DSGVO: Sind Datenschutz und Privatsphäre wirklich besser geworden?
In anderen Sprachen lesen:
Feuersäulen, Erdbeben, ein heilloses Durcheinander – im Mai 2018 herrschte in der Online-Welt für einige Tage das perfekte Chaos. Und woran lags? Lediglich an der Allgemeinen Datenschutzverordnung (DSGVO), die in Kraft getreten war. Mit der DSGVO sollten wir Internet-Nomaden mehr Kontrolle über unseren Datenschutz und unsere Privatsphäre bekommen. Einer aktuellen Studie nach war der ganze Stress umsonst.
Jetzt leben wir seit 18 Monaten mit der DSGVO. Die Wogen im Netz haben sich weitestgehend geglättet, und ich stehe nach wie vor hinter diesem Schritt. Auf unserem Weg quer durch das Web geben wir immerhin wertvolle Daten preis. Wir sind der Herr der Daten in einer Onlinewelt voller Gollums. Das Gesetz gibt uns Online-Websurfern die Macht, selbst das Cookie-Tracking abzustellen und gegen die anzugehen, die unsere Daten missbrauchen. Und ich finde, dass sich das wie ein Schritt in die richtige Richtung anfühlt.
So heroisch die Idee der DSGVO aber auch klingt und egal, wie gut ich diesen Weg finde, muss ich doch eines sagen: Leute, wir haben ein echtes Umsetzungsproblem. Eine neue Studie von der MIT, der UCL und der Aarhus Universität fand heraus, dass lediglich 11,8 Prozent aller Webseiten "die Mindestanforderungen erfüllen, die wir auf den Grundlagen des europäischen Rechts aufgebaut haben." Faktisch gesehen, werden wir also immer noch verarscht, online getrackt und unsere Daten an Werbevertreibende verkauft.
Sind wir Europäer einfach zu faul, um uns zu kümmern?
Das Surfen im Internet ist seit der DSGVO anders geworden, so viel ist sicher. Wann immer Ihr jetzt auf einer Website landet, die Ihr davor noch nie besucht habt, ist die Hölle los. Geradewegs zugekleistert wird man mit was weiß ich wie vielen Pop-Ups und Meldungen (die Euch darüber informieren wollen) was die Seite mit Euren Daten machen kann. Das ist zwar oft nervig, aber eine durchaus sinnvolle Sache. Das Problem ist nur, dass die Seiten herausgefunden haben, was wir alle schon längst wissen: Die meisten von uns sind faule Säcke. Der beste Weg, die Erlaubnis von den Fauleren und Uninteressierteren unter uns zu bekommen, liegt also darin, das Ablehnen schwerer zu machen als das Akzeptieren.
Es ist doch so, dass das Ablehnen von Cookies meist drei oder vier Klicks dauert. Für das Annehmen benötigen wir aber nur einen wundervollen Klick. Und das genau auf den großen Button, den man nicht mal übersehen könnte, wenn man es wollte. Jetzt muss er nur noch Musik beim anklicken machen und die Farce wäre perfekt. Aber mal so unter uns – wie oft habt Ihr schon drauf geklickt, weil Ihr es gerade eilig hattet?
Die Zahlen unterstreichen den Fakt jedenfalls ganz gut. Ist der Opt-Out-Button irgendwo unter dem zweiten oder dritten Layer verbuddelt, dann erhöht sich die Zustimmung um 23 Prozent. Noch genialer wird es, wenn Ihr auf Eurer Webseite eine dunkle und kaum zu sehende Pop-Up-Box habt. Mit der erhöht sich die Zustimmung der Nutzer sogar um bis zu 40 Prozent. Für die UX- und UI-Designer sind Pop-Up-Boxen wie ein riesiger Spielplatz, und sie werden wirklich kreativ dabei.
Neben den ganzen Spielereien gibt es noch das Problem mit der implizierten Zustimmung. Laut der Studie, wird diese Methode von 32,5 Prozent der untersuchten Webseiten genutzt. Hierbei geht die Webseite einfach davon aus, dass Ihr die Cookies akzeptiert, wenn Ihr nach unten scrollt und das Pop-Up-Fenster ignoriert. Eine total faire Sache, nicht wahr? Kombiniert Ihr diese Methode mit einer Pop-Up-Box, die so mickrig klein und gut platziert ist, dass sie kaum auffällt, dann habt Ihr ganz schnell viele Benutzer, die unbewusst ihr "Einverständnis" geben. Magie pur.
