Datenschutzverordnung: Was sich beim Online-Tracking ändert

Datenschutz

Nutzer bekommen im Mai mehr Rechte, wenn es um das Datensammeln bei ihren Online-Profile geht.

Am 25. Mai tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Ab dann haben Nutzer mehr Rechte, um sich gegen das massive Datensammeln im Netz zu wehren. Was für Auswirkungen das unkontrollierte Sammeln und Verknüpfen haben kann, zeigt ein aktuelles Beispiel: Paypal hat Anfang Jänner eine Auflistung von Drittfirmen veröffentlicht, aus der hervorgeht, mit wem der Zahlungsdienstleister seine Nutzerdaten teilt. Die Liste umfasst mehrere hundert Unternehmen. „Paypal teilt die Nutzerdaten mit vielen Marketing-Firmen, die selbst sehr viele Informationen über Menschen im Netz sammeln. Das halte ich für sehr problematisch“, erklärt der Datenanalyst und Netzaktivist Wolfie Christl, Netzaktivist, der sich seit Jahren mit den Formen von Überwachungskapitalismus im Netz beschäftigt.

Paypal hat Anfang Jänner eine Auflistung von Drittfirmen veröffentlicht, aus der hervorgeht, mit wem der Zahlungsdienstleister seine Nutzerdaten zu welchem Zweck teilt. Es sind mehrere hundert Unternehmen, wie auch eine Visualisierung im Netz deutlich macht. Paypal macht die Liste aus Datenschutzgründen öffentlich. Auch andere Konzerne müssen ab 25. Mai 2018 derartige Informationen offenlegen. Sie haben durch die Datenschutzgrundverordnung (DSVO) eine Informationspflicht gegenüber ihren Kunden, mit wem und zu welchem Zweck sie Daten teilen.

Schwarze Listen

Noch gefährlicher findet Christl es aber, wenn unzählige Risikomanagement-Firmen darauf Zugriff bekommen, die sogenannte „schwarze Listen“ über Kunden erstellen. „Das kann dazu führen, dass man im Alltag als zu riskant aussortiert wird, ohne das mitzubekommen“, so Christl. So könnten Nutzern etwa bei Online-Geschäften bestimmte Bezahloptionen gar nicht erst angezeigt werden oder sie anderweitig diskriminiert werden.

Paypal veröffentlicht die Liste nicht aus Selbstlosigkeit, sondern aus Datenschutzgründen. Auch andere Konzerne müssen ab 25. Mai derartige Informationen offenlegen. Sie haben eine Informationspflicht gegenüber ihren Kunden, mit wem und zu welchem Zweck sie Daten teilen. Nutzer bekommen zudem das Recht auf Auskunft, ob automatisierte Entscheidungsfindungen, Scoring, Profiling oder Vergleichbares stattfindet.

Die DSGVO gibt „sogenannten Datensubjekten im Fall einer automatisierten Entscheidungsfindung, inklusive dem Profiling, ein Recht auf Information bezüglich der involvierten Logik eines Entscheidungssystems, seiner Tragweite und angestrebter Auswirkungen“, schreibt die Sozialwissenschaftlerin Julia Krüger auf netzpolitik.org. In der Praxis heißt das: Wird man von einem Unternehmen etwa aufgrund des aktuellen Wohnortes oder anderen Daten als „nicht kreditwürdig“ eingestuft, kann man diese Einordnung künftig anfechten und seinen eigenen Standpunkt darlegen. Bei fehlerhaften Auskünften können Betroffene auch Schadenersatz fordern.

IP-Adressen

Neu ist auch, dass neben klassischen persönlichen Daten wie Nachname, Telefonnummer oder E-Mail-Adresse jetzt auch „Online-Identifiers“ wie Cookies, User-IDs und IP-Adressen nur dann verarbeitet werden dürfen, wenn Nutzer aktiv einwilligen. Neben Cookies wird nicht selten die IP-Adresse in Tracking-Analysen einbezogen. Damit lässt sich der Standort des Nutzers feststellen, also ob jemand in Österreich, der Schweiz oder Deutschland sitzt. Auch IP-Adressen gelten als personenbezogene Daten. Damit dürfen Webseitenbetreiber sie nur verarbeiten, wenn sie die strengen Vorgaben des Datenschutzes einhalten und vorher eine Einwilligung einholen.

