Das Auto als Datensauger

Ich habe ja schon einmal über die kruden “Datenschutzbestimmungen” bei Opel geschrieben. Diese stammen aus einem Fahrzeug aus 2011. Ich denke schon damals hätten sie einer gerichtlichen Überprüfung nicht standgehalten. Heutzutage ist nicht nur die Technik viel weiter, sondern auch der Datenschutz und das Verständnis dafür.

Ich frage mich, wie das heutzutage aussieht, bei Fahrzeugen, die voller Sensoren und Funkmodule stecken, wir andererseits die Datenschutzgrundverordnung (DSGVO) haben? Eigentlich müsste der Käufer ja umfassend aufgeklärt werden und ein Widerspruchsrecht eingeräumt werden. Und was passiert, wenn das Auto weiterverkauft wird? Der neue Besitzer hat ja keine Geschäftsbeziehung zu dem Hersteller. Wie soll dann eine Datenweitergabe gerechtfertigt sein? Müsste nicht sogar jeder Nutzer des Fahrzeuges über die Datensammelei aufgeklärt werden? Wer ist dafür verantwortlich? Wahrscheinlich haben die Hersteller irgendwo eine Klausel, dass der Besitzer, sowohl die Nutzer als auch spätere Käufer zu informieren hat.

So macht das ja auch WhatsApp. Die haben in ihren Nutzungsbedingungen drinstehen, dass mal als Nutzer die Erlaubnis von jedem Adressbucheintrag hat, die Daten an WhatsApp weiterzugeben. Natürlich hat das praktisch niemand. Aber als Geschädigter, also dessen Daten nun fröhlich von Facebook verarbeitet werden, soll man sich an die Personen wenden, die ihre Adressbücher freigegeben haben. Da man als WhatsApp-Nutzer aber keine Möglichkeit hat, die Datenweitergabe irgendwie einzuschränken, in dem man bestimmte Nutzer nicht freigibt, halte ich diese Regelung für unwirksam.

Mal sehen, wie sich das in den nächsten Jahren mit den Autos noch weiter entwickeln wird. Aber ich kann mir schon vorstellen, dass es auch einige Jubler geben wird, wenn vielleicht ein Verbrechen durch die Auswertung von PKW-Daten aufgeklärt wird. Es gab ja schon Fälle, in denen Daten eines Lautsprecher-Assistenten zu Klärung eines Mordfalls als Beweis gegen den Nutzer eingesetzt wurden.

Abzocke mit DSGVO

Viele kennen vielleicht die Abzockversuche, die vorzugsweise per Fax an Unternehmen gehen. Mal ist ein angeblicher Adressbuchverlag, mal ein Internetverzeichnis, mal eine Handelsregisterauskunft. Allen gemeinsam ist, dass diese Schreiben sehr unübersichtlich gestaltet sind und den Empfänger bewusst in die Irre führen sollen. Gerne wird auch Zeitdruck aufgebaut, dass man das ausgefüllte Formular schnell zurücksenden soll.

Auch der Absender ist so gewählt, daß er etwas anderes Bekannteres vortäuschen soll., etwa die Gelben Seiten oder die Deutsche Telekom. Auch wird oft auf dem ersten Blick der Eindruck einer Behörde erweckt.

Bei der Masche mit den Verzeichnissen wird auch mal so getan, als solle man nur kurz die angegebenen Daten überprüfen. Natürlich ist dort extra ein Fehler eingebaut, damit man die “Korrektur” schnell zurück schickt.

Irgendwo im Kleingedruckten steht dann, was das Fax eigentlich ist. Im rechtlichen Sinne soll es ein Angebot sein, welches man durch Rücksendung annimmt. Die tatsächliche Leistung die dahinter ist oft nichts wert, etwa lieblos gestaltete Webseiten, die nie eine Suchmaschine finden wird, auf denen die Unternehmensinformationen aufgelistet sind.

Heute kam hier ein Fax von der “Datenschutzauskunfts-Zentrale” rein. Auch hier soll der Anschein erweckt werden, es handele sich um eine offizielle Datenschutzbehörde.

In diesem Fall kommt hinzu erschwerend hinzu, daß die noch vielfach vorherrschende Unsicherheit um die Umsetzung der Datenschutzgrundverordnung (DSGVO) ausgenutzt wird.

