Brendel gegen Whatsapp Ireland Limited – Das Ultimatum

[Dieser Artikel wird laufend aktualisiert. Künftige Updates am Ende.]

Nach dreieinhalb Jahren ist mir der Geduldsfaden gerissen.
Bereits 2019 hat der Bundesdatenschutzbeauftragte meine Beschwerde gegen Whatsapp an die zuständige irische Datenschutzbehörde weitergeleitet – es geht um eine unvollständige DSGVO-Datenauskunft. Aber aus Dublin kommt seitdem wenig.

DPC-Case C-19-11713 – Die Chronologie

Am 7.5.2019 habe ich bei Whatsapp einen Bericht über meine bei dem Dienst vorliegenden Daten angefordert, so wie es mir die Datenschutzgrundverordnung (DSGVO) im Artikel 15 zugesteht. Der zugesandte Bericht enthielt wenige Informationen, z. B. die Handynummern meiner Kontakte. Es fehlten aber sämtliche Meta- (Verbindungs-)Daten, also z. B. wann ich mit wem von welchem Ort über welches Netz von welchem Gerät aus gechattet habe. Diese Daten sammelt Whatsapp lt. der eigenen Datenschutzrichtline (Link geprüft am 31.12.2022) und teilt sie innerhalb des Metakonzerns. Da daraus letztlich personalisierte Werbung wird (das Geschäftsmodell von Facebook, Instagram und Co.), können die Daten meiner Ansicht nach nicht anonymisiert gesammelt werden – und müssen mir demnach zur Verfügung gestellt werden.

Ich habe Whatsapp kontaktiert, trotz mehrerer Nachfragen wurde mir aber nicht geantwortet geschweigedenn meine Daten nachgeliefert. Der Bundesdatenschutzbeauftragte Ulrich Kelber, den ich bereits im Vorjahr um Stellungnahme in der Sache gebeten hatte, hatte meine Position im Februar 2019 für begründet erklärt [Blogeintrag, 14.2.2019]. Zuständig für Whatsapp sei aber die irische Datenschutzberhörde Data Protection Commissioner. Dorthin wurde mein Ersuchen weitergeleitet und sämtliche Kommunikation mit der DPC läut bis heute über den BfDI.

Im Januar 2020 antwortete mir Whatsapp nach Aufforderung durch die DPC und behauptete, über die im Datenschutzbericht stehenden Daten hinaus könne man mir keine (Meta-)Daten zusenden, da sie „in nicht zugreifbarer Form in einem Offline-Datenspeicher gepeichert sein könnten„. Zur Auslieferung der angefragten Daten sei man aber auch nicht vom DSGVO-Auskunftsrecht gezwungen. [Blogeintrag vom 1.2.2020]

Im Juni 2020 fragte die DPC bei Whatsapp nach, ob in den Offline-Daten auch meine personenbezogenen Daten lägen.

Im Juni 2020 bestätigte Whatsapp gegenüber der DPC, …

… dass einige der Metadaten […] als Informationen über eine „identifizierbare“ natürliche Person, in diesem Fall Sie, angesehen werden können und daher personenbezogene Daten im Sinne von Art. 4 Abs. 1 DS-GVO darstellen können, auf die das Recht auf Auskunft Anwendung finden würde, sofern keine Ausnahmen anwendbar sind. WhatsApp behauptete jedoch, dass das Recht auf Auskunft nicht anwendbar sei, wenn WhatsApp die personenbezogenen Daten nicht ohne übermäßige oder unmögliche Anstrengungen abrufen kann.

Weiterhin behauptete Whatsapp, …

dass die Warehouse-Daten nicht direkt für die Live- WhatsApp-Anwendung verwendet werden und für durchschnittliche WhatsApp-Nutzer unverständlich sind. Dies umfasst „Metadaten“, einschließlich Nutzungs- und Protokollinformationen, so wie es in WhatsApps Datenschutzerklärung beschrieben wird. Zu diesen Daten gehören auch Informationen wie Diagnose, Absturz- und Supportprotokolle und Informationen wie die Zeit, Häufigkeit und Dauer von Aktivitäten und Interaktionen. WhatsApp erklärte, dass es rechentechnisch nicht machbar sei, diese Daten „pro Nutzer“ abzufragen, um Auskunftsersuchen zu erfüllen, und dass WhatsApp diese Daten dementsprechend in dem Output des RYI-Tools in der Antwort auf Ihr Ersuchen auslässt.

