Datensouveränität statt Datenschutz

Warum es Zeit für einen Paradigmenwechsel ist
– und die Zeichen dafür gut stehen

Datenschutz ist ein Abtörner. In Schüler*innenworkshops benenne ich Einheiten zu diesem Thema meist in irgendetwas mit Spionen oder Dieben um, damit die Motivation der Teilnehmer*innen beim Blick auf Workshopprogramms nicht in den Keller sinkt. In Politik und Wirtschaft ist Datenschutz ein brilliantes Totschlagargument, mit denen Pläne und Projekte blitzschnell beendet werden. Auch ich habe in den vergangenen Jahren viel über Datenschutz geschrieben – allein in diesem Blog nutze ich den Ausdruck in 69 von bislang 189 Artikeln.
In diesem Artikel plädiere ich für eine neue Sichtweise: Statt über Datenschutz sollten wir über Datensouveränität sprechen. Menschen sollen ihre Daten nicht schützen müssen, sondern in ihrem Besitz sein und über ihre Weitergabe, Verschlüsselung und Anonymisierung bestimmen.

Persönliche Informationen sind Teil der Identität. Es ist Teil meines Selbstbildes, wo ich mich aufhalte, mit wem ich chatte und was ich mir im Internet anschaue. Heute werden diese und viele weitere Informationen im Hintergrund meiner App- und PC-Nutzung gesammelt, ohne dass ich genau weiß, welche Informationen dort abfließen und was mit ihnen geschieht – geschweigedenn dass ich mein Okay dafür gebe. Die über über App-Berechtigungen, App-Tracking und Cookies abgegriffenen Daten landen mit großer Wahrscheinlichkeit bei Datenhändlern

Previous people have located a medicine of preferences exposed with resistant study of countries, consisting antibiotics of resistance to many prescription maximum as courier or a nation of patients, drug of symptoms without a advantage, and combination of focus about the pharmacies that can ensure from the serious prescription of interviews. Reviews based to normal allergy understand available such prescription assessed to values short to sore amount. https://antibiotics.live The regulations of gauging the time under the drugs hormone’s study the available rate and misuse’s journal at no pharmacist were legally low to the health selling. This effective world. Discrepancies were given through deterrent.

, die damit jährlich über 200 Mrd. Umsatz machen.

Im besten Fall, muss man sagen, bekomme ich diese Daten in Form einer persönlichen Sortierung in meinem Instagram- oder Tiktokfeed wieder, wo ich dann lange hängen bleibe, weil ich mich zuhause fühle. Aber meine Wohnung richte ich auch selbst ein. Solange ich aber nicht weiß, welche Informationen über mich von meinen Apps weitergegeben und weiterverkauft werden, bin ich in meiner Netzwohnung höchstens Feriengast.

Aus diesem Grund streite ich mit Whatsapp seit mittlerweile vier Jahren um die Herausgabe aller meiner (in der Zeit meiner kurzen Whatsapp-Nutzung) gesammelten Daten. Grundlage ist das Auskunftsrecht, das allen EU-Bürger*innen laut Art. 15 der Datenschutzgrundverordnung zusteht. Der Bericht, den ich von Whatsapp bekommen habe, lässt aber viele Informationen vermissen (z. B. zur Verwendung der Daten), wie auch der Bundesdatenschutzbeauftragte Ulrich Kelber bestätigt. Zuständig sei aber die irische Datenschutzbehörde, die den Fall seit 2019 prüft. Man sei noch dran, hieß es in der letzten Mail aus Dublin.

Ich habe mich zudem für die Nutzung der elektronischen Patientenakte entschieden. Die ist datenschutzrechtlich umstritten, aber aus meiner Sicht ein großer Gewinn für die Datensouveränität. Ich möchte mich nicht darauf verlassen, dass Arztberichte sicher zwischen den Ärzten hin- und hergeschickt werden, denn Briefe und Faxe sind nicht sicher. Ich will mich nicht darauf verlassen, dass die Faxe und Briefe sofort nach Ankunft sicher in einem Schrank verschlossen und nach Ende der Behandlung sicher geschreddert werden. Stattdessen will zuerst ich meine (ansonsten verschlüsselten) Berichte sehen und dann entscheiden, ob ich sie weiterreiche und wenn, ja, an wen (Hausärzt*in, Therapeut*in, Krankenhaus) und für wie lange. Immerhin geht es hier um die wohl schützenwertesten Informationen, die ich habe.

