Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 08 2014

Datenschutzregelungen können über Erfolg und Misserfolg eines Unternehmens entscheiden

Joel Kaczmarek, Herausgeber des Online-Magazins Gründerszene, kennt die Befindlichkeiten der deutschen Start-up-Branche gut. Damit sie von Regulierungen nicht ausgebremst werden und die Politik ihre Probleme besser versteht, brauchen die Gründer massiv mehr Lobbyismus.

iRights.info: Welche wirtschaftliche Relevanz oder Bedeutung kommt Start-ups national und international zu?

Joel Kaczmarek: Was Start-ups an Arbeitsplätzen schaffen und an Umsatz erzeugen, ist signifikant. Firmen wie Wooga, Researchgate, Zalando, Rebuy oder weitere aus der Internet-Branche, beschäftigen jeweils hunderte von Leuten. Zalando hat in Berlin 350 Arbeitsplätze geschaffen und einen Entwicklerstandort in Dortmund etabliert. Zalando hat gerade einen Halbjahresumsatz von 809 Millionen bekannt gegeben, am Ende erwirtschaftet das Unternehmen wahrscheinlich 1,8 Milliarden Euro oder mehr – und damit ist es nicht mehr so weit weg von der großen Industrie.

iRights.info: Worin sehen die Gründerfirmen die wichtigsten Hürden für die digitale Wirtschaft?

Joel Kaczmarek: Die Grundfrage dazu ist vorab: Wo wird eine Regulierung überhaupt entschieden? Bei vielen Themen sind wir ganz schnell bei EU-Regelungen, und da gibt es unter Gründern viel Unsicherheit. Im Augenblick beobachten sie mit Argusaugen die europäische Richtlinie zum Einsatz von Cookies. Cookies erfassen, wo der Nutzer herkommt, wie lange er auf der Seite bleibt, was er sich anguckt, wie schnell er wieder abspringt und so weiter.

Wenn man diese Daten weitergehend auswertet, vielleicht sogar zum Nutzen des Kunden, muss man ihn mittlerweile erst darüber informieren, so die geltenden EU-Regelungen. Und tatsächlich wird jetzt auf Webseiten immer öfter Folgendes oben eingeblendet: „Wir setzen Cookies, um für Sie das Einkaufserlebnis zu verbessern, ist das für Sie in Ordnung? Ja oder nein?“ Der Cookie arbeitet trotzdem, aber eigentlich muss der Nutzer das bestätigen.

So eine Vorschrift kann für agile Start-up-Unternehmen angesichts massiver Skalierung schnell relevante Dimensionen annehmen.

iRights.info: Die EU-Cookie-Richtlinie als Genickbrecher für ein Start-up?

Joel Kaczmarek: Ja, auf jeden Fall. Zalando beispielsweise berücksichtigt mittlerweile sogar die jeweilige Wetterlage für seine Marketing- und Verkaufsaktivitäten. Zalando ist eine extrem datengesteuerte Firma. Und wenn man solchen Firmen Regelungen vorsetzt, dass sie, wenn sie dieses und jenes erheben erheben wollen, erst die Nutzer fragen müssen, muss man kein Prophet sein, um vorherzusagen, dass sich dies als Bremsfaktor darstellt.

Es ist doch so: Wenn man 1.000 Nutzer fragt, ob man bei ihnen Cookies setzen darf, dann sagen vermutlich 700 Nein, oder auch 400. Das sind aber 400, die einem vorher Daten geliefert und sich gar nicht daran gestört haben, weil es ihnen in der Regel keinen Schaden bereitet. Im Gegenteil, es geht bei Cookies eher darum, das Angebot so zuzuspitzen, dass es den Kunden einen Nutzen bringt.

Das alles bedeutet, solche Datenschutzregelungen können über Erfolg und Misserfolg eines jungen Unternehmens entscheiden. Sie wirken sich definitiv auf den Start-up-Alltag aus. Aber von derlei Umständen im Netz hat die Politik viel zu wenig Ahnung. Ich war Teil der Delegation, mit der Kanzlerin Merkel kürzlich einige Berliner Start-ups besuchte. Und als sie bei der Online-Wissenschafts-Plattform Researchgate war, erkundigte sie sich, wo deren Server stünden – und war wenig begeistert zu hören, dass sie in San Antonio stehen. Das ist die Flughöhe, auf der Start-ups wahrgenommen werden.

iRights.info: Sie meinen, da ist Ihnen die Politik zu oberflächlich?

Joel Kaczmarek: Was ich damit sagen will: Die Politik hört zu und macht sich Gedanken, aber die Durchdringungstiefe ist relativ gering. Zugleich haben Internet-Unternehmen in Deutschland eine ziemlich schlechte Lobby. Auf Europa bezogen ist das Standing und die Sichtbarkeit in Ermangelung einer geschlossenen Lobby noch deutlich schlechter.

iRights.info: Die Start-ups haben also Lobbyismusbedarf?

Joel Kaczmarek: Massiv sogar. In Sachen eigener Interessenvertretung sind sie in einer Amateur- oder Kreisliga unterwegs. Als sich Philip Rösler, der damalige Wirtschaftsminister, mit Peter Thiel zusammensetzte, einer Größe aus dem Silicon Valley, und mit ihm eine Gesprächsrunde initiierte, stellten die Start-ups keine besonders kenntnisreichen Fragen, sondern benahmen sich eher wie Groupies. Dabei saßen sie mit Volksvertretern und Experten zusammen, mit denen man viel ernsthafter reden sollte.