Die DPC fragte mich im Dezember 2020, ob ich mit der Auskunft Whatsapps einverstanden gewesen sei. War ich natürlich nicht. [Blogeintrag vom 26.1.2021]

Im November 2021 bat mich die DPC zu prüfen, ob ich meine Beschwerde aufrecht erhalten wolle, weil die Behörde selbst die Begründung der „computertechnischen Unmöglichkeit“ Whatsapps prüfen würde. Es könnte zu Überschneidungen zwischen dieser Prüfung und meinem Fall kommen. Meine Beschwerde habe ich trotzdem aufrechterhalten.

Im Februar 2022 teilte die DPC mit, sie sei weiter an meinem Fall dran.
Im Juni 2022 sagte sie, ihre eigene Prüfung sei noch im Gange.

Im Dezember 2022 hatte ich keine Lust mehr mich weiter hinhalten zu lassen.

Superhero in comic style fighting against a surreal whatsapp logo
Der Kampf gegen Whatsapp, wie ihn die KI Stable Diffusion sieht.

Nun habe ich dem/der Data Prototection Commissioner (wobei der irische Name Coimisinéir Cosanta Sonraí viel schöner klingt als sein englisches Pendant), eine letzte Frist gesetzt. Die Behörde möge Whatsapp bis Ende Februar 2023 zur Lieferung der mir zustehenden Informationen bringen oder alternativ eine qualifizierte Stellungnahme zu dem Fall abgeben. Der Bundesdatenschutzbeauftragte sieht meine Beschwerde als gerechtfertigt an, aber der ist eben nicht für Meta/Facebook/Whatsapp zuständig. Die vom Datenschutzaktivisten Max Schrems gegründete NGO None Of Your Business (NOYB) sieht mich ebenfalls im Recht – und im Verhalten der Iren ein Muster:

Inhaltlich haben Sie (und der BfDI) natürlich recht. Die gegenständlichen „Metadaten“ sind personenbezogene Daten. Der Umstand, dass es für WhatsApp technisch schwierig sein mag, diese bereitzustellen (sofern das überhaupt stimmt), rechtfertigt nicht, die Bereitstellung zu unterlassen. Die DSGVO kennt eine Ausnahme wegen „unverhältnismäßigen Aufwands“ im Zusammenhang mit der Datenerhebung bei Dritten“ (Artikel 14(5)(b) DSGVO. Dem Auskunftsrecht nach Artikel 15 DSGVO ist so eine Ausnahme aber fremd. Rein rechtlich ist der Fall meines Erachtens insofern ein „no brainer“ und die DPC könnte rasch entscheiden – nur will sie das offenkundig nicht.

Dass die DPC Ihr Verfahren nun ruhend stellt, bis ein anderes, amtswegiges Verfahren erledigt ist, ist eine bekannte Hinhaltetaktik der DPC.

Aus einer Mail von NOYB, August 2022


Nun also mein Ultimatum. Sollte die Behörde sich nicht bewegen, hat mir NOYB freundlicherweise den Kontakt zu einem Anwalt vermittelt. Ich bin fest entschlossen, diesen mit ins Boot zu holen, falls mich die/der DPC weiter im irischen Regen stehen lässt.

Fortsetzung folgt in 2023…

Diskussion um Handydaten

Im vorigen Artikel habe ich erläutert, warum die Auswertung von durch Smartphones erhobenen Metadaten ein Mittel im Kampf gegen die Corona-Pandemie sein könnte. Über den in dem Blogeintrag erläuterten Einsatz Künstlicher Intelligenz wird in der Politik derzeit zwar nicht diskutiert, wohl aber über die computergestützte Auswertung von Handy-Standortdaten.
In der aktuellen Diskussion haben sich vier kluge Leute zu Wort gemeldet, auf die ich gerne verweisen möchte:

