Tag Archives: Tracking

Tracking und Profiling – online und offline

Dass die Online-Welt immer mehr mit der Offline-Welt zusammenwächst, zeigt sich auch in der immer schnelleren Entwicklung von Techniken zur Beobachtung und Ortung von Menschen und der Verfolgung ihrer Bewegungen zu den verschiedensten Zwecken. Lange Zeit wurde dieses Thema ausschließlich bezogen auf die Internet-Nutzung diskutiert. Inzwischen jedoch haben die Anbieter von Internet-Inhalten erkannt, dass Online-Profile sehr viel aussagekräftiger werden, wenn sie zum einen das Verhalten der Nutzer webseitenübergreifend abbilden und zum anderen auch ihr Verhalten offline miteinbeziehen.

Zu diesem Thema veranstaltete die Europäische Akademie für Informationsfreiheit und Datenschutz am 23. November 2016 im Abgeordnetenhaus von Berlin einen Workshop, an dem auch zahlreiche ausländische Experten teilnahmen, die sich an der vorausgegangenen Herbstsitzung der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation (sog. Berlin-Group) beteiligt hatten.

Zunächst berichtete Tobias Judin von der norwegischen Datenschutzaufsichtsbehörde Datatilsynet über die Ergebnisse einer Prüfung diverser Tracking-Technologien, die in Norwegen in öffentlich zugänglichen Bereichen eingesetzt werden. Diese reichen von WiFi-Netzen über Bluetooth-Technologie und den Einsatz von Beacons in Ladengeschäften bis hin zu intelligenter Videoanalyse, die über den Einsatz herkömmlicher Kameras weit hinausgeht. Judin erläuterte die Einordnung dieser Technologien nach norwegischem Recht, die sich durchaus auf andere europäische Länder übertragen lässt. Er bezeichnete die Transparenz beim Einsatz solcher Technik durch Unternehmen als essentiell als notwendig, wenn auch nicht als hinreichend. Darüber hinaus sei die informierte Einwilligung der Betroffenen einzuholen. So ist der Betreiber einer Ladenkette, der seine Kunden in den Geschäften lokalisieren lassen und über eine App gezielte Angebote machen will, dazu verpflichtet, sowohl elektronisch in der App als auch in den jeweiligen Geschäften durch analoge Hinweise auf diese Ortungsmöglichkeit hinzuweisen, um den Kunden eine Entscheidung zu ermöglichen, ob sie davon Gebrauch machen wollen. Für den Einsatz intelligenter Videoanalyse müssen – so Judin – nach norwegischem Recht strengere rechtliche Voraussetzungen erfüllt sein als für WiFi- und Beacon-Technologie.

Achim Klabunde, Leiter des IT-Bereichs beim Europäischen Datenschutzbeauftragten, widmete sich der technisch unterstützten Beobachtung durch öffentliche Stellen. Soweit es sich dabei um EU-Institutionen handelt, werden sie vom Europäischen Datenschutzbeauftragten kontrolliert. Dabei sparte er die öffentliche Sicherheit und Grenzkontrollen aus und konzentrierte sich auf die Beobachtung der Internet-Nutzung durch Unionsbehörden. Er beleuchtete die Reichweiten-Analyse und die Nutzung von sozialen Netzen, wobei er die neueste Entscheidung des EuGH zum Personenbezug von IP-Adressen und die festgestellte Unvereinbarkeit des deutschen Verbots der Speicherung von Nutzungsdaten für Sicherheitszwecke nach dem TMG mit in seine Analyse einbezog.

Die Perspektive der US-Federal Trade Commission beleuchtete in einem Video-Statement der Guilherme Roschke, Counsel for International Consumer Protection der FTC. Er schilderte die umfangreichen Aktivitäten der FTC im Zusammenhang mit verschiedenen Formen des geräteübergreifenden Online-Tracking durch Internet-Unternehmen, die ihre Kunden darüber entweder überhaupt nicht oder irreführend informieren. Dies reicht von „history sniffing“, bei dem die Nutzungshistorie des Browsers ausgelesen wird, bis hin zur unbemerkten Herstellung von Internet-Verbindungen durch moderne Fernsehgeräte, ein Thema, das auch in Deutschland für Diskussionen gesorgt hat. Bemerkenswert war die Aussage, dass die FTC – wie auch die europäischen Datenschutzbehörden – der Auffassung ist, dass Daten, die mittels technischer Identifikationsmerkmale wie der IP- oder der Mac-Adresse zur Personalisierung verwendet werden können, nicht generell als anonyme Daten anzusehen sind.

