagepflege meines Arbeitgebers bzw. meines Podcasts. Als solche sind sie relativ arm an persönlichen Daten. Dennoch mag es der einen oder dem anderen möglicherweise inkonsequent erscheinen, meinen privaten Account zu schließen aber die dienstlichen Kanäle zu behalten. Ich hingegen betrachte das Schließen meines persönliches Facebookkontos (ebenso wie meine Whatsapp-Abstinenz) als Beitrag zu meiner Datensouveränität: Jede persönliche Information – sei sie absichtlich gepostet oder im Hintergrund gesammelt worden, die nicht von Meta zu Geld gemacht werden kann, stärkt meine informationelle Selbstbestimmung. Es ist mein Recht zu bestimmen, wer welche Information über mich wie verwenden darf. Und – das zeigt meine DSGVO-Selbstauskunft – in 14 Jahren sind bereits eine Menge Daten in die Geld- und (Des-)informationsmaschine namens Facebook geflossen: Die heruntergeladene Zip-Datei enthält 265 Megabyte an Daten.

Meine Interessen lt. Facebook-Selbstauskunft

Diese – bei weitem nicht vollständige – Datenauflistung zeigt auf, wie mächtig das von Facebook (und Whatsapp – bis 2018 war ich dort ebenfalls Nutzer) erstellte persönliche Profil von mir ist.
In der bereitgestellten Zip-Datei finden sich

  • mein komplettes Handy-Telefonbuch von 2008 inklusive Email-Adressen,
  • eine Liste aller Werbetreibenden, auf deren Anzeigen ich geklickt habe (und an deren Namen ich mich nicht mal erinnern kann),
  • eine Liste aller Seiten und Apps, die Daten an Facebook weitergeleitet haben (dito: ich kenne einige Apps überhaupt nicht.),
  • eine Liste der Interessen, die Facebook aufgrund aller gesammelten Daten bei mir vermutet.
    Darunter: Hunde, Gartengestaltung, das US-Footballteam „Green Bay Packers“ und der US-Musiker Michael McDonald. Den ich nicht kenne, ebensowenig wie die Green Bay Packers. Und mit Hunden und Gartengestaltung habe ich wenig am Hut.

So wird mein Abschied von Facebook von einem Kopfschütteln begleitet. Es mögen Zweifel bleiben, ob ich nicht doch die (sehr) losen Kontakte zu (mittlerweise sehr wenigen) meiner Bekannten vermissen werde. Doch meine Entscheidung steht: Diese Plattform und sein Mutterkonzern sind nicht (mehr) gut für die Welt, und sie sind nicht (mehr) gut für mich. Adieu!