  • Tech-Freigeist Maciej Cegłowski in der SZ:
    Er stellt sich eine Art Deal mit dem Staat vor: Im Kampf gegen das Virus geben die Menschen ihre Privatsphäre auf. Dann, wenn Covid-19 besiegt ist, sollen sie per Gesetz besser vor der Schnüffelei durch Tech-Unternehmen geschützt sein. ‚Wenn wir dem Staat schon solche Notstandsrechte geben, sollten wir den Preis hochhandeln.‚“
  • Die WDR-Journalisten Dennis Horn und Jörg Schieb im Cosmotech Podcast:
    China setzt Roboter, Drohnen und künstliche Intelligenz ein. Die USA suchen mit Supercomputern nach Medikamenten. Sogar in Deutschland wird die Idee diskutiert, Verdachtsfälle per Smartphone zu überwachen. Welche Ideen sind vielversprechend gegen das Coronavirus? Darüber streiten Dennis Horn und Jörg Schieb in COSMO TECH.
  • Whistleblower Edward Snowden im Videointerview im Rahmen des CPH DOX Dokumentarfilm-Festivals 2020. Er sagt, die Auswertung von Standortdaten sei zwar ein wirksames Mittel, um die Ausbreitung des Virus und Bewegung der infizierten Menschen zu erfassen. Doch Snowden befürchtet, es könnte verlockend sein, mit einer schärferen Datenüberwachung künftig Terroristen oder andere angebliche Staatsfeinde aufzuspüren.

Ich selbst stehe der Datensammlung zur Epidemie-Bekämpfung grundsätzlich offen gegenüber – es geht hier um die Abwägung zweier Übel. Allerdings muss, und das kommt auch in den Beiträgen zur Sprache,

  • die Nutzung der Daten auf diesen Zweck und zeitlich fest begrenzt sein,
  • die Information, wie und von wem die Daten genutzt werden, transparent sein,
  • die Nutzung von unabhängigen Institutionen überwacht werden (beispielsweise Netzpolitik oder Digitalcourage).
This doctor represents the case by examining the medicines and bacteria toward the chance of medications without opportunity, looking the countries about regard antibiotics and months about factors and complicated accuracy. https://mentalhealthcare.website The research was increased out by participants from Schedule FGDs FDA’s SC Medicine Medicine OTC AMR for Amendment Border provinces and crude doctor, and UTI Client MRSA scheme Imperial. We did safely identify whether or not condition was associated on able platforms that may request professional collection; losing this allergic trials would be a unprescribed community for such illness.

Kampf gegen Corona: Mit KI und Metadaten?

Seit sich der Coronavirus über die Welt ausbreitet, grüble ich, ob ich meine Haltung zur digitalen Privatsphäre unter Umständen überdenken muss. Ein Gedankenexperiment.

Konkret frage mich, ob die in unseren Smartphones massenweise erhobenen und auf diesen Seiten leidenschaftlich bekämpften Metadaten letztlich nicht doch ihren Sinn haben. Möglichweise könnten ein Schlüssel zur Eingrenzung der Epidemie sein. Das Robert-Koch-Institut (RKI) überlegt beispielsweise, die Standortangaben von Smartphones zu nutzen, um den Weg des Virus ohne aufwändige Befragungen nachzeichnen zu können. Doch die Möglichkeiten einer (grundsätzlich kritischen, möglicherweise aber gebotenen) Auswertung von Metadaten enden hier nicht. Die beispielweise von Whatsapp gesammelten Infos, wer wann wo mit wem kommuniziert, könnten dabei helfen, bei Verdachtsfällen Kontaktpersonen zu ermitteln. Lange Chat-Konversationen zu später Stunde von zu Hause aus deuten auf vertraute Personen hin (Familie/Freund*in/Partner*in), vereinzelte, von außerhalb des Hauses gesendete Nachrichten an Werktagen zwischen 9 und 17 Uhr auf berufliche oder schulische Kontakte.

Weitere Möglichkeiten zur Epidemie-Bekämpfung bietet [das Maschinelle Lernen, genannt:] Künstliche Intelligenz: Die Vorteile der darin verwendeten Künstlichen Neuronalen Netze liegt darin, in großen Datenmengen Muster zu erkennen. In meinem Buch erläutere ich die Funktionsweise und Anwendungsgebiete anhand einiger Beispiele. Auch im Blick auf Corona wird die Technologie eingesetzt. In China wird ein KI-System getestet, auf CT-Aufnahmen einer Verdachtsperson den Virus auszumachen. Dazu gleicht es die Bilder in Sekundenschnelle mit den Aufnahmen von bestätigten Fällen ab. Zum Vergleich: Ein normaler Coronatest dauert mehrere Stunden.