Auch das Kleingedruckte verschleiert, worum es eigentlich geht. wer hier nicht richtig liest, denkt vielleicht, er sei verpflichtet dieses Fax zurück zu senden.

Leistungsübersicht /Leistungsdarstellung Basisdatenschutz

Seit dem 25.05.2018 gilt in Deutschland die EU-Datenschutzgrundverordnung (DS-GVO). Sie haben daher zwingend gewisse Grundanforderungen zu erfüllen, um die gesetzlichen Vorgaben einzuhalten, Ihr Unternehmen datenschutzkonform aufzustellen und Aufsichtsmaßnahmen der Behörde zu vermeiden. Folgende Daten werden von Ihnen erhoben und gespeichert: Rechtsform, Betriebsname, Betriebsstätte, Telefon, Telefax, Branche, E-Mail, Internetseite. Die in diesem Auftrag genannte Person/Unternehmen erwirbt das Leistungspaket Basisdatenschutz. Dieses beinhaltet Informationsmaterial, ausfüllfertige Muster, Formulare und Anleitungen zur Umsetzung der Vorgaben der DS-GVO. Basisdatenschutz-Beitrag jährlich netto, zzgl. Ust: Eur 498. Die Berechnung erfolgt jährlich. Leistungsinhalt: Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, Datenschutzerklärung für die Webseite, Checkliste für technische und organisatorische Maßnahmen, Umgang mit Betroffenenrechten und Erfüllung von Melde- und Informationspflichten. Bitte beachten: Ihre Bearbeitung erfolgt innerhalb weniger Werktage nach Rücksendung dieses behörden- und kammerunabhängigen Angebotes. Es besteht bisher keinerlei Geschäftsbeziehung. Durch die Unterzeichnung wird die Leistung für drei Jahre verbindlich bestellt.

Man bekommt tatsächlich also irgendwelche Standardblätter zum Datenschutz für netto 498,00 EUR pro Jahr; und zwar für gleich 3 Jahre. Für 1500 Euro kann man sich auch schon einen externen Berater ins Haus holen, der einen individuell berät.

Rechtlich dürfte das mehr als zweifelhaft sein. Alles ist darauf ausgelegt, die wahre Leistung, den Preis und auch den Vertragspartner zu verschleiern. In den AGB, die man sich runterladen kann, steht als Vertragspartner plötzlich auch nicht mehr ein Unternehmen in Oranienburg, sondern in Malta.

http://deutschland.datenschutz-auskunftszentrale-europa.com/allgemeinegfbedingungen.pdf

Ansonsten gibt es unter der Webadresse auch nichts weiter zu sehen. Ein halbwegs seriöses Unternehmen hätte hier irgendetwas stehen.

Ich verstehe nicht, warum es diese Branche noch gibt. Das sind für mich Betrüger, die Leute minderwertige Leistungen zu überhöhten Preisen anbieten. Die ganze Thematik ist nicht neu, die Masche gibt es seit vielen Jahren. Auch wenn die Hintermänner in Malta oder irgendwo anders zu finden sind, die müsste man deren doch spätestens anhand des Geldflusses auf die Schliche kommen.


Update 08.10.2018

Gegen den Versender gibt es eine einstweilige Verfügung.

Sparkasse nervt mit Opt-In-Forderung

Seit einiger Zeit nervt mich meine Bank beim Onlinebanking mit einem Popup, welches von mir mir möchte, daß ich doch bitte einwillige, das doch bitte Werbeanrufe, Werbemails und so weiter zulasse.

Leider gibt es keine Möglichkeit diese Nachfrage dauerhaft zu deaktivieren. Es kommt bei fast jedem Login neu hoch.So funktioniert Opt-In nicht.

Liebe Sparkasse, vielleicht möchte ich einfach nicht eure “passgenauen Angebote”?

Vor Jahren haben die mich auch schon mal telefonisch genervt. Ihnen fehle meine Einwilligung und sie dürften mich zukünftig mit keinen Werbeanrufen mehr “beglücken”. Prima, dachte ich da. Endlich hören die störenden Anrufe auf.