Zumindest hat sich mit dem Verband Deutscher Start-ups nun eine Interessenvertretung herausgebildet. Dieser widmet sich vielen Themen und hat auch Datenschutz-Fragen wie die Cookie-Richtlinie auf der Agenda. Aber der Verband ist noch jung und muss sein Können noch beweisen.

iRights.info: Gibt es neben Cookies noch weitere netzpolitische Themen für Start-ups?

Joel Kaczmarek: Es gibt diese Debatte, die der Axel-Springer-Verlag mit dem Leistungsschutzrecht angestoßen hat: Darf Google Teile meines Contents nutzen, um Angebote zu schalten, von denen Google dann profitiert? Hier stoßen alte und neue Industrien aufeinander. Meiner Beobachtung nach ist das Leistungsschutzrecht für Start-ups keine sinnvolle Regelung.

Man hat als Internet-Unternehmen eine große Abhängigkeit von Google. Deswegen bekommen alle suchmaschinenbezogenen Themen eine Relevanz für Start-ups. Wenn ein Großteil des Besucherstroms über Google kommt – bei manchen Unternehmen sind es 60 Prozent und mehr –, muss man sich überlegen, wie man vorgeht und welche Regelungen geschaffen werden sollten.

Hinzu kommen Probleme auf Detail- und mittlerer Ebene: Welche Einwilligungen muss man geben oder bekommen, wenn man einen Newsletter versenden will? Administrative Themen, die den Verbraucherschutz betreffen, sind relevant. Internetgeschäft heißt vor allem, den Kostenapparat eines realen Ladens zu sparen und zugleich eine hohe Erreichbarkeit zu gewährleisten.

Die Kunst besteht darin, Geld dafür auszugeben, damit möglichst viele Nutzer auf die Seite kommen – aber diese Ausgabe muss geringer sein als der daraus abgeleitete Umsatz. Alles, was den Nutzerstrom an irgendeiner Stelle der Wertschöpfungskette beeinflusst, sprich Google, sprich Datenerhebungen, Datenweiterverarbeitung und -verwertung, spielt eine Rolle.

iRights.info: Ist Netzneutralität für Start-ups ein Thema?

Joel Kaczmarek: Die Netzneutralität ist sogar ziemlich wichtig für Start-ups. Das zeigte sich in der Frage der Drosselung von Datenraten, welche die Telekom angestoßen hatte…

iRights.info: …und die ihr das Landgericht Köln zunächst untersagte.

Joel Kaczmarek: Aus Nutzersicht ist das eine kontroverse Thematik. Und es irritierte viele zurecht, wie wenig die Politik darauf eingegangen ist. Wenn es dann auf die Mobilverbindungen durchschlägt, dann werden auch Firmen wie Zalando unruhig. Die generieren ja Downloadvolumen und wollen nicht, dass ihnen gedrosselte Kunden weglaufen, weil die Bilder zu lange laden.

Im Grunde geht es für Internet-Start-ups sehr oft um das große Ganze, um alle Fragen der Netzpolitik. Also um Abhörskandale, Datenschutzregularien, Google, die Datenkrake, das böse Facebook, das immer alle Daten klaut und den Datenschutz nicht beachtet, und so weiter.

Start-ups geraten oft in den Image-Sog der amerikanischen Unternehmen, die ein anderes Datenschutzverständnis haben. Dazu kommt die derzeit um sich greifende Verunsicherung bezüglich der Online-Kommunikation. Das alles wirkt sich auf das Wirtschaften im Internet nicht unbedingt positiv aus.

iRights.info: Könnten und sollten sich die Start-ups in Deutschland oder Europa von der amerikanischen Attitüde emanzipieren und mit einer Identität jenseits der US-Klischees positionieren? Etwa mit heimischen Infrastrukturen und mehr Datenschutz-Sensibilität?

Joel Kaczmarek: Die deutschen E-Mail-Anbieter haben das mit dem Label „PRISM-sicher“ als Qualitätsmerkmal versucht. Deutschland hat den Ruf besonders datenschutz-sensibel zu sein, das könnte die Kennzeichnung „Made in Germany“ neu aufladen. Es könnte eine Chance sein, sich öffentlich zu positionieren, aber ich glaube nicht, dass dies ausreichen würde.

Denn wie wettbewerbsfähig ist ein Unternehmen dann? Durch die Aufwendungen für Daten- und Verbraucherschutz entstehen Wettbewerbsnachteile. Ob die Nutzer solche Dienste dann so gut annähmen, dass die Nachteile durch Nachfrage und Umsatz wieder aufgehoben würden, bliebe abzuwarten. Ein Kodex oder Gütesiegel ist aus Verbrauchersicht begrüßenswert, aber ob sie aus wirtschaftlicher Sicht sinnvoll sind, ist eine andere Frage.

Nehmen wir beispielsweise Studivz versus Facebook. Studivz hatte sich damals als besonders aufmerksam in Sachen Datenschutz präsentiert und auch dem Jugendschutz mehr Gewicht gegeben. Facebook hingegen nahm das von vornherein lockerer, hat seine Jugendschutz-Regeln jüngst sogar weiter entschärft. Das Ergebnis dieses Wettstreits ist bekannt.

iRights.info: Beschäftigen sich Start-ups ausreichend mit digitalwirtschaftlichen und netzpolitischen Themen? Oder legen sie mehr oder weniger los und reagieren auf Rückmeldungen?