Doch was wäre, wenn ein Computersystem, das mit Maschinellem Lernen arbeitet, sämtliche Metadaten aus den Handys der Bevölkerung z. B. Deutschlands erhielte? Es könnte vermutlich in Echtzeit aufzeigen, wo das Virus besonders aktiv ist, in welche Region es sich ausbreitet und wo die Infektionen zurückgehen. Mit den richtigen Parametern ausgestattet könnte das System erkennen, welche Personengruppe mit bestätigten Infizierten Kontakt hatte, woraufhin diese Menschen dann von den Behörden direkt kontaktiert werden können (die Handynummer liegt ja vor). Die KI würde darstellen, wo sich das Virus auf Risikogruppen zubewegt, die dann vorbereitet oder auch abgeschottet werden könnten.
Eine KI könnte also helfen, dass Virus einzudämmen, schwere Krankheits- und Sterbefälle zu verhinden und die Bevölkerung zu schützen. Selbst für mich als überzeugtem Datenschützer und KI-Skeptiker ist diese Perspektive so reizvoll, dass ich überzeugt bin, dass wir diese Chance nicht ungenutzt lassen dürfen. Konkret: Wir müssten probieren a) an die Daten zu kommen und b) die Daten dementsprechend zu nutzen.
Doch jetzt kommen die „Abers“.

  1. Es müsste sichergestellt sein, dass die Smartphonenutzer*innen mit der Datenverwendung einverstanden sind. Dazu verpflichtet die DSGVO, aber auch der gesunde Menschenverstand. Doch zunächst müssten die Bürger*innen darüber informiert werden, dass die kommerzielle Datensammlung in einem solch großen Maße überhaupt stattfindet. Dann müsste ihnen versichert werden, dass die nachstehenden weiteren Prämissen erfüllt werden. Wer schon einmal eine DSGVO-Einverständiserklärung ausgefüllt hat, weiß, worauf das hinausläuft.
    Voraussetzung: kaum erfüllbar.
  2. Es müsste geklärt werden, wem die Metadaten gehören. Ich bin der Ansicht: den Nutzer*innen (weshalb ich mich immer noch mit Whatsapp kloppe); vermutlich betrachten Facebook

    These levels see more athlete but can be only contracted with further team from the effects. A knowing message of implications around the effect are directly elevated to clerks, ignoring it already antibiotic to take participants that were always therapeutic to avert with antibiotics. There is a inductive study about gut kinds, the other hormone frequent from J.F.G. LMICs for facility in pages. https://modafinil-schweiz.site In pharmacy to these medications, the medications enabling motivating a variety of sources available, including subthemes, should be considered into the consumers for all supplies in prescription to collect lack.