Zeugen Jehovas und die DSGVO

Bei uns zu Hause tauchen die Zeugen Jehovas regelmäßig auf. Ich hatte noch nie mit deren Hausbesuchen Bekanntschaft gemacht, ich hielt das irgendwie immer für eine moderne Legende. Aber meine Frau durfte denen schon ein paar Mal die Tür aufmachen. Neulich kamen statt der zwei Frauen zwei Männer und fragten, ob wir generell keine Besuche von den Missionaren wünschten. Das hat meine Frau so nie gesagt. Wenn ich aber denen begegnet wäre, hätte ich das sicherlich getan, so wie ich das auch immer bei unerwünschten Werbeanrufen tue.

Die beiden Herren bezogen sich auf die Datenschutzgrundverordnung (DSGVO) und meinten, wenn wir gar keine Besuche mehr wünschten, dann müssten sie unsere Daten aufnehmen und speichern, und für diese Speicherung benötigen sie nun unsere Zustimmung. Meine Frau hat uns dann doch auf die “schwarze Liste” setzen lassen. Ist aber schon komisch, daß jemand, mit dem man nichts zu tun haben möchte, Daten über einen speichert. Die datenschutzrechtlich korrekte Vorgehensweise wäre übrigens, vorher zu fragen, ob man Besuche haben möchte und dann diese Daten zu speichern (“Opt-In”). Außerdem müssten sich die Zeugen Jehovas datensparsam verhalten. Sie müssten keine Namen aufnehmen, da in unserem Falle (Einfamilienhaus) die Adresse schon ausreicht um den negativen Missionierungswunsch zu speichern.


Nachtrag 30.08.2018

Bei Golem habe ich noch einen passenden Artikel gefunden.

Rückblick Datenschutzgrundverordnung

Nun ist seit über 6 Wochen die Daten die Datenschutzgrundverordnung (DSGVO) in Kraft. Davor war sie wochenlang das Thema Nummer eins und nun ist es erstaunlich still geworden. Die Welt ist nicht untergegangen. Es gab zwar ein paar zweifelhafte Abmahnungen skrupelloser Geschäftemacher. Die große Abmahnwelle ist wohl glücklicherweise ausgeblieben. Erstaunlich wenn für viele Firmen im Vorfeld nicht direkt die DSGVO das Hauptproblem bedeutete, sondern die Gefahr Abmahnopfer zu werden, da die konkrete Umsetzung einige Unklarheiten offen lässt, und windige Anwälte darin eine gute Einnahmequelle sehen könnten. Daran sieht man doch, dass das deutsche Abmahnwesen völlig krank ist.

Aber zurück zum Datenschutz. Ich habe das Gefühl, dass der Datenschutz jetzt noch häufiger als angeblicher Grund vorgeschoben wird, wenn man etwas nicht machen möchte oder nicht kann. “Datenschutz, sie wissen schon” ist schon so eine Dauerentschuldigung geworden wie das gute alte “Wir stellen gerade auf SAP um”, womit man wochenlange Handlungsunfähigkeit von Unternehmen verbindet. Viele sind davon schon genervt; auch von den ganzen Hinweisen und Meldungen, die man im Internet wegklicken muss. Leider scheint sich kaum einer dafür zu interessieren, was er da eigentlich wegklickt oder besser gesagt bestätigt. Vielleicht wäre es auch mal klug zu hinterfragen, warum eine Nachrichtenseite Informationen über mich an X verschiedene Trackingunternehmen weitergeben muß. Vielleicht sollte man mal das ganze Modell mit der personalisierten Werbung in die Tonne treten. Das würde dem Datenschutz schon gewaltig helfen und die Seiten würden schneller laden, wenn nicht zig externe, teils obskure, Quellen eingebunden werden.

Eine Internetseite sollte überhaupt schlank aufgebaut sein, mit möglichst wenig Drittquellen, dann fällt die Datenschutzerklärung auch gleich mal wesentlich kürzer aus. Wenn man zu zu vielen Bestätigungklicks gezwungen wird, sollte man den Websitebetreiber mal darauf hinweisen, dass er doch mal lieber die Website datensparsamer umbauen sollte.

Erstaunlicherweise habe ich in den letzten Wochen wenig von den “Daten-sind-das-neue-Öl”-Rufern gehört. Müssten die sich nicht mal langsam Gedanken über ein neues Geschäftsmodell machen?