Innerhalb des Berichts wird festgestellt, dass diese Methode "erheblich Fragen in Bezug auf die Einhaltung des Konzepts des Datenschutzes durch Technik in der DSGVO aufwirft." Was ein Scheiß. Heißt es nicht laut DSGVO-Recht, dass die Zustimmung "aktiv gegeben" werden soll? Wenn wir durch Faulheit unsere Daten verschenken, fein. Aber sind wir hiermit wirklich zufrieden? Ich jedenfalls nicht.
So: Die Webseiten werden also bestraft – oder?
Der einzig logische Schritt ist es doch, Strafen zu verhängen. Findet Ihr nicht? Aber wer hätte was anderes erwartet: Wirklich eingreifen und Maßnahmen durchsetzen, wenn die Mindestanforderungen an die Zustimmung zu Cookies nicht eingehalten werden, tut die EU selten. Dabei liegt die Höchststrafe für einen Verstoß der DSGVO immerhin bei 20 Millionen Euro oder vier Prozent des Umsatzes. Welcher Betrag ausgezahlt wird, hängt davon ab – da würde sich die EU nicht lumpen lassen – welcher höher ist. Damals sagte die EU-Kommissarin für Justiz (Vera Jourova), dass die Europäische Union den Regulierungsbehörden in ihren Mitgliedsstaaten eine "geladene Waffe" in die Hand gedrückt habe. Fein, aber wie viele haben den Abzug denn wirklich gezogen?
Werfen wir einen kurzen Blick auf das Vereinigte Königreich. Dort zählen wir rund 36.000 Datenverstöße, die den Behörden im Rahmen der DSGVO gemeldet wurden. Was sich hier wie eine schöne Zahl anhört, ist in Wahrheit ziemlich ernüchternd. Denn die meisten Meldungen beziehen sich auf den falschen Umgang mit den Daten. Nicht etwa auf die Tricks, mit denen sich die Zustimmungen zur Datenerhebung besorgt wurden.
Doch auch wenn man gemeldet wird, ist die Chance recht hoch, dass man mit einem kleinen Klaps auf die Hand aus der Sache wieder rauskommt. Ein gutes Beispiel sind die 11.468 Fälle von Datenverletzungen, die zwischen Mai 2018 und März 2019, in Großbritannien bearbeitet wurden. Große Zahl, kleine Wirkung: Gerade einmal 29 Fälle führten auch zu einer Geldstrafe. Das ist einfach nur lächerlich, wird aber noch besser.
Es gab natürlich einige Fälle, die zu Schlagzeilen führten – so beispielsweise bei der British Airways. Der Fluggesellschaft wurde 2018 wegen eines Datenverstoßes mit einer Geldstrafe in Höhe von 230 Millionen Dollar gedroht. Japp, Ihr lest richtig – gedroht. Ausgesprochen wurde bisher noch absolut gar nichts. Übrigens: Erst diese Woche hat das Büro des britischen Informationskommissars den Regulierungsprozess bis zum 31. März verlängert.
Da fragt man sich doch, was diese "geladene Waffe" überhaupt bringen soll, wenn sie höchstens Platzpatronen abfeuert. Wen soll das denn davon abhalten, sich weiterhin Daten zu erschleichen? Ganz ehrlich? Mich nicht, und wahrscheinlich amüsieren sich die Webseitenbetreiber ganz hervorragend.
Schuldzuweisungen gibt es jedenfalls zu Genüge. Eine Menge Webseiten nutzen Consent-Management-Plattformen (CMPs), um alles rund um die DSGVO zu händeln. Bei den CMPs handelt es sich um Drittfirmen, die die Pop-Up-Fenster entwickeln, durch die wir die Möglichkeit haben sollen, die Cookies abzulehnen. Drei der größten Namen auf diesem Spielfeld sind QuantCast, Cookiebot und TrustArc.
What advertising hell on earth is this? Damn right I’m going to block all I can .. what do these defaults even mean? #DeceptiveByDesign pic.twitter.com/KRY2ECPA5R
— Privacy Matters (@PrivacyMatters) June 28, 2018
Den Forschern von MIT, UCL und Aarhus Universität zufolge, sind es gerade diese CMPs, die im Mittelpunkt einer Untersuchung stehen sollten. "Weshalb lassen sie ihre Kunden das Scrollen als Einwilligung zählen oder vergraben den "Ablehnungs"-Button irgendwo auf der dritten Seite?", wundert sich der Hauptautor der Studie, Midas Nouwens, gegenüber TechCrunch. "Da die Strafverfolgungsbehörden nur begrenzt viele Mittel zur Verfügung haben, könnte es eine sehr viel effektivere Strategie sein, wenn sie sich auf die Pop-Up-Anbieter mit Einverständniserklärung konzentrieren, anstelle der Verfolgung von individuellen Webseiten."