Joel Kaczmarek: Eher letzteres. Es gibt ja die Devise: „Lieber um Verzeihung bitten als um Erlaubnis“. Die findet oft ihre Anwendung, weil es im Zweifelsfall Ärger spart. Man kann das verstehen, weil die allermeisten Start-ups damit beschäftigt sind, zu überleben. Sie müssen erstmal zu Kapital kommen, dann ein tragfähiges Geschäftsmodell entwickeln. Start-ups haben eigentlich weder Zeit noch Sinn für solche Themen. Die sind für ihr Geschäft zwar zentral, aber aus ihrer Sicht erst zwei Schritte später zwingend.

Foto: Gründerszene

Foto: Gründerszene

Joel Kaczmarek ist seit Mai 2013 Herausgeber von Gründerszene, einem Onlinemagazin über und für die Start-up-Branche und zu Entrepreneurship. Davor war er etwa vier Jahre dessen Chefredakteur. Das Magazin Gründerszene gehört zur 2008 gegründeten Vertical Media GmbH, einem Fachverlag für Onlinemedien, der auch das englischsprachige Magazin Venturevillage herausgibt.

Dieser Text ist auch im Magazin „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ erschienen. Sie können das Heft für 14,90 EUR bei iRights.Media bestellen. „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ gibt es auch als E-Book, zum Beispiel bei Amazon*, beim Apple iBook-Store* oder bei Beam (* Affiliate-Link).

August 16 2013

Quelques astuces pour surfer sans être tracé sur la toile

Quelques astuces pour surfer sans être tracé sur la toile
http://neosting.net/aide-tutoriel/astuces-surf-sans-tracage-privoxy-disconnect-noscript.html

Après quelques mésaventures, probablement temporaires, avec Ghostery, qui pompe énormément de CPU et de mémoire sous Firefox 23, je me suis dit que c’était le moment d’aller de nouveau faire un tour du côté des alternatives à Adblock Plus ou Adblock Edge, et à Ghostery, qui sont très certaineemnt les deux extensions les plus utilisées […] #cookies #crontab #disconnect #privoxy #vie-privee

August 14 2013

Saviez vous que Mozilla est en train de détourner l'Internet ? par Glyn Moody - Framablog

Saviez vous que Mozilla est en train de détourner l’Internet ? par Glyn Moody - Framablog
http://www.framablog.org/index.php/post/2013/08/14/interactive-advertising-bureau

« Les cons ça ose tout, c’est même à ça qu’on les reconnaît » disaient nos tontons.

Je ne connaissais pas l’Interactive Advertising Bureau, organisation regroupant des acteurs de la publicité sur Internet, mais ce qui est sûr c’est qu’elle ne gagne rien à se ridiculiser en attaquant ainsi Mozilla (qui nous protège justement de la prolifération actuelle des cookies intrusifs).

Qu’en pensent Google, Microsoft, Orange, TF1, etc., tous membres de la branche française de l’Interactive Advertising Bureau ?

#Mozilla #cookies #publicité_internet

Reposted bycheg00 cheg00

Les publicitaires accusent Mozilla de détourner le net - Numerama

Les publicitaires accusent Mozilla de détourner le net - Numerama
http://www.numerama.com/magazine/26736-les-publicitaires-accusent-mozilla-de-detourner-le-net.html

« L’accusation est surprenante, mais illustre sans aucun doute les immenses craintes des professionnels de la publicité en ligne devant l’initiative de Mozilla, à savoir le blocage automatique des #cookies tiers. Comme l’a remarqué The Inquirer vendredi dernier, les annonceurs ont lancé une campagne pour dénoncer le détournement d’Internet qu’opérerait la fondation avec ses projets. » Tags : internetactu fing (...)

#publicite #marketing #neutralitedunet

August 13 2012

Wochenrückblick: Auskunftsanspruch, Schutzfristen, Mafia-Vergleich

Für Providerauskünfte über Urheberrechtsverletzungen reicht schon ein nicht-gewerbliches Ausmaß, die Bundesregierung arbeitet an der Schutzfri

Weiterlesen

May 28 2012

March 05 2012

Wochenrückblick: ACTA, Fußballspiele, Two Strikes,

Die Bundesregierung hält am ACTA-Abkommen fest, Fußball-Spielpläne sind nicht urheberrechtlich geschützt, ein Gutachten des Eco zweifelt an Tw

Weiterlesen

January 25 2012

SPD-Gesetzesentwurf: Cookies nur noch mit Einwilligung

Ein Gesetzesentwurf der Bundestagsfraktion der SPD vom 24.01.2012 sieht vor, in das Telemediengesetzes (TMG) in § 13 folgenden Absatz 8 einzufügen:

(8) Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Durch diese Neuregelung soll die E-Privacy-Richtlinie umgesetzt werden. Der Vorschlag der SPD ähnelt in diesem Punkt einem Gesetzesentwurf des Bundesrates.

Dass ich eine derartige Regelung kritisch sehe, weil die inflationäre Zunahme von Pop-Up-Fenstern zu befürchten steht, hatte ich bereits erläutert. Ob auf diese Weise tatsächlich eine Erhöhung des Datenschutzniveaus erreicht werden kann, darf bezweifelt werden. Vielmehr ist zu erwarten, dass die User aufpoppende Fenster schlicht genervt wegklicken werden, was der Vorstellung einer datenschutzrechtlichen Einwilligung, die auf einer ausreichenden Information beruht, letztlich eher zuwider läuft.