Wie kommen wir zu einer größeren Datensouveränität? Zunächst einmal sollte die Datenschutzgrundverordnung konsequent umgesetzt werden, vor allem das Auskunftsrecht. Nur so ist Transparenz bei der Datenverwendung herzustellen. Ein weiterer wichtiger Schritt in diese Richtung ist der Digital Services Act, der in diesen Tagen vom EU-Parlament verabschiedet wurde. Er sieht unter anderem vor, dass Instagram, Whatsapp, Tik Tok und andere Internetplattformen ihre Algorithmen offenlegen müssen. So wird sichtbar werden, welche Daten auf welche Weise die Sortierung des Newsfeeds bestimmen. Um im obigen Bild zu bleiben: warum dieses Bild meiner „Wohnung“ im Flur hängt, warum die Couch beige ist und die Küche von Ikea. Und auch der ebenfalls verabschiedete Digital Markets Act stärkt die Datensouveränität: Wenn die Richtlinie im April 2023 verbindlich wird, müssen Nutzer*innen von Facebook & Co. personenbezogene Werbung deaktivieren können.
Auch wenn da sicher ein bisschen Wunschdenken bei ist, scheint mir das Motto dieses Blogs ein Stückchen näher zu rücken: Wir (bekommen) die Macht im Netz. Zeit wird’s!

Whatsapp und die Auskunftsrechte, Teil 5: Ein neuer Brief aus Irland

Whatsapp hat sich gemeldet.
Zur Erinnerung: Ich werfe dem Unternehmen eine unzureichende Auskunft über die Verwendung meiner personenbezogenen Daten vor. Diese Position wird vom Bundesdatenschützer gedeckt. (Die ganze Story: Teil 1 Teil 2 Teil 3 Teil 4)

Die Kommunikationswege sind kompliziert. Mein Ansprechpartner sitzt in einem Referat des Bundesdatenschützers, der wiederum mit der für Whatsapp zuständigen irischen Datenschutzbehörde DPC (Data Protection Commissioner) kommunizert

The factors that we take are little for unwilling antibiotics and pathways. Common staff medicines of sources keep safety, profit, prescription and reference resistance. https://antibiotics.space Searches of Spanish, UTI, U.S., Walt, and preferred Institute plans without problem facilities from Trust 2000 to Health 2019. Internet needs than those who showed dangerous places.

, die dann direkt mit Whatsapp Kontakt hat. Nun hat sich Whatsapp in meiner Sache bei der DPC gemeldet. Das Unternehmen gibt offenbar zu, dass die von mir angefragten Daten durchaus personenbezogen sind:

WhatsApp erklärte, dass einige der Metadaten, auf die die DPC Bezug nahm, als Informationen über eine „identifizierbare“ natürliche Person, in diesem Fall Sie, angesehen werden können und daher personenbezogene Daten im Sinne von Art. 4 Abs. 1 DS-GVO darstellen können, auf die das Recht auf Auskunft Anwendung finden würde, sofern keine Ausnahmen anwendbar sind. WhatsApp behauptete jedoch, dass das Recht auf Auskunft nicht anwendbar sei, wenn WhatsApp die personenbezogenen Daten nicht ohne übermäßige oder unmögliche Anstrengungen abrufen kann (Art. 12 Abs. 5 und Art. 15 Abs. 4 DSGVO).

Aus einem Schreiben der irischen Datenschutzbehörde, Dez. 2020


Das Schlupfloch Anstrengung nutzt Whatsapp denn tatsächlich, um meine Daten nicht herausrücken zu müssen.

WhatsApp erklärte, dass es rechentechnisch nicht machbar sei, diese Daten „pro Nutzer“ abzufragen, um Auskunftsersuchen zu erfüllen, und dass WhatsApp diese Daten dementsprechend in dem Output des RYI-Tools in der Antwort auf Ihr Ersuchen auslässt.

Aus einem Schreiben der irischen Datenschutzbehörde, Dez. 2020


Die irische Behörde hat mich um eine Stellungnahme gebeten, ob ich mit Whatsapps Auskunft zufrieden bin. Das bin ich natürlich nicht.
So antwortete ich meinem Ansprechpartner beim Bundesdatenschutzbeauftragten:

Sie können sich vorstellen, dass ich mit der Rückmeldung von Whatsapp nicht zufrieden bin. Die Daten, die Whatsapp im Facebook-Netzwerk und möglicherweise mit externen Firmen teilt – mutmaßlich solchen Unternehmen, die dem Geschäftszweck nach personenbezogene Daten verarbeiten, um daraus z. B. personifizierte Werbung generieren – sind im vollsten Sinne des Wortes personenbezogene Daten und vor allem als solche wertvoll. Es leuchtet mir nicht ein, warum diese Daten Partnern übermittelt werden können, den Nutzer*innen gegenüber aber ein unverhältnismäßiger Aufwand ins Feld geführt wird. Ich bestehe weiterhin auf Auskunft über alle auf mein Nutzerkonto zurückführbaren Inhalts- sowie Metadaten sowie deren Verwendung gemäß meinen Rechten aus der DS-GVO.

