Zugriff durch Geheimdienste auf Daten von Google, Apple, Facebook & Co. (Folge #21)

Diese Podcast-Folge kann hier angehört werden:

Transkript zur Folge:

Datenschutz Deluxe. Der Podcast rund um das Thema Datenschutz und IT. Mit Dr. Klaus Meffert und Stefan Plesnik.
Ja, hallo und herzlich willkommen zum Datenschutz Deluxe Podcast. Ich bin Stefan Plesnik und bei mir ist natürlich wieder Dr. Klaus Meffert. Klaus, wie geht es dir?
Ja, Stefan, hallo. Vielen Dank, dass wir wieder zusammenkommen. Mir geht es gut und ich freue mich auf unsere Sendung.
Wunderbar. Ich habe uns ein Zitat rausgekramt. Und zwar hat das unsere Bundeskanzlerin a.D. gesagt.
Die hat mal gesagt, ich bin für Bürgerbeteiligung, ich bin für Transparenz.
Ich lasse das jetzt einfach mal so im Raum stehen ohne Wertung. Aber wichtig, das Thema Transparenz.
Darüber möchte ich nämlich mit dir sprechen. Und zwar im Speziellen über die sogenannten, offiziell so betitelten Transparenzberichte von zumeist großen Konzernen und Unternehmen.
In Bezug darauf, wie häufig sie ihre Daten, die sie sammeln, denn gegenüber welchen Parteien offenlegen.
Und ich denke, am besten erklären wir mal ganz genau, was das bedeutet im ersten Schritt, bevor wir dann mal darauf eingehen, was die Implikationen sein können, wenn solche Daten offengelegt werden.
Klaus, möchtest du einmal kurz erklären, was diese Transparenzberichte dieser Unternehmen sind?
Ja, also ich versuche es mal. Ich bin jetzt rechtlich nicht so weit, dass ich sagen kann, warum diese Transparenzberichte veröffentlicht werden.
Ich vermute, sie müssen veröffentlicht werden von vielen Unternehmen wie Google, Facebook, Adobe und Microsoft.
Denn freiwillig werden diese Unternehmen jedenfalls nicht zugeben, dass sie Daten an Geheimdienste aus den USA weitergeben, Daten von Nutzern zum Beispiel.
Meistens nicht.
Meistens nicht, ja. Deswegen glaube ich, sie sind gezwungen dazu, es zu tun, diesen Transparenzbericht zu veröffentlichen.
Ich habe mir den Transparenzbericht von Google insbesondere mal näher angeschaut, auch den von Facebook.
Und da stellt man eben fest, dass da zahlreiche Datenabfragen weltweit von Behörden aus der ganzen Welt kommen an Google, wo es darum geht, dass Google eben Nutzerdaten von dir oder mir herausgibt.
Und dass für die USA auch die meisten Abfragen natürlich aus den USA stattfinden. Die betreffen aber auch Daten aus Deutschland.
Also es ist nicht so, dass nur aus den USA Daten von amerikanischen Nutzern erfragt werden, sondern Daten auch aus Deutschland.
Ich habe jetzt gerade parallel, wo du das gesagt hast, einfach aus Interesse mal kurz den Privacy Report von Apple mir angeguckt.
Die haben das natürlich auf ihrer Webseite so dargestellt, als wenn das irgendwie was total Besonderes wäre, wie so ein Hochglanzprodukt.
Ist schön gestaltet, muss man sagen.
Da kann man sich auch angucken, wie viele Government Requests, also Anfragen der Regierung oder von Regierungen zwischen dem Juli und dem Dezember 2021 gab.
Und da gab es Requests, also Nachfragen, die angekommen sind bei Apple für Geräte.
Und zwar sind das über 11.000 in sechs Monaten. Über 11.000.
Anfragen, wohlgemerkt, da muss man nochmal schauen, vielleicht kannst du das nachschauen.
Nämlich eine Anfrage heißt nicht, dass nur ein Nutzer herausgegeben wird, sondern oft ist es so, dass bei 11.000 Anfragen beispielsweise 150.000 Nutzerkonten erfragt werden.