Die wesentliche Frage, unter welchen Voraussetzungen eine Ausnahme von der Einewilligungslösung gemacht werden kann, weil die Verwendung von Cookies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, beantwortet die Entwurfsbegründung der SPD freilich nicht. Wäre beispielsweise die Verwendung von Session-Cookies oder gar permanenten Cookies in Onlineshops unbedingt erforderlich, um den Shop betreiben zu können? Die Gesetzgebungstechnik der SPD-Fraktionn bedingt, dass diese zentrale Frage einmal mehr den Gerichten überlassen wird.

November 21 2011

October 21 2011

Wissenschaftlicher Dienst des Bundestages zu Facebook-Like-Button

Der wisenschaftliche Dienst des Bundestages hat ein Rechtsgutachten zur Frage der Verletzung datenschutzrechtlicher Bestimmungen durch Facebook Fanpages und Social-Plugins verfasst und sich hierbei insbesondere mit dem Vorgehen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegen Webseitenbetreiber und Betreiber von Facebook-Like-Seiten befasst.

Das Gutachten ist interessanter Weise ebenfalls der Meinung, dass das ULD für die Verhängung von Bußgeldern überhaupt nicht zuständig ist. Im übrigen ist der wissenschaftliche Dienst der Ansicht, dass das ULD zwar weitgehend vertretbare Rechtsansichten geäußert hat, die allerdings äußerst umstritten und gerichtlich ungeklärt sind. Von einem eindeutigen Verstoß kann nach Ansicht des wissenschaftlichen Dienstes deshalb derzeit nicht ausgegangen werden.

Das ist im Ergebnis keine wirkliche Überraschung, wenngleich das Gutachten im Vergleich zu anderen juristischen Stellungnahmen ohnehin noch eher ULD-freundlich ausfällt.

Zu knapp ist m.E. allerdings die Erörterung der zentralen Frage ausgefallen, ob der Webseitenbetreiber, der den Like-Button bei sich einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist. Das ist nämlich äußerst zweifelhaft, wie ein Gastbeitrag von Stephan Schmidt in meinem Blog darstellt.

In der Rechtswissenschaft beginnt außerdem gerade die Diskussion über die grundlegende Reformbedürftigkeit des deutschen Datenschutzrechts, dessen Schieflage ich vor einiger Zeit schon einmal dargestellt hatte.

October 06 2011

Privacy by Default?

Die Verbraucherzentrale Bundesverband (vzbv) hat vor einigen Tagen eine Onlinepetition zum Petitionsausschuss des Bundestages gestartet, mit der folgende Forderung erhoben wird:

“Der Deutsche Bundestag möge in den Datenschutzgesetzen regeln, dass die Grundeinstellungen von Produkten und Diensten so zu gestalten sind, dass so wenig personenbezogene Daten wie möglich erhoben oder verarbeitet werden.”

Interessant daran finde ich zunächst, dass auch Organisationen wie die vzbv das Mittel der Onlinepetition für sich entdeckt haben. Obwohl dieses Instrumentarium kaum geeignet ist, auf legislativer Ebene etwas zu bewegen, wird sein Einsatz immer beliebter. Letztlich geht es aber wie bei anderen Onlinepetitionen nur darum, Aufmerksamkeit zu erzeugen und Berichterstattung zu erreichen, denn der Petitionsausschuss als solcher kann und wird nichts bewirken.

Auch wenn die Forderung der vzbv nach “Privacy By Default” auf den ersten Blick vernünftig klingt, muss man sie aus zwei Gründen für problematisch halten.

Die Formulierung ist zunächst in dieser Form deutlich zu unbestimmt. Was sind Produkte und Dienste? Zu den Diensten im Sinne des TMG und des RStV zählen alle möglichen Internetangebote von der normalen Website, über den Onlineshop bis hin zum Blog. Nachdem zusätzlich von Produkten die Rede ist, soll der Anwendungsbereich wohl noch darüber hinaus gehen. Dass damit also spezifisch soziale Medien wie Facebook angesprochen würden, ist nicht ersichtlich.

Wenn wir allerdings  tatsächlich speziell von Facebook und Co. reden, muss man sich außerdem darüber im Klaren sein, dass die Grundeinstellungen von Facebook, deren Datenschutzbestimmungen sowie die Praxis Facebooks, Daten nicht ohne weiteres mehr löschen zu können, ohnehin nicht mit dem geltenden Datenschutzrecht vereinbar ist. Der Grund dafür, dass sich bislang nichts geändert hat, resultiert aus einem Vollzusgdefizit des deutschen und europäischen Datenschutzrechts.

Wieso sollte man also annehmen, dass neue gesetzliche Regelungen alleine dazu führen werden, dass sich Facebook gesetzeskonform verhalten wird, wenn dies bislang auch nicht der Fall war? Am grundlegenden Problem der fehlenden Durchsetzung des Datenschutzrechts ändert sich durch zusätzliche gesetzliche Vorgaben jedenfalls nichts.

Kritisiert wird der Verstoß der vzbv übrigens auch vom Branchenverband BITKOM. Ob dessen Einwände stichhaltig sind, kann jeder selbst beurteilen.