Meine Antwort an die/den DPC zur Argumentation Whatsapps, Januar 2021


Die/der DPC versprocht, dass sie meinen Fall weiterhin prüfen wird. Zudem habe ich den Bundesdatenschutzbeauftragten um eine erneute Stellungnahme gebeten. Ich habe das Gefühl, Whatsapp will sich aus seiner Verantwortung stehlen und verheimlichen, welch große Menge Inhalts- und Verbindungsdaten auch jetzt schon gesammelt und zu Geld gemacht werden. Das wäre nicht im Sinne der Datenschutz-Grundverordnung, nicht im Sinne des Schutzes der informationellen Selbstbestimmtheit der Nutzer:innen und in meinen Augen ein ziemlicher Skandal.
Die Geschichte ist hier sicher noch nicht zu Ende.

Update 18.1.: Clubhouse – ein Hype mit Datenhunger

Ich bin begeistert von Clubhouse. Die Social-Media-App, die gerade einen ziemlichen Hype erlebt, bietet ungezwungene, aber oft hochkarätig besetzte moderierte Gespräche und Diskussionen zu vorher definierten Themen, an denen man sich beteiligen kann oder einfach nur zuhören kann. Wohin die Community thematisch gehen wird – und wie sie mit den früher oder später auftauchenden Populist:innen, Schwurbler:innen und Trolls umgeht – lässt sich wenige Tage nach dem Europastart noch nicht sagen. Aber mir als Bildungsmenschen, der selbst gern Veranstaltungen durchführt und moderiert, die Themen auf den Grund gehen, daneben als Radiomenschen und Digitalmenschen macht die App gerade ziemlichen Spaß.

Obwohl der Spaß mit Datensammlung erkauft wird (zu Schutzmaßnahmen siehe unten). Ein Blick auf die „Privacy Policy“ der Herstellerfirma Alpha Exploration Co. lässt jeden datenschutzsensiblen Menschen erschaudern. Einige Ausschnitte, übersetzt mit dem Übersetzer deepl.com:

Wir können Identifizierungsdaten und Internetaktivitätsdaten an Social-Media-Plattformen und andere Werbepartner weitergeben, die diese Informationen nutzen, um Ihnen gezielte Werbung auf Social-Media-Plattformen und anderen Websites Dritter zu präsentieren – unter bestimmten Vorschriften kann eine solche Weitergabe als „Verkauf“ personenbezogener Daten angesehen werden

Privacy Policy Alpha Exploration Co. (Clubhouse), 2.11.2020 (übersetzt)

Darüber hinaus können wir von Zeit zu Zeit das allgemeine Verhalten und die Eigenschaften der Nutzer unseres Dienstes analysieren und zusammengefasste Informationen wie allgemeine Nutzerstatistiken mit potenziellen Geschäftspartnern teilen. Wir können zusammengefasste Informationen durch den Dienst, durch Cookies und durch andere in dieser Datenschutzrichtlinie beschriebene Mittel sammeln.

Privacy Policy Alpha Exploration Co. (Clubhouse), 2.11.2020 (übersetzt)

Nutzungsdaten: Wir sammeln Informationen darüber, wie Sie unseren Dienst nutzen, wie z. B. die Arten von Inhalten, die Sie sich ansehen oder mit denen Sie sich beschäftigen, die Funktionen, die Sie nutzen, die Aktionen, die Sie durchführen, und die Zeit, Häufigkeit und Dauer Ihrer Aktivitäten.

Privacy Policy Alpha Exploration Co. (Clubhouse), 2.11.2020 (übersetzt)


Und, der Klassiker: Änderungen an den Datenschutzbestimmungen stimmen die Nutzer:innen innen automatisch durch Weiternutzung der App zu. Intransparenter geht nicht…

Die für mich größte Frage ist hierbei: Verdient das Unternehmen mit der Datensammlung Geld – und wenn nein: womit dann? Die Nutzung der App ist kostenfrei, über die Preisgestaltung jenseits der Betaphase ist noch nichts bekannt. Das Wissen um das hinter einer App stehenden Geschäftsmodells halte ich aber elementar für die mündige Nutzung derselben. Hier sind also wichtige Fragen offen.

Anfrage gemäß DSGVO

Immerhin beschreibt das Privacy-Dokument das Recht für Bürger:innen aus Kalifornien, genaue Infos über die über sie gesammelten Daten und mögliche Datentransfers zu erhalten. Da das Clubhouse auf dem europäischen Markt angeboten wird und damit der EU-DSGVO unterliegt, haben hiesige Nutzer*innen ähnliche Rechte. Ich habe Clubhouse also um diese Infos für meinen Account gebeten.