Facebook

tldr: Ich mag kein Facebook

Ich bin und war nie bei Facebook (FB) angemeldet. Aber trotzdem führt Facebook über mich ein sogenanntes Schattenprofil. Die haben meine E-Mail-Adresse und wissen mit wem ich befreundet bin. Wie sie an die Daten kommen? Schon länger gibt es bei FB die Möglichkeit seine E-Mail-Adressbücher hochzuladen; ich glaube diese Funktion nennt sich “Freundefinder”. Nahezu jeder Messenger hat auch diese unangenehme Eigenschaft. Die Betreiber berufen sich dann immer auf den Nutzer, der in AGB bestätigt hat, dass er die Erlaubnis eines Jeden hat, die Kontaktdaten weiterzuleiten. Tatsächlich dürfte das in mindestens 99,9% der Fälle nicht stimmen. Mich hat noch nie jemand nach einer Zustimmung gefragt.

Irgendwann bekam ich dann mal eine E-Mail von FB, daß sich jetzt Person A bei Facebook angemeldet hat und mich einlädt auch dort Mitglied zu werden. Und dann stand da noch, daß ich vielleicht auch die Personen B und C kenne. Die seien ebenfalls bei FB. Alle drei kannten mich, sich aber nicht untereinander. Da war klar, daß mehrere Leute ungefragt meine Kontaktadresse an die Datenkrake weitergeleitet haben und FB hat einen Knoten im Netz, von einem User, der nicht registriert ist. Dort zu widersprechen halte ich nicht für aussichtsreich, da ich sicherlich zur Überprüfung meiner Legitimation noch mehr Daten von mir Preis geben muß. Ich glaube nicht daran, daß FB überhaupt irgend etwas löscht, auch wenn sie dazu verpflichtet wären. Diesen Internet-Klitschen traue ich keinen Millimeter.

Ich finde es auch bedenklich, daß FB in unterentwickelten Länder der Bevölkerung kostenlos/preiswert einen Netzzugang anbieten will. Dieser Zugang bezieht sich allerdings nicht auf das Internet, sondern nur auch FB-Inhalte. Mitte/Ende der Neunziger hatten wir schon mal die Situation mit eingeschränkten Diensten. Das war die große Zeit der Onlinedienste. Unternehmen wie Compuserve, AOL oder T-Online waren damals diejenigen, die den Leuten einfach einen Online-Zugang anbieten wollten. Das hat auch zeitweise geklappt. Die Online-Dienste waren ihre eigene Welt und der Zugangsanbieter hatte gleichzeitig die Kontrolle über die Inhalte. Irgendwann begriffen die Leute aber, daß es “da draußen” noch viel mehr gibt. “Da draußen” war das richtige Internet. Die User wollten dann auch ins Internet gehen und so schufen die Onlinedienste Tunnel, um das ganze Internet zu erreichen. Dieser Schritt läutete allerdings auch das Ende der Online-Dienste an, da kaum noch Leute die Inhalte des Dienstes abgerufen haben und sie nur noch reiner Zugangsanbieter waren. Andere Anbieter waren auch diesem Gebiet aber deutlich preisgünstiger. So daß AOL und Compuserve irgendwie in der Bedeutungslosigkeit verschwanden. Einzig T-Online konnte sich noch etwas halten, dank des Quasi-Monopols und der Tatsache, daß jeder Telefon-Kunde, ob er nun wollte oder nicht, ein T-Online-Account bekam; sogar wenn man diesem explizit widersprach.

Zurück zu Facebook: Ich kann es auch absolut nicht verstehen, wenn Unternehmen nicht ihre eigene Homepage betreiben, sondern nur eine FB-Seite. Eine eigene Homepage kostet bei vielen Providern und wenige Euro im Monat, inklusive eigener Domain und E-Mail-Adressen. Die Inhalte kann man sich auch recht schnell zusammenklicken. Eigentlich jeder große Anbieter hat so einen Baukasten. Und vor allem finde ich es mehr als ironisch, wenn Unternehmen ihre Homepage wegen der DSGVO schliessen und dann zu Facebook gehen. Wenn denen die DSGVO zu kompliziert ist, wie können sie dann die Nutzungsbedingungen von Facebook verstehen? Die sollen auch nicht denken, daß ja mit FB ein großer Konzern dahintersteht, der bestimmt alles richtig macht und die Nutzer beschützt. FB interessiert sich doch nicht für den einzelnen Nutzer. Denen ist die Dönerbude oder die Änderungsschneiderei im Zweifelsfall so egal.