Das Grundproblem von kostenlosen sozialen Medien wie Facebook oder Google+ besteht darin, dass der Anbieter seine Einnahmen mit den Daten der Nutzer erzielt. Dafür muss er Nutzer- bzw. Bewegungsprofile erstellen, die es ihm ermöglichen, gezielt zu werben oder gar Daten an Drittfirmen zu verkaufen. Letzteres wird offiziell freilich stets bestritten. Die Verkehrsdaten der Nutzer sind letztlich zentraler Bestandteil des Geschäftsmodells von Facebook und Google+.

Vor diesem wirtschaftlichen Hintergrund wird es auch in Zukunft schwierig sein, von Wirtschaftsunternehmen zu erwarten, dass sie eine kostenlose Dienstleistung erbringen und gleichzeitig auf jede Form des Trackings verzichten. Die Alternativen sind entweder bezahlte Mitgliedschaften, für die es keine ausreichende Nutzerakzeptanz gibt, oder altruistisch geführte Social-Media-Plattformen.

Solange die Anbieter aber Facebook oder Google heißen und wir uns als Nutzer auf deren Plattformen bewegen wollen, wird sich im Ergebnis wenig ändern. Facebook und Google werden immer versuchen, mit den Behörden zu kooperieren bzw. diesen Anschein erwecken. Alles was sie anzubieten haben, sind aber Scheinlösungen, weil sie andernfalls ihr Geschäftsmodell preisgeben müssten.

 

August 29 2011

Kritik und Zustimmung für das ULD in der Causa Facebook

Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) veranstaltet gerade seine Sommerakademie unter dem zweifellos nicht selbstkritisch gemeinten Titel “Optimierte Verantwortung/slosigkeit Wer verantwortet eigentlich was in unserer smarten“ Welt?”.

Das passt thematisch jedenfalls ganz gut zu der immer noch tobenden Diskussion um das Vorgehen des ULD gegen Webseitenbetreiber und Unternehmer die den Facebook Like-Button verwenden bzw. auf Facebook eine sog. Fanseite betreiben.

Auch wenn sich weitere Datenschutzbehörden hinter das ULD gestellt haben, überwiegt in juristischer Hinsicht bislang eher die Kritik. Eine (unvollständige) Übersicht der juristischen Stellungnahmen:


    August 22 2011

    Wie geht es weiter mit dem Datenschutz?

    Die Aufforderung des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) an Webseitenbetreiber ihre Facebook-Like-Buttons zu entfernen und auch Fanpages auf Facebook zu löschen, hat zu unterschiedlichen Reaktionen geführt. Möglicherweise wendet das ULD das geltende Recht falsch an, wie Stephan Schmidt in einem Gastbeitrag in meinem Blog nachvollziehbar darstellt. Andere sind der Meinung, dass das ULD nur seinen Job macht, während das eigentliche Problem die Politik sei. Die neu gegründete Lobbyorganisation “Digitale Gesellschaft” schreibt in ihrem Blog dazu:

    Dass das ULD nicht direkt an Facebook herantreten kann, ist das Verschulden der Politik: die Durchsetzung von Datenschutzrecht auf internationaler Ebene ist trotz aller Sonntagsreden von Innen- und Verbraucherschutzministern bislang kein bisschen verbessert worden. Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus, weil das richtige Instrumentarium für andere Wege fehlt. Wer durch Facebooks ignorante Haltung und das Versagen der Politik am Ende doof da steht, ist der einfache Nutzer, der sich um solche Details einfach nicht kümmern müssen sollte.

    Eine Ansicht die eher kurz springt. Denn wir haben es mit einer Reihe von Problemen zu tun, für die man Politik und professionelle Datenschützer, insbesondere die Datenschutzbeauftragten des Bundes und der Länder, gleichermaßen verantwortlich machen muss. Dass die einen nur ihren Job machen, während die anderen versagt haben, ist ein zu einfaches Erklärungsmuster, das die Realität nicht abbildet.

    Im Ausgangspunkt gilt es zu erkennen, dass wir mit einem Datenschutzrecht agieren, das aus den siebziger und achtziger Jahren stammt, und das, trotz zahlreicher Änderungen und trotz einer Datenschutzrichtlinie der EU, strukturell im 20 Jahrhundert stehen geblieben ist.

    Das Bundesdatenschutzgesetz (BDSG) funktionierte in einer Zeit, als es praktisch nur Großrechner und große Rechenzentren gab, ganz ordentlich. Es ist allerdings konzeptionell von der Vorstellung einer zentralen Datenverarbreitung in Rechenzentren geprägt. Mit der dezentralen Struktur des Internets ist es überfordert. Das deutsche und europäische Datenschutzrecht geht letztlich von einem falsch gewordenen Grundansatz aus. Vielleicht entspricht die Art und Weise wie Datenverarbeitung im Netz funktioniert und wie die Prozesse dort ablaufen, auch überhaupt nicht der tradierten Vorstellung von Datenschutz, gleichwohl ist sie längst unumkehrbare Realität.

    Man hat in den letzten 10 bis 15 Jahren kaum (sinnvolle) Versuche unternommen, das Datenschutzrecht zeitgemäß zu erneuern. Auch die §§ 13 ff. TMG enthalten bestenfalls fragmentarische Regelungen. Zum Teil gab es sogar Neuregelungen, wie diejenige zur Auftragsdatenverarbeitung, die anachronistische Züge aufweisen und die im Falle ihrer konsequenten Anwendung das Cloud-Computing und selbst das Hosting in Frage stellen müssten.