Abschließend berichtete Frank Wagner von der Deutschen Telekom über den gegenwärtigen Stand der internationalen Diskussion über den Do-Not-Track-Standard. Das World Wide Web Consortium (W3C) hat vor mehreren Jahren hierzu eine Arbeitsgruppe eingesetzt, die inzwischen mehrere Entwürfe für ein browsergestütztes Verfahren vorgelegt hat, mit dem Nutzer den von ihnen besuchten Webseiten mitteilen können, ob sie eine Speicherung ihrer Nutzungsdaten nach Ende der Nutzung akzeptieren oder nicht. Während die US-Internet-Wirtschaft offenbar kein Interesse an einem solchen Standard hat und das W3C deshalb Ende 2016 die Arbeiten daran einstellen wird, erläuterte Wagner die Absicht der Deutschen Telekom, gemeinsam mit anderen europäischen Stakeholdern dafür werben zu wollen, dass die Datenschutzbehörden in der Union den Do-Not-Track-Standard als eine Möglichkeit der informierten Einwilligung nach der Datenschutz-Grundverordnung qualifizieren.

 

Alexander Dix

Konsultation der EU-Kommission zur ePrivacy-Richtlinie: Vertraulichkeit und Sicherheit der elektronischen Kommunikation stärker schützen

Presseerklärung

Europa muss die Vertraulichkeit und Sicherheit der elektronischen Kommunikation stärker schützen

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) ist der Auffassung, dass es weiterhin besonderer Regelungen bedarf, die den Datenschutz für die elektronische Kommunikation in Europa sicherstellen. Darauf weisen der ehemalige Berliner Datenschutzbeauftragte Alexander Dix und der ehemalige Bundesdatenschutzbeauftragte Peter Schaar hin, jetzt Vorstandsmitglieder der Europäischen Akademie für Informationsfreiheit und Datenschutz. Die EAID-Stellungnahme erfolgte im Rahmen einer von der EU-Kommission durchgeführten Konsultation zur Evaluierung der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie,  2002/58/EC). Die Kommission hat für Mitte 2017 einen entsprechenden Reformvorschlag angekündigt.

Angesichts der zentralen Bedeutung der elektronischen Kommunikation und der zunehmenden Risiken ihrer Überwachung und der umfassenden Registrierung des Kommunikationsverhaltens muss die Europäische Union dafür sorgen, dass die Vertraulichkeit und Sicherheit von technisch vermittelter Kommunikation stärker und effektiver als bisher geschützt wird.

Die Datenschützer betonen, dass europarechtliche Vorgaben zum Datenschutz bei elektronischen Kommunikationsdiensten durch den Erlass der Datenschutzgrundverordnung nicht überflüssig geworden sind. Die gegenwärtigen Vorgaben bedürfen allerdings einer grundlegenden Überarbeitung. Nur so lassen sich der Schutz der Kommunikationsdaten und des Fernmeldegeheimnisses auch in Zukunft auf hohem Niveau gewährleisten.

Es muss sichergestellt werden, dass die künftige Regelung zum Datenschutz bei der elektronischen Kommunikation auch für die Anbieter von sog. „Over-The-Top“ (OTT-)-Diensten wie Internet-Telefonie und Instant Messaging und anderen Diensten der Informationsgesellschaft gilt. Auch sollte das Telefonmarketing europaweit ebenso die Einwilligung des Angerufenen voraussetzen wie die Versendung von kommerziellen Nachrichten in sozialen Netzwerken, die nicht anders als Werbe-Mails behandelt werden dürfen (Opt-In-Prinzip). Schließlich muss jeder das Recht haben, seinen Kommunikationsverkehr (sein Heimnetzwerk, seine E-Mails, Smartphones und Datenträger) durch Passörter und Verschlüsselung zu sichern. Anbieter von Kommunikationsdiensten sollten verpflichtet werden, entsprechende Sicherheitsmaßnahmen zumindest anzubieten.
Angesichts der zunehmenden Bedeutung vermeintlich „kostenloser“ Dienste, welche die Nutzer tatsächlich mit ihren personenbezogenen bezahlen, verweisen die Datenschützer auf die Gefahr, dass der Datenschutz zum Luxusgut für Vermögende wird. Deshalb sollten existenziell bedeutsame Dienste im Sinne eines Universaldienstes kostenlos und ohne überschießende Datensammlung angeboten werden. Die Verarbeitung personenbezogener Daten muss sich hier ausschließlich auf das zu ihrer Erbringung erforderliche Maß beschränken. Cookies von Drittanbietern sollten stets standardmäßig deaktiviert und auch andere Techniken zum Tracking und Targeting nur mit ausdrücklicher Zustimmung der Nutzer eingesetzt werden.
Zur Sicherung einer einheitlichen Rechtsdurchsetzung sollten in allen Mitgliedstaaten die Datenschutzbehörden für die Umsetzung des künftigen Rechtakts zum Datenschutz bei elektronische Kommunikation zuständig sein, die im Europäischen Datenschutzausschuss für eine einheitliche Rechtsanwendung sorgen. Damit würden die bisherigen  Zuständigkeitsprobleme und Rechtsunsicherheiten behoben, die weder für die Nutzer noch für die Unternehmen nachvollziehbar sind.