Ich weiß auch nicht, was man mit solchen Unternehmen macht. Soll man ihnen die Alternativen aufzeigen oder sie gleich boykottieren, weil sie Kunden und Interessenten zu Nutzung dieser dieser Datenkrake zwingen?

Paypal-Security-Fail

Überall wird vor Phishing-Mails gewarnt; zu Recht. Oft lassen sich echte Mails nur schwer von Phishing-Mails unterscheiden. Die korrekte Ansprache mit Namen ist nur ein Indiz. Allerdings auch kein sicheres. So wurden ja umfangreiche Datensätze bei einem Hack bei Ebay entwendet. Darunter auch meine Daten. Zunächst kam eine E-Mail rein, die recht schlecht gemacht war. Stutzig machte mich aber die korrekte Postanschrift, sogar eine Telefonnummer war dort angegeben. Anhand dieser Telefonnummer konnte ich schließen, daß die Daten von Ebay stammen, da ich dort eine spezielle Rufnummer hinterlegt habe.

Wichtig ist auch immer zu erkennen, wohin die Links führen. Manche E-Mail-Clients zeigen nicht ohne weiteres den korrekten URL an.

Ich bekam ab und zu eine E-Mail, daß ich meine monatliche PayPal-Kontoübersicht abrufen sollte. Ich hielt das eine ganze Zeit für einen Phishingversuch, da die Links weder zu paypal.com noch zu paypal.de führten, sondern zu paypal-communication.com. Diese Mails sind aber doch von Paypal (PP). Das geht in meine Augen gar nicht. Da legt Paypal sich selbst ein Ei. Wenn sogar die eigenen Mails einen Phishing-Verdacht auslösen, weil man sich nicht an einfachste Grundsätze hält, dann behindert man als Unternehmen das erkennen von Phishing-Mails und fördert so den Betrug durch falsche Mails.

Ich habe für mich als zusätzliche Sicherheitsmaßnahme für jeden Anbieter, für jedes Forum, für jede Registrierung eine eigene E-Mail-Adresse. Das ist ein weiteres Hilfsmittel um die Echtheit der E-Mail zu erkennen.

Paypal ist sowieso ein zweifelhafter Laden. Die Idee Zahlungen übers Internet abzuwickeln ist ja gut und wenn Paypal funktioniert, dann geht es auch schnell. Aber muß ein Zahlungsdienstleister, der sogar eine Banklizenz besitzt, die Daten der Kunden großzügig in der Welt verteilen? Einer richtigen Bank hätte man schon längst auf die Füße getreten, wenn die die Zahlungen der Kunden auswerten und die gewonnenen Informationen an Werbekunden verkaufen würde.

Auch sperrt PP gerne mal Nutzer, weil die sich nicht an das US-amerikanische Recht halten, auch wenn die Zahlungen zum Beispiel nur zwischen deutschen Nutzern verschickt werden. Als US-Unternehmen unterwirft es sich den Embargos gegen diverse Länder. Die PP-Nutzer dürfen daher auch nicht gegen diese Vorschriften verstossen. Wenn dann ein Kundenkonto gesperrt wurde, ist auch erst einmal das Geld eingefroren. Ob das rechtlich OK ist, bezweifle ich mal stark. Denn Paypal sperrt gerne und oft Konten, zum Beispiel bei “ungewöhnlichen Aktivitäten”. Das können etwa Zahlungseingänge sein, die es in der Vergangenheit nicht gegeben hat. Wenn man also gerade mal etwas Geld braucht, ein paar Sachen verkauft und die Zahlungen über PP abwickelt, genau dann wird das Konto und das Guthaben gesperrt.

Häufig muß man sich gegenüber PP dann legitimieren. Zumindest früher ging das, wie für US-Unternehmen üblich, über die Telefonrechnung, schließlich kennen die Amis ja nicht so etwas wie Personalausweise.