    In einem lesenswerten Beitrag von Adrian Schneider auf Telemedicus wird das Grundproblem sehr treffend auf den Punkt gebracht:
    Die technischen Abläufe lassen sich mittlerweile nur noch mit gehöriger juristischer Akrobatik vom Gesetz erfassen. Gleichzeitig ist die Realität im Netz eine völlig andere, als das Idealbild des Datenschutzes: Fast jede Webseite bindet irgendwelche externen Daten ein.

    Das führt letztlich dazu, dass selbst Datenschutzbeauftragte über das Recht stolpern, dessen Einhaltung sie zu überwachen haben. Hinzu kommt, dass Lösungen, die von Landesdatenschutzbeauftragten als datenschutzkonform gepriesen werden, u.U. sogar zu einem Mehr an Datenerhebung führen, gegenüber dem was man ursprünglich beanstandet hatte. Die professionellen Datenschützer haben sich verlaufen, bei dem Versuch, ein Rechtsregime auf Sachverhalte anzuwenden, die sich deutlich von denen unterscheidet, für die es ursprünglich geschaffen wurde.

    Das geltende Datenschutzrecht ist über Jahrzehnte hinweg maßgeblich von den professionellen Datenschützern bestimmt und mitgestaltet worden. Der Bundesdatenschutzbeauftragte, die Landesbeauftragten und die Art. 29-Gruppe der EU machen in diesem Bereich Politik. Sie sind keinesfalls bloße Rechtsanwender. Die Aussage, dass die Datenschützer nur ihren Job machen, während die Politik versagt hat, verkennt die Realitäten. Das geltende Recht ist nämlich gerade auch wegen des Einflusses der Datenschützer so wie es ist.

    Die Politiker und die Datenschutzbeauftragten verweigern sich der Einsicht, dass das geltende Datenschutzrecht im Internet weitgehend nicht mehr funktioniert und seine konsequente Anwendung dazu führen würde, dass deutsche Nutzer noch nicht einmal eine Website bei einem Massenhoster unterhalten könnten. Das Netz funktioniert in Europa nur deshalb noch weitgehend reibungslos, weil sich die meisten Akteure in stillschweigendem Einvernehmen entschlossen haben, das geltende Datenschutzrecht zumindest in Teilen zu ignorieren.

    Das vielleicht noch größere Problem besteht darin, dass sich das deutsche und europäische Datenschutzrecht faktisch nicht weltweit durchsetzen lässt. Das weltweite Netz wird sich nicht insgesamt den europäischen Datenschutzmaßstäben unterwerfen. Eine solche Annahme ist illusorisch. Das ULD versucht deshalb auch erst gar nicht, Facebook direkt anzugehen, obwohl das deutsche Datenschutzrecht durchaus auch für US-Anbieter Geltung beansprucht, sondern geht stattdessen auf deutsche Webseitenbetreiber los. Das dahinterstehende Konzept den Sack zu schlagen, obwohl man den Esel meint, ist in gewisser Weise symptomatisch.

    Wenn die skizzierte Schieflage des Datenschutzrechts und ihrer Anwendung beseitigt werden soll, wird es nötig sein, einige heilige Kühe zu schlachten. Die Alternative besteht darin, wie bisher mit einem praxisuntauglichen Datenschutzrecht weiter zu machen, das zwangsläufig missachtet wird. Lösungen, die auch in der Praxis funktionieren sind ohne Modifikation und teilweise Absenkung des bisherigen Datenschutzniveaus nicht möglich. Das wäre aber im Ergebnis weniger gravierend, als eine dauerhafte Beibehaltung des seit längerem bestehenden Vollzugsdefizits.

    Die aktuelle Diskussion findet bislang noch in schwarz-weiß statt. Es stehen sich Hardcore-Datenschützer und Apologeten der Post-Privacy gegenüber. Die Position der einen Seite ist wirklichkeitsfremd und die der anderen Seite gefährlich nah an totalitären Ideen. Es ist deshalb höchste Zeit, etwas Farbe ins Spiel zu bringen. Dies setzt allerdings einen Bewusstseinswandel voraus. Das Datenschutzrecht steht vor einem Paradigmenwechsel, auch wenn das noch nicht alle erkannt haben und viele auch nicht wahr haben wollen.

    Update:
    Der Kollege Niko Härting erläutert in einem Beitrag für die Zeitschrift Computer & Recht (CR), warum er die Vorgehensweise des ULD gar für verfassungswidrig hält. Härting sieht in der primär Unternehmen treffenden Aufforderung, Fanseiten bei Facebook zu löschen, einen Eingriff in die Berufsfreiheit. Dieser Diskussionsbeitrag verdient in jedem Fall ergänzende Erwähnung.

    Und was beim Kollegen Härting auch anklingt, hat der Kollege Strunk ausführlich dargestellt, nämlich, dass die Bußgeldandrohnung des ULD, soweit sie sich auf einen Verstoß gegen das TMG stützt, mangels Zuständigkeit rechtswidrig ist.

    August 16 2011

    Gesetzesentwurf zur Änderung des TMG offenbar nicht mehrheitsfähig

    Seit einigen Wochen wird über einen vom Bundesrat bereits beschlossenen Gesetezsentwurf zur Änderung des Telemediengesetzes diskutiert.

    Nach dem Willen der Bundesländer sollen damit u.a. die E-Privacy-Richtlinie, gerne auch Cookie-Richtlinie genannt, umgesetzt werden, sowie mit einem neuen §13a TMG strengere Datenschutzregelungen für soziale Netzwerke etabliert werden. In den Medien kolportiert wurde auch die Aussage, dass geplant sei, die Nutzung sozialer Netzwerke erst ab 16 zu erlauben.