Kontakt: dix@eaid-berlin.de

V.i.S.d.P.: Dr. Alexander Dix, Europäische Akademie, für Informationsfreiheit und Datenschutz, Bismarckallee 46/48, 14193 Berlin

Facebook: Jede große Reise beginnt mit einem kleinen Schritt

Zunächst einmal herzlichen Dank für die Kommentare zu meiner Ankündigung, Facebook zu verlassen, die ich inzwischen umgesetzt habe.

Ich will hier eine kurze Erläuterung nachreichen: Es war immer mein Anliegen, nicht nur über den Datenschutz zu theoretisieren, sondern auch praktische Erfahrungen zu sammeln. Manches stellt sich nunmal aus der User-Sicht anders dar als von den rechtlichen Höhen der Datenschutzaufsicht. Dabei war mir natürlich seit langem klar, dass die Praxis von Facebook zur Realnamenspflicht und die Profilbildung  den Vorgaben des deutschen Telemediengesetzes nicht entspricht.

Die geänderten FB-Nutzungsbedingungen gehen jedoch darüber hinaus, denn FB räumt sich darin das Recht ein, uns auch außerhalb  seines Dienstes zu beobachten, unser Surfverhalten zu registrieren und sich auf dem den von uns verwendeten Geräten nach anderen Apps umzuschauen. Dies überschreitet aus meiner Sicht jedes akzeptable Maß und entspricht auch nicht den Vorgaben des Europäischen Datenschutzrechts, zu dessen Einhaltung sich FB eigentlich verpflichtet hat – und verpflichtet ist (Sitz der FB Inc.: Dublin). Dies gilt auch für die  „Einwilligung“, die dann als erteilt gilt, wenn man den Dienst nach dem Inkrafttreten der geänderten Regeln weiter nutzt. Diese Einwilligung ist aus meiner Sicht unwirksam, denn gerade bei einem marktbeherrschenden Unternehmen kann von der durch die EG-Datenschutzrichtlinie Freiwilligkeit der Einwilligung keine Rede sein. Auch die Vorstellung, allein durch die Dienstenutzung mit allem einverstanden zu sein, erscheint mir – insb. angesichts der Komplexität der Datensammlungen und -verarbeitungsvorgänge – nicht tragbar.

Daran ändert auch die neu eingeführte Wahlmöglichkeit nichts, keine verhaltensspezifisch personalisierte Werbung mehr zu erhalten. Dies ist lediglich ein Opt Out bezüglich der Werbezusendungen, ändert aber nichts an der Beobachtung und Profilbildung. Und die Möglichkeit, bestimmte Werbung „abzuwählen“, führt nicht etwa zu weniger Beobachtung und Registriereung sondern fügt unserem Profil weitere Elemente hinzu.

Für mich war mit den neuen Nutzungsbedingungen eine rote Linie überschritten. Ich werde also in Zukunft ohne FB auskommen müssen, jedenfalls solange der Dienst seine Praxis nicht wesentlich ändert, woran ich derzeit eher zweifele. Schön wären allerdings auch die hier im Forum diskutierten Projekte datenschutzgerechter Alternativen. Ich habe vor, mich demnächst etwas intensiver im Netz umzusehen – es würde mich wundern, wenn es derartige Ansätze noch nicht gibt. Von einigen, etwa Diaspora, hat man ja schon gehört. Vielleicht kann ja jemand von Erfahrungen berichten.

Mir ist völlig klar, dass mein individueller Austritt aus dem Dienst nicht viel ändert. Diese Erfahrung hatte vor einigen Jahren schon die damalige Verbraucherschutzministerin Ilse Aigner machen müssen. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“.

Mit freundlichen Grüßen

Peter Schaar