Ich bin zwar noch bei Paypal, versuche aber ohne diesen Laden auszukommen. Gerade bei Ebay ist das schwierig, da dort auch viele andere Zahlungsarten (etwa Kreditkartenzahlung) über den Dienstleister Paypal abgewickelt werden. Letztens habe ich übrigens eine Bestellung in einem Online-Shop per Vorkasse bezahlt. Am gleichen Tag überwiesen, am nächsten Tag ist das Geld eingangen und die Ware wurde verschickt. Mit PP wäre das auch nicht schneller gegangen.

Der BND darf uns weiterhin alle bespitzeln

Letzte Woche kam es zu einer Gerichtsverhandlung vor dem Bundesverwaltungsgericht. Der Betreiber des weltweit größten Internetknoten DE-CIX hat geklagt, weil er verpflichtet wurde, dem Bundesnachrichtendienst (BND) Zugang zu den durchgeleiteten Daten zu ermöglichen. Das bedeutet nicht nur einen enormen technischen Aufwand, sondern auch einen ungeheuren Grundrechtseingriff. Fast alle Provider sind am DE-CIX angeschlossen, so daß man ausgehen kann, daß ein Großteil des deutschen Internet-Traffics über diesen Knoten geht. Zum überwiegenden Teil Traffic deutscher Nutzer. Nur kurz zur Erinnerung: Der BND ist eigentlich ein Auslandsnachrichtendienst. Die Überwachung im Inland unterliegt gewissen Beschränkungen, die rechtlich fraglich sind. Das anlasslose Massenüberwachung ist in dieser Form sicherlich verfassungswidrig.

Das Bundesverwaltungsgericht hat nach einer nur kurzen Anhörung innerhalb weniger Stunden für diese Überwachungsmaßnahme entschieden. Ich bezweifle mal, daß das Gericht sich überhaupt mit dem Ausmaß der Überwachungsaktion und den technischen Gegebenheiten eingehend beschäftigt hat.

Der DE-CIX-Betreiber hat nun aber schon angekündigt, vor das Bundesverfassungsgericht oder den Europäischen Gerichtshof für Menschenrechte zu ziehen.

Ein paar Worte zur DSGVO

Seit knapp einer Woche ist die Datenschutzgrundverordnung (DSGVO) wirksam. Vor allem kurz vor Schluss wurde es auf allen Seiten hektisch bis panisch. Ja, auch ich hatte damit beruflich zu tun und auch hier im Blog habe ich Anpassungen vorgenommen.

Meine Einschätzung ist das vielleicht kleine Änderungen hie und da notwendig, der grundsätzliche Ansatz ist aber richtig.

Endlich machen sich die Leute mal Gedanken, welche Daten sie haben, woher sie sie haben, warum sie sie haben und was mit diesen geschieht. Eigentlich war das schon vorher notwendig, nun muß das aber dokumentiert werden. Und die Daten müssen auf ein Mindestmaß begrenzt werden.

Wenn ich dann Jammern höre, wie etwa dass ein Sportverein, nun Probleme bekommt, weil er die Mitgliederverwaltung nicht mehr in Google Docs machen kann und Ergebnisse ohne Erlaubnis der Betroffenen nicht mehr im Internet veröffentlichen kann, dann denke ich, daß es auch schon vor der DGSVO nicht in Ordnung war. Hat man etwa den Namen einer Person in einer Suchmaschine eingegeben, so erhielt man dort viele Treffer von Sportergebnisseiten. Die Nutzung von Google Docs hielt ich auch vorher schon für inakzeptabel. Zum einen weil man sich von einem kommerziellen Unternehmen abhängig macht, der seine Dienste von heute auf morgen nach Belieben einschränken oder einstellen kann und zum Anderen weiß man nicht was mit den gespeicherten Daten passiert. Personenbezogene Daten sollte auch ein Verein schützen und nicht jedem x-beliebigen Online-Werbe-Anbieter in den USA vor die Füße werfen.

Es gibt Alternativen, auch moderne Alternativen, die den Papierkram verringern. Man kann etwa Nextcloud nutzen, dafür gibt es auch Office-Apps. Wenn man dafür eine eigene Hardware aufsetzt oder mietet, erhält auch kein Dritter Zugriff auf die Daten. Die Administration kostet zwar auch Zeit, aber wenn das zu viel ist, hat man ja auch immer noch die analoge Lösung. Und dort würde auch keiner die Mitgliedslisten etwa an Bertelsmann weitergeben.