    Für diese Regelungen zeichnet sich, zumindest in dieser Form, keine Mehrheit im Bundestag ab. In der Stellungnahme der Bundesregierung (am Ende des Dokuments ab S. 13) wird der Gestzesvorschlag in den zentralen Punkten abgelehnt. Zu der geplanten Regelung des § 13 Abs. 8 TMG, in der es um die Cookie-Thematik geht, hat die Bundesregierung eigene Vorschläge im Rahmen der laufenden TKG-Novellierung angekündigt. Was die datenschutzrechtlichen Aspekte anbelangt, möchte die Bundesregierung zunächst nach Lösungen auf europäischer Ebene suchen.

    August 11 2011

    IVW-Tracking-Tool doch nicht datenschutzkonform?

    Vor drei Tagen habe ich darüber berichtet, dass der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung verkündet hat, dass das Tracking-Tool der Fa. INFOnline GmbH, das u.a. von der IVW für ihre Reichweitenmessung eingesetzt wird, nunmehr datenschutzkonform sei.

    Kris Köhntopp hat diese Aussage aus technischer Sicht unter die Lupe genommen und erläutert anschaulich, warum eine Verbesserung des Datenschutzniveaus gerade nicht erreicht worden ist. Denn das Tracking des IVW basiert auf dem Einsatz von Cookies, wobei nach Ansicht Köhntopps im konkreten Fall mehr Daten erhoben werden als für die statistischen Zwecke der IVW notwendig.

    Auf Google+ hatte zuvor bereits Jürgen Kuri von der c’t darauf hingewiesen, dass das IVW-Zählverfahren offensichtlich dadurch datenschutzkonform gemacht wird, dass eine Opt-out-Möglichkeit eingeführt wird, die wiederum ein permamentes Cookie setzt. Denn durch dieses Cookie erkennt die IVW, dass man nicht gezählt werden möchte.

    Das ist aus datenschutzrechtlicher Sicht gänzlich widersinnig, um nicht zu sagen absurd und verdeutlicht einmal mehr, dass der Datenschutz in seiner bisherigen Form im Netz schlecht bis gar nicht funktioniert. Und ein Landesdatenschutzbeauftragter bejubelt den zusätzlichen Einsatz von Cookies als Durchbruch für den Datenschutz.

    Mir stellt sich hier dann aber auch die Frage, wie die Anbieter solcher Tools reagieren werden, wenn dieses Gesetzgebungsvorhaben tatsächlich das Ende der Cookies ohne Einwilligung einläutet? Was dann Herr Caspar?

    Wann kommt der längst überfällige Reality-Check im Datenschutzrecht?

    July 11 2011

    Cookies oder Pop-Up-Gewitter?

    Über das mögliche Ende der Cookies durch eine neue Vorschrift im TMG, die im Zuge der Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation geschaffen werden soll, hatte ich kürzlich berichtet.

    Wie das mit dem Pop-Up-Gewitter in der praktischen Umsetzung aussehen würde, zeigt das Blog von David Naylor sehr anschaulich. Vielleicht kann man es sich ja so besser vorstellen.

    July 08 2011

    Das Ende der Cookies

    Bereits vor einigen Wochen hatte ich auf die geplante Vorschrift des § 13 Abs. 8 TMG hingewiesen, die sich derzeit im Gesetzgebungsverfahren befindet und vom Bundesrat bereits beschlossen wurde. Obwohl die Vorschrift äußerst brisant ist, blieb eine größere Resonanz damals aus, was an der Überschrift meines Beitrags gelegen haben mag. Jens Ferner befasst sich in seinem Blog nunmehr ebenfalls mit dem Thema.

    Die Vorschrift, die in einem Entwurf zur Änderung von Vorschriften des Telemediengesetzes enthalten ist, bedeutet für Deutschland nichts weniger als das Ende von Cookies, wenn man den User nicht alternativ mit einem Pop-Up-Gewitter behelligen will. Die geplante Vorschrift lautet:

    Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

    Diese Vorschrift reicht nach ihrem Wortlaut freilich weit über Cookies hinaus und erfasst alles, was auf dem Endgerät des Nutzers (also PC, Notebook, Smartphone, iPad etc.) gespeichert wird. Für mich klingt das wieder einmal nach einer Vorschrift, die in der Praxis auf breite Missachtung stoßen wird, weil sonst verschiedenste Dinge nicht mehr wie gehabt funktionieren werden.

    June 17 2011

    Der Ausschuss für Agrarpolitikpolitik und Verbraucherschutz empfiehlt

    Es kommt wohl nicht von ungefähr, dass Netzpolitik bzw. die dazugehörige Gesetzgebung in Deutschland von Ausschüssen für Agrarpolitik und Verbraucherschutz bestimmt wird. Die vom Bundesrat auf Vorschlag des besagten Ausschusses bereits beschlossenen Änderungen des Telemediengesetzes bewirken das prinzipielle Ende von Cookies oder wahlweise neue Pop-Up-Gewitter (§ 13 Abs. 8 TMG neu).

    Nach dem geplanten §13a TMG sollen die Anbieter, insbesondere sozialer Netze, verpflichtet werden, die Voreinstellungen auf die “höchste Sicherheitsstufe gemäß dem Stand der Technik” zu setzen. Was von dieser geplanten Neuregelung zu halten ist, habe ich bereits vor einiger Zeit erläutert.