Das sind nur einige der Punkte in Bezug auf maschinelle Entscheidungen, die auf Online-Tracking basieren, die sich mit der neuen EU-Gesetzgebung ändern werden und viele Unternehmen vor große Herausforderungen stellt. „Ich sehe mit der Datenschutzgrundverordnung und mit der E-Privacy-Verordnung, die derzeit noch Gegenstand von Verhandlungen ist, die Chance, den unkontrollierten Überwachungskapitalismus zumindest etwas zu zähmen“, sagt Christl im futurezone-Gespräch.

Die E-Privacy-Verordnung, die prinzipiell gleichzeitig mit der DSVO in Kraft treten soll, sich aber laut derzeitigem Stand wohl verzögern wird, sieht etwa vor, dass alle digitalen Endgeräte von Haus aus als „personenbezogenen“ eingestuft werden. Die Browser-Voreinstellungen sollen datenschutzfreundlich sein. Das bedeutet, dass diese standardmäßig kein Tracking beinhalten sollen. „Das halte ich für eine extrem gute Maßnahme, dass die Daten nicht automatisch an Drittfirmen weitergeben werden dürfen. Das würde massiv etwas ändern“, sagt Christl.

Profitieren Facebook und Google?

Firmen, die sich auf daten- und trackinggetriebene Geschäftsmodelle stützen, sehen sich durch derartige Änderungen massiv gegenüber Firmen wie Facebook und Google benachteiligt und führen immer wieder als Argument an, dass die großen Monopolisten durch die neue datenschutzfreundliche Gesetzgebung weit weniger abgestraft werden würden, als kleine, junge Start-ups. „Das ist die gleiche Argumentation, wie sie die Telekom-Lobby in den USA verwendet hat, um die Vermarktung von Telefondaten ohne Zustimmung der Betroffenen durchzusetzen. Nur weil die einen Menschen exzessiv durchleuchten und analysieren, sollen es alle anderen auch dürfen müssen? Mit dieser Logik verlieren wir jegliche Kontrolle über unsere Daten“, erklärt Christl. „Die Dominanz der Plattformen ist ein Wettbewerbs-Problem und muss mit Kartellrecht angegangen werden.“

Die gelebte Praxis der großen Plattformen wie Facebook oder Google sei „natürlich ein Problem“, so Christl. Aber die DSGVO und die E-Privacy-Richtlinie zwingen auch Google und Facebook zu Änderungen bei ihrer Praxis. So wird es etwa ein Kopplungsverbot geben, nach dem Nutzer nicht dazu gezwungen werden dürfen, ihre personenbezogenen Daten preiszugeben, um ein Angebot nutzen zu können. Je nach Datenverarbeitungszweck müsse Facebook künftig auch bei seinen Nutzern unterschiedliche Einwilligungen einholen, wie der Verbraucherschützer Florian Glatzner in einem Interview mit netzpolitik.org erklärt.Derzeit ist noch unklar, wie die IT-Riesen diese Bestimmungen umsetzen werden.

Neue Ära der Internet-Regulierung

Doch auch Paul Blumenthal von der „Huffington Post“ sagt: „Es beginnt eine neue Ära der Internet-Regulierung.“ Blumenthal meint, dass das bisherige Überwachungskapitalismus-Modell von Facebook und Google durch die neue EU-Gesetzgebung ins Wanken kommen wird. Facebook selbst sieht die EU-Regulierung laut einem internen Bericht vor allem für sein Konzern-Wachstum als hinderlich an: „Es wird teuer, den Vorkehrungen zu entsprechen und könnte dazu führen, dass sich neue Produkte dadurch verzögern“, heißt es in dem Statement.

Sowohl die DSGVO als auch die E-Privacy-Richtlinie setzen damit in naher Zukunft sehr wohl wichtige Schranken, um das vollkommen willkürliche Überwachung von Internet-Nutzern zu stoppen. Vieles wird jedoch auch die EU-Gerichte beschäftigen, denn aufgrund teilweise schwammiger Formulierungen im Gesetzestext entstehen bei einigen wichtigen Fragen Schlupflöcher, die vor allem von Großkonzernen ausgenutzt werden.

Barbara Wimmer 26.02.2018