Mein Fazit
Niemand hat andauernd Lust oder Zeit, sich erst einmal durch zig Pop-Ups zu wühlen, nur um die Cookies abzulehnen. Das verstehe ich, mir geht es oft selbst nicht anders. Was mich aber aufregt, sind die Spielereien mit der implizierten Zustimmung. Wenn ich meine Daten auf dem Silbertablett anbiete, will ich es wenigstens wissen und mir darüber im Nachhinein die Pest an den Hals ärgern dürfen. Das ist mein verdammtes Recht. Noch schlimmer finde ich, dass die EU kaum etwas gegen die Webseiten macht, die sich durch Tricks meine Daten erschleichen. Natürlich kann man jetzt nur die CMPs im Auge behalten und vielleicht würde das schon einiges bringen. Allerdings hat der Betreiber einer Webseite nicht weniger Schuld als die Entwickler. Vor allem dann nicht, wenn er etwas nutzt, um sich Daten von seinen Besuchern mehr oder weniger zu erschwindeln. Oder soll ich ernsthaft glauben, dass die sich ihre Software vorher niemals angesehen haben? Ja, nee – is' klar.
Via: Engadget Quelle: MIT, UCL, Aarhus University
Besser noch hatte ich es vor kurzen als Beispiel: war ich im Vodafone-Shop gestern, nur um mir ein paar Geräte anzuschauen was Vodafone so neues zu bieten hat. Quatscht mich da ein Berater an ob ich Interesse an einen Vertrag habe. Hab dem gesagt, das ich schon vergeben bin und kein Interesse habe. Er gab sich damit nicht zufrieden und labert mir die Ohren voll, welch tolle Angebote Vodafone hat und er mir Rabatte bei Tarifen ermöglichen könnte. Auf meine Frage hin wo der Haken sei meinte er dass ich nur mein Einverständnis geben soll, das meine Daten an Werbepartner weitergegeben werden können, die mit Vodafone zusammen arbeiten. Da sagte ich, das ich nicht will und das diese Unternehmen bestimmt auch ohne meine Zustimmung an meine Daten rankommen, weil man schon bei Vertragsabschluss mit der Unterschrift gezwungen wird sein Einverständnis zu geben. Darauf hin sagte er gar nichts mehr. Auch auf meine Frage, was die Werbepartner von Vodafone mit meinen Daten machen würden, wusste er keine Antwort....er meinte nur, das meine Daten sicher sind. Meine Antwort daraufhin:" ja ja, das glaubst auch nur du." Bin dann gegangen.
Passend zum Thema möchte ich diesen Artikel gerne jedem zum Lesen empfehlen. Ich möchte mal einen Teil zitieren, den Rest kann man dann über den Link nachlesen:
"Amsterdam gilt seit jeher als Musterbeispiel gelungener Stadtplanung. Bereits 1851 begann die Stadt, systematisch Daten der Bevölkerung zu erheben, um optimal ihre Ressourcen zu verteilen. Fürs "Bevolkingsregister" gaben die Einwohner bereitwillig Beziehungsstatus, Beruf und Religionszugehörigkeit an. 1936 stieg man sogar auf die Datenerfassung mit einem hochmodernen Lochkartensystem um. 1939 aktualisierte eine Volkszählung das Stadtregister nochmals.
Im Mai 1940 rissen die einmarschierten deutschen Besatzer das Register an sich und ermittelten anhand dieses Datenschatzes in wenigen Tagen fast alle jüdischen Einwohner. Ein Großteil der rund 100 000 Amsterdamer Juden wurde ins Vernichtungslager Auschwitz deportiert. Von einem Tag auf den anderen entschied ein Marker im Big-Data-Pool über Leben und Tod. Zuvor hatte 90 Jahre lang niemand etwas zu verbergen gehabt - schließlich diente die Erfassung ja dem Wohl aller."
https://www.heise.de/ct/ausgabe/2015-17-Editorial-Nichts-zu-verbergen-2755486.html
Also ich persönlich habe daher sehr viel zu verbergen. Daher informiere ich mich stets über Möglichkeiten, die Menge an Daten, die ich ins www streue, auf ein Minimum zu reduzieren. Ja, Datenschutz und Privatsphäre fangen bei jedem einzelnen selbst an. Und wenn es anders geht, nutze ich Alternativen zu den datenhungrigen Apps. Egal ob Suchmaschine, Messenger, etc. Und wenn da mal anfangs keiner ist? Ich habe die Erfahrung gemacht, wenn einer vor geht, kommen andere auch nach.
Danke für den Link!