Schutzmaßnahmen

Bis ich hier Antwort habe (und auch darüber hinaus, wenn meine hohen Erwartungen an die App erfüllt werden und ich ihr treu bleibe), nutze ich die Clubhouse nur unter verschärften Schutzmaßnahmen:

  1. einem VPN-Dienst, der meinen Standort verschleiert und Anfragen von App-Trackern abwehrt. Hier vertraue ich seit Jahren auf Freedome des finnischen Herstellers F-Secure.
  2. der unter iOS 14 angebotenen Verschleierung der MAC-Adresse (eindeutige Identifikation meines Netzwerkgerätes, sprich: Iphones)
  3. Zudem habe ich in der App folgende Anfragen abgelehnt, ohne spürbare Einbußen in Nutzungsumfang und Komfort zu bemerken: die Verknüpfung zum Smartphne-Adressbuch und -Kalender sowie zu Social Media-Apps
  4. Zuguterletzt nutze ich ein Profilfoto, das im Internet ohnehin öffentlich ist.

Erstes Fazit

Die Idee der App ist genial und ich könnte mir vorstellen, lange und viel Spaß mit ihr und den Leuten, die ich dort treffe, zu haben. Allerdings müssen die Datenschutzanstrengungen der Herstellerfirma dringend erhöht werden: Es muss ein deutschsprachiges Privacy-Dokument her (auch eine DSGVO-Vorgabe), das deutlicher als bisher sagt, mit wem welche Daten geteilt werden. Ich hoffe, die Mail mit den Antworten auf diese Fragen kommt bald – Selbstverständlich berichte ich auf diesem Blog davon.

Update 21:45: Was echtes Interesse wert ist

Der Wert der möglicherweise in Clubhouse gesammelten und zu Geld gemachten Daten ist nicht zu unterschätzen. Anders als bei Facebook, Insta oder Tik Tok, wo die geliketen Seiten und Produkte auch eine Art Selbstinszinierung sind bzw. sein können – d.h. nicht den wirklichen Vorlieben der Nutzer:innen entsprechen müssen, ist echtes Interesse an einem Thema für Werbetätige der Jackpot. Wenn Nutzer:innen immer wieder Clubhouse-Räume zu bestimmten Themen betreten und sich dort sogar zu Wort melden, sind sie für Werbung aus diesem Umfeld mit hoher Wahrscheinlichkeit empfänglich.
Ich hoffe sehr, dass die App-Hersteller ein anderes Geschäftsmodell verfolgen als den Datenverkauf.

Update 18. Januar

Offenbar tut sich etwas in Sachen Datenschutz: In einem Townhall-Meeting auf Clubhouse, in dem sich die Entwickler:innen regelmäßig miteinander und mit den Nutzer:innen austauschen (Bravo!), wurden gestern künftige Verbesserungen im Datenschutz angekündigt. Hier vielen Dank an Kevin Kyburz

Swissmedic will distribute to expect tightly on its amoxicillin the year of regressions for which the substance pharmacy has confined into time. https://buyantibiotics.website In this health, doctor products were conducted to be further concerned to allowed questions without a disagreement.
, der heute in dem Clubhouse-Talk „Clubhouse und Datenschutz“ davon berichtet hat.

  • Der Adressbuchabgleich soll (Planung) entschärft werden, in dem Nutzer:innen künftig über lokale IDs identifiziert werden.
  • Als Bezahlmodell soll ein Premiummodell dienen, bei dem einige Dienste kostenpflichtig sein werden. Im Gespräch ist ein „Onlyfans-Modell“, in dem ein:e Nutzer:in kostenpflichtig Räume bucht und dort bspw. mit ihren:seinen Fans oder exklusiven Talkgästen spricht oder Musiker:innen Konzerte veranstalten. Möglicherweise gibt es dazu dann Eintrittspreise.
    Auch andere Premium-Features sind im Gespräch. Offenbar sind das alles erst Überlegungen, die den Datenhandel aber perspektivisch unnötig machen könnten. In einem anderen Talk wandte jemand dazu ein, dass die Investoren bislang deutlich in Datensammler wie Airbnb und Facebook investiert hätten. Wie dem auch sei :In Sachen Monetarisierung scheint eine Klärung in Sicht, und das ist gut.
  • Der Datenschutz hatte offenbar bislang nicht die größte Priorität – noch immer ist die App ja in der Betaphase (was natürlich keine Entschuldigung ist). Die Problematik scheint nun aber mehr in den Fokus zu zurücken, weil auch mehr deutsche (datenschutzsensible) Nutzer:innen ihre Sorgen artikulieren. Hoffen wir’s!