    March 28 2011

    Das böse Tracking

    Der Bundesdatenschutzbeauftragte Peter Schaar hat letzten Freitag ein neues Programm namens Prividor vorgestellt, das Datenschutzverletzungen auf Websites aufspüren soll, u.a. den Einsatz von Tracking-Tools. Das impliziert die Behauptung, Tracking würde eine Datenschutzverletzung darstellen und wirft die Frage auf, ob das was Schaar vorhat, nicht ebenfalls Tracking ist.

    Die deutschen Datenschutzbehörden haben sich in letzter Zeit bereits mehrfach als Steinewerfer im Glashaus entpuppt, die nicht in der Lage sind, ihre eigenen hochgesteckten Standards einzuhalten.

    Bevor die Datenschutzbeauftragten von Bund und Ländern in einem rechtlichen Graubereich Fakten schaffen – Tracking ist nämlich keineswegs unstreitig und in jedem Fall datenschutzwidrig – wäre der (europäische) Gesetzgeber gut beraten, klare Regelungen zu schaffen und den Irrweg, den er mit der “Cookie-Richtlinie” beschritten hat, wieder zu verlassen. Ein gewisse Entspannung würde dem Datenschutzrecht gut tun und könnte dazu führen, dass die Regelungen endlich auch in der Praxis funktionieren.

    Reposted bykrekk krekk

    March 01 2011

    Dusting for device fingerprints

    In a previous Strata Week post, I wrote about BlueCava, an Orange County, Calif.-based company that has patented a way of identifying the unique fingerprint of any electronic device connected to the Internet. Last October, they closed a $5 million round of series-A funding led by Mark Cuban.

    Recently, BlueCava announced the formation of an advisory board, which includes executives from Facebook, MasterCard, HP, FirstData, Bill to Mobile, and Merchant Warehouse. I caught up with CEO David L. Norris to discuss device identification, reputation technology, online fraud, and consumer privacy.

    Our interview follows.


    Tell me a bit more about what BlueCava does and how it works.

    David NorrisDavid Norris: BlueCava provides a platform that enables businesses to identify devices that are coming to their website. First, we identify the device and then we provide additional information about the device that would be useful to our customers in making decisions about how to interact with that device. One application is finding fraud. Another interesting area is social networking sites: a site may choose not to allow certain users to participate if they have a history of trollish behavior.

    As we identify devices, we build information about each device. One of the things we can tell about a device is if it's a shared computer being used by multiples users. We can also determine the specific level of use — whether it's a household computer in the kitchen with a handful of users or an Internet cafe computer with hundreds of users.

    It sounds like BlueCava is largely used to identify negative behavior. Can the technology also be used to identify devices or users with a positive history?

    David Norris: In some ways it's better to identify a good device rather than the bad ones — it's much harder to mimic or fake a "clean" machine that has no history. So we've taken on the task of identifying a broad set of devices. This year, we'll identify more than 1 billion devices.

    From there, among the partnerships we've signed up, we're going to assign direct financial benefits to those with a positive history, such as discounts and rewards. We'll be announcing further details soon. For site managers, it you have a historical reputation that's good, there's an opportunity to reduce some of the costs associated with interacting with you, like performing extensive background checks. So they can afford to pass some of those savings on to users who merit it.

    What about the privacy issues associated with device identification?

    David Norris: We do not collect any personal information. We don't collect Social Security numbers or email addresses. We identify devices and we characterize a device's behavior. For devices with GPS receivers built in, we collect information at a ZIP-code level, not a granular level. That would be a violation of privacy.

    We've also implemented what the FTC is calling "do not track," so users can either opt out or set their preferences when it comes to online marketing.

    There's a difference between being identified and being tracked: if you turn tracking off, we can still identify a device but we don't keep track of which websites it's been to.

    Since no system is perfect, what are the remedies available to users whose devices or histories are misidentified?

    David Norris: If a question comes up about a particular device, the user can go to the merchant or site owner, who can then escalate the issue in a review queue. It becomes a human process at that point.

    So BlueCava is not making direct recommendations about user accounts?

    David Norris: We're very careful not to position ourselves as a fraud solution. We are a tech company that can be part of an existing fraud solution, but device identification is only part of the story. We're gathering information that's already available and has been used for years by other companies. What we're doing differently is using it in a unique way.

    Imagine that you're a store owner, and one day someone walks into your store and then walks out. The next day, they walk in again, and your recognize them. You'd do that naturally based on hair color, eye color, the shape of their face, etc. And you could recognize them even if they were wearing a different shirt, because you know that their shirt can change but their face won't. We do the same thing with devices. Our technology is adaptive, and allows for change to occur. But it's up to each individual client how to use that information.

    Some users may find this kind of device identification intimidating because it seems like "magical spying." What would you say to them?

    David Norris: Cookies used to seem magical too. But then people got used to the idea of them.

    Our technology, I believe, will replace cookies eventually. It just observes your machine instead of reaching into it and dropping something there.

    Device identification is an improvement over cookies in part because if you choose to opt out, you're opted out and that's it. If you opt out using cookies, the system actually drops an opt-out cookie on your machine — if you clear your cookies, then you're opted back in! Also, you have to opt out on multiple browsers. From a device identification standpoint, it's much cleaner: you opt out once and it's done.

    This interview was edited and condensed.

    Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
    Could not load more posts
    Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
    Just a second, loading more posts...
    You've reached the end.

    Don't be the product, buy the product!

    Schweinderl