Was vielen gar nicht bewusst ist das Daten nicht nur von Nutzung des Internets erfasst werden. Bei Einkäufen, bei verschiedenen Ämtern und Behörden (Krankenkassen, post, Versicherung Vereine..) überall dort lassen wir Daten da die was für andere wiederum interessant sein können. Die Post zb. geriet mal in den Verdacht Kundendaten weiter gegeben zu haben. Und ob unsere Krankenakten wirklich so geheim bleiben bezweifle ich auch stark.
Gerade gelesen:
Tinder, OkCupid und Grindr verkaufen massenhaft Daten, inklusive Geo-Daten. Strafen haben die nicht zu befürchten. Man sieht also was die DSGVO wirklich wert ist.
Frage wer braucht diese Dienste?
Andere Frage : was wird mit den verkauften Daten gemacht?
"Grindr" ist eine Dating-App für Homosexuelle. Länder, in denen Homosexualität bzw. gleichgeschlechtliche Handlungen verboten ist/sind, könnten durch den Kauf der Daten Homosexuelle verfolgt werden.
Was nicht das erste Mal wäre. Ist alles schon mal passiert.
Ich gehe davon aus, der Grund für keine Strafen, ist die Einwilligung durch die Nutzer. Die haben die AGB vermutlich, ohne sie zu lesen, abgenickt.
Das haben sie von der Regierung gelernt. Die nickt auch nur alles ab ohne es zu lesen oder zu verstehen. ;)
Ich nutze da einen simplen Trick. Ich habe ein Android-Smartphone und nutze den Chrome Browser. Da habe ich den Modus zur "vereinfachten Darstellung" aktiviert. Nun kommt bei jeder Seite unten ein Balken in dem "Vereinfachte Ansicht anzeigen" steht. Klickt man da drauf, dann wird die Seite im Lesemodus angezeigt. Schwarz, nur Text und die Bilder die zum Artikel gehören. Keine Popups, keine Werbevideos, keine Benachrichtigungsanfragen. Einfach entspannt lesen.
Aber keine Sorge, euren Cookies habe ich zugestimmt. :-)
Und Du glaubst das Du damit nicht verfolgt wirst? Träum weiter. 😉
Es geht mir nicht ums verfolgt werden, ich leide nicht unter Paranoia. Es geht mir darum, diese nervigen Popups und Nachfragen und Werbungen auszublenden.
Hast du schon mal Firefox Klar ausprobiert?
Was ist Firefox Klar? Aber ich nutze den nicht, da man sich dort nicht mit dem Google Konto verbinden kann und somit keine Favoriten, Passwörter, Verlauf, Adressen und sonstiges synchronisiert werden.
Ganz ehrlich, für mich hat das absolut nichts mit Faulheit zu tun. Es kommt immer ein wenig darauf an, was man unter personenbezogenen Daten versteht und was für schützenwerte personenbezogene Daten. Ich kenne das Thema DSGVO bis in kleinste Detail, auch einfach durch meinen Job, aber im privaten Bereich ist mir ehrlich gesagt völlig egal, wer welche Daten wie verwendet, mit Ausnahme von Gesundheits- und Finanzdaten.
Ob Google nun weiß, wann ich wo bin, gehört für mich zur digitalen Welt, die ohne Vernetzung schlicht nicht funktioniert. Und mir ist es auch relativ egal, ob sie wissen, was ich wann wo kaufe. Von mir aus können Sie mir auch Angebote senden. Vielleicht interessiert mich ja mal was.
Der Spaß hört für mich immer dann auf, wenn die Daten irgendwelche kriminellen Handlungen ermöglichen (weil sie möglicherweise nicht genug geschützt wurden) oder intime Details aus dem Leben (Gesundheit, usw.) öffentlich werden. Da soll doch bitte jeder selbst entscheiden, wann wer wo wie was erfährt.
Popups? Ganz ehrlich. Normalerweise hab ich keine während des Surfens. Einerseits wegen Blockern, andererseits weil ich in der Regel einen bestimmten Fundus an Websites habe, den ich aus Informationslust ausschöpfe.
dass deine Daten nicht in kriminelle Hände gelangt kann man heutzutage absolut nicht verhindern und nur wenn dann ganz schwer.
Zumindest nicht als Casual User
"Da soll doch bitte jeder selbst entscheiden, wann wer wo wie was erfährt."
Genau das ist leider ein praktisch überall verbreiteter Irrglaube. Nach dem Motto "Ich veröffentliche ja keine wichtigen Daten über mich" zum Beispiel bei Facebook. Nicht DU entscheidest, was du über dich veröffentlichst, sondern derjenige, der deine Daten auswertet.