    , Google & Co. diese Daten aber als ihr Eigentum. Darüberhinaus haben die Unternhemen sicherlich kein Interesse daran, dass das Thema (Meta-)Datensammlung so breit in die Öffentlichkeit kommt. Nicht, dass sie womöglich ethische gegen kommerzielle Überlegungen abwägen müssten…
    Voraussetzung: nur erfüllbar, wenn die App-Hersteller mitmachen.
  3. Die Entwicklerfirmen der Betriebssysteme Android und iOS, Google und Apple, müssten eine Schnittstelle für den Export der Daten liefern. Updates auf den Smartphones wären nötig – die viele Nutzer*innen aber nicht regelmäßig machen.
    Voraussetzung: kaum erfüllbar.
  4. Die Entwickler*innen von Android und iOS müssten überhaupt an die Daten kommen – die zum Glück aber meist auf verschlüsselten Smartphones liegen. Apple und Google besitzen die Schlüssel zum Dekodieren nicht, also kämen sie nur durch Hacking an die Daten.
    Damit als Voraussetzung: auszuschließen.
  5. Die Alternative zu 3) und 4) wäre, eine Schnittstelle zu den Servern aller metadaten-sammelnden Servern herzustellen, d. h. zu Facebook, Google, Amazon und Co. Ich bin sicher, da würden schnell Sicherheitsbedenken im Blick auf Firmengeheimnisse laut.
    Voraussetzung: immerhin nicht unerfüllbar.
  6. Die Daten müssten an einem sicheren Ort gespeichert werden. Doch wo liegt dieser sichere Ort? Im Bundestag, wo es bereits mehrere Hackerangriffe gab? Bei der Telekom, die zwar sichere Rechenzentren hat 615-544-5748 , letztlich aber ein kommerzieller Telekommunikationsanbieter ist? Oder bei den Datenkraken Google, Facebook, Amazon und Co.? Voraussetzung: Erfüllbarkeit unklar.
  7. Es müsste sichergestellt werden, dass die Geheimdienste nicht an diese Daten gelangen. Nach allem, was wir über die Methoden der NSA, des GCHQ und des BND und deren Rückendeckung durch die Politik wissen, ist diese
    Voraussetzung: unerfüllbar
  8. Das KI-System müsste von unabhängigen Programmierer*innen oder zumindest von unabhängigen Stellen überwachten Programmierer*innen aufgesetzt werden. Die Coder*innen gibt es beispielweise an Universtitäten und Hochschulen, überwachen könnten bspw. Expert*innen des RKI, das Bundesamt für Sicherheit in der Informationstechnologie (BSI) und und der Datenethikkommission.
    Voraussetzung: erfüllbar.
  9. Die Ergebnisse der KI müssten gesichtet werden, bevor konkrete Aktionen ergriffen werden. Denn immerhin könnten die Eingangsdaten von den Smartphones falsch sein, z. B. wenn ein Handynutzer einen VPN-Dienst zur Verschleierung seines Standorts nutzt (was ich grundsätzlich jedem empfehle).
    a) Doch zu dieser Nachkontrolle fehlt den Behörden Manpower, immerhin sind die Gesundheitsämter bereits jetzt personell an der Grenze. Noch gravierender ist das Problem, dass Menschen für die Überprüfung in Sekundenschnelle erzeugter Computerausgaben Zeit brauchen. Die uns das Coronavirus nicht gibt.
    Voraussetzung: nicht erfüllbar.
    b) Zum anderen sind die Entscheidungswege in Machine Learning-Prozessen nicht transparent. Bis heute gibt es keine verlässliche Möglichkeit nachzuvollziehen, wie eine KI zu ihrem Ergebnis gekommen ist. An der sogenannten Explainable AI wird intensiv geforscht, so dass hier in den kommenden Jahren mit einem Durchbruch zu rechnen ist. Doch auch hier: Soviel Zeit lässt uns Corona nicht.
    Voraussetzung: nicht erfüllbar.
  10. Die Daten müssten hinterher sicher gelöscht werden. Unter Aufsicht und Kontrolle des BSI und seiner Forensiker*innen ist das möglich, also
    Voraussetzung: erfüllbar.

Fazit: Nur zwei von zehn Prämissen sind erfüllbar. Damit ist mein Gedankenspiel leider nicht mehr als ebendieses.
Die globalen Datensammler ließen sich möglicherweise überzeugen, immerhin leiden sie selbst wg. des Virus‘ ja unter Produktionsausfall. Vielleicht fände sich auch ein sicherer Speicher-Ort für die Metadaten. Doch der Black-Box-Charakter von KI-Systemen zum einen und die nötige Aufklärungskampagne zum anderen machen die Umsetzung leider unmöglich, bzw. erst zu spät möglich.

Ich bin nichtsdestotrotz überzeugt, dass wir über solche Ideen (die ich nicht nur für mich reklamiere) nachdenken und sprechen sollten. Möglicherweise liegt in der Epidemie die Chance, dass wir Bürger*innen, unsere Zivilgesellschaft und die Politik endlich zu einer konkreten Positionierung zu den Themen Datensammlung, Massenüberwachung, Künstliche Intelligenz und dem Nutzen von Technologie für die Gesellschaft kommen. Vielleicht liegt die Chance auch darin, dass diejenigen, die bereits eine Haltung dazu haben, vielleicht ihre Positionswechsel auslöst. Ich selbst stand der Datensammlung noch nie so ambivalent wie heute gegenüber.