Ich habe nur das Gefühl, daß die DSGVO für Internetriesen wie Google, Facebook, Apple und Microsoft eher ein geringes Problem darstellt. Sie sammeln weiter fleißig Daten und erklären dann dass sie das müssen, das sei ja schließlich ihr Geschäftszweck. Eine Datenschutzerklärung soll auch einfach und kurz sein, nur wird diese bei den Datenvermarktern wieder so umfangreich aussehen, weil sie die Daten halt so oft weiterreichen, daß am Ende doch wieder kaum jemand die Datenschutzerklärungen lesen wird.

Auch auf der anderen Seiten sehe ich noch Probleme mit der DSGVO. Dem privaten Webseitenbetreiber fehlen einfach Erklärungen und Handreichungen, wie er seine Website DSGVO-konform aufsetzt. Hier könnten die Provider Hilfestellung leisten. Allerdings traut sich aktuell niemand verbindliche Aussagen zu treffen, da unklar ist, die Gerichte im Zweifelsfall die Rechtslage auslegen. Der kleine Website-Betreiber sollte sich meiner Meinung davon ausgehen, daß die Rechtslage auch ihn voll betrifft.

Schon in der Vergangenheit haben deutsche Gerichte stets zu Lasten von Privatmenschen im Internet entschieden. Oft wurden sie als gewerblich eingestuft, was zu besonderen Verpflichtungen führt, ob nun auf der Homepage oder etwa beim Verkauf  alter Sachen bei Ebay. Dabei ging es meistens nicht um den Schutz von zum Beispiel Verbraucherrechten, sondern vor allem um Abzocke durch Abmahner und im Falle von Ebay um die Versteuerung von kleineren Verkaufserlösen.

Im Zweifelsfall lieber etwas mehr machen und wenig Angriffsfläche bieten.

Übrigens: Es gibt einen sehr guten Dokumentarfilm über die Entstehung der DSGVO: Democracy – Im Rausch der Daten (noch bis 24.06.2018 in der Arte Mediathek verfügbar). In diesem Film wird vor allem Jan-Philipp Albrecht begleitet, der Entstehungsprozeß geführt hat. Man kann gut sehen, wie die Europäische Gesetzgebung funktioniert und vor allem wie von allen möglichen Seiten Einfluss auf die Entscheider genommen wird.

Unkontrollierte Onlinewerbung

Beim Thema Onlinewerbung erwähnen die Kritiker auch immer wieder daß, über Werbebanner auch Schadcode auf Rechnern eingeschleust werden kann. Die Betreiber der Seiten, die Werbung schalten, reden sich dann immer damit raus, daß die Werbung ja nicht von ihnen kommen, sondern von den Anzeigenvermarktern und die seien in der Pflicht Anzeigen auf Schadcode zu prüfen.

In der Praxis ist in der Kette aber nicht nur ein Vermarkter enthalten, sondern gleich eine ganze handvoll. Der Seitenbetreiber bindet beispielsweise ein Werbenetzwerk ein. Die wird geguckt, welche Trackinginformationen über den Besucher vorliegen oder ermittelt werden können und damit startet eine ganze Kaskade. Nun wird wird der Werbeplatz innerhalb von Sekunden “versteigert”, oft über mehrere Ebenen. Derjenige der den besten Preis bietet, bekommt den Werbeplatz und darf den Code platzieren.

Man muß sich das mal auf die Offline-Welt übersetzt vorstellen. Beim Kauf einer Zeitschrift telefoniert der Kioskbetreiber wild in der Gegend rum, um zu sagen, dass eine bestimmte Person dabei ist ein Magazin zu kaufen. Er teilt den Werbeanbietern alle möglichen Daten mit (Alter, Geschlecht, Kleidung, Aussehen, Zahlungsweise, andere Produkte die gleichzeitig gekauft werden). Vielleicht kennt der Kioskbesitzer den Käufer aber auch schon von früheren Einkäufen, dann teilt er auch das telefonisch mit. Am Ende klebt er die Anzeigen in die Zeitschrift, für die das meiste Geld geboten wurde. Der Herausgeber der Zeitschrift weiß nichts davon, in welchem Werbeumfeld nun seine Artikel präsentiert werden.

Unmöglich? In der Kohlenstoffwelt ja, aber online ist das gang und gäbe.