Genau, das steht hier auch, wie viele Accounts das betrifft. Und das betrifft 899.
Also knappe 9.000 Leute. Bei 11.000 Abfragen betrifft es 899 Accounts.
Das heißt, da wird ganz gezielt bestimmt auf ein paar Personen irgendwie referenziert.
Also da würde ich jetzt denken, das sagt mir, da wurde gezielt irgendwie nach bestimmten Geräten bestimmter Personen gefragt oder die Zugriffe darauf versucht zu erfragen.
Also ich kenne jetzt eher den umgekehrten Fall.
Ich kann jetzt mal bei Facebook, muss ich gerade mal schauen, da ist es so, dass bei, ich sag jetzt mal aus dem Bauch heraus, 75.000 Anfragen sind dann 120.000 Nutzerkonten betroffen gewesen.
Bei Google ist das Missverhältnis noch größer. Da gibt es nämlich 0 bis 499 Anfragen, so ist es zu lesen, im Zeitraum von Januar bis Juni 2022.
Neuere Zahlen gibt es nicht von Google, obwohl sie spätestens drei Monate nach oder sechs Monate, nachdem der Zeitraum vorbei ist, veröffentlicht werden sollen.
Aber jetzt haben wir ja schon drei Monate, es wird also langsam Zeit für den nächsten Berichtszeitraum.
Das heißt also 0 bis 499 Anfragen betrafen 95.000 bis 95.999 Konten.
Also ich sag mal so, die 0 kann man streichen, denn wenn 0 Anfragen da waren, kann es ja nicht um 95.000 Konten gehen.
Also 0 schließt irgendwas aus, sind wir uns, glaube ich, einig rein mathematisch, oder?
Also kann man vor Gericht drüber streiten, ob 0 und irgendwas sich ausschließen, da wird irgendein Anwalt sich ja auch noch herausfinden, warum das sich nicht ausschließt.
Aber 0 Anfragen können nicht 95.000 Konten betreffen, also muss es mindestens eine Anfrage bis 499 Anfragen gewesen sein, die 95.000 Konten betroffen haben. So ist es bei Google.
Ja, das ist sehr spannend. Also bei Apple hab ich jetzt gerade, wo du das gesagt hast, noch mal nachgelesen, da gibt es so kleine Infobubbles, was diese einzelnen Dinger erklärt, was das bedeutet.
Und bei denen sind also wirklich die 4 Gruppen, Device, Financial Identifier, Account und Emergency, das sind 4 unterschiedliche Anfragetypen, die nichts miteinander zu tun haben.
Das bedeutet also, die haben im Endeffekt laut ihrem Berichter in diesen 6 Monaten 2021 haben sie device-technische Requests von knapp 12.000 gehabt.
Mit spezifischen Identifiern, was Devices angeht, hatten sie fast 18.000 und jetzt kommt das Spannende, in fast 10.000 Fällen haben sie dann Daten rausgegeben.
Und das sind immerhin stolze 78% bei Anfragen über Geräte.
Jaja, also die Zahl deckt sich auch mit dem, was ich bei Facebook gesehen habe. Da sind es auch um die 80% der Anfragen, in dem Fall jetzt bei US-Behörden. Bleiben wir mal dabei, ist ja pro Land unterschiedlich.
Also Anfragen von US-Behörden an Facebook, Nutzerdaten herauszurücken, wurden ungefähr 80% befriedigt von Facebook.
Und jetzt sagen manche, ich bin ja gar nicht bei Facebook. Blödsinn, kann man da sagen. Facebook weiß alles über uns. Nicht ganz so viel, wenn man nicht bei Facebook ist, aber trotzdem immer noch zu viel.
Denn jeder hat wahrscheinlich schon eine Webseite besucht, die einen Facebook-Pixel einbindet. Meistens rechtswidrig, muss man sagen.
Aber ist ja auch egal, wenn Facebook die Daten hat, dann interessiert Facebook sich nicht dafür, ob die Daten rechtsmäßig oder rechtswidrig zu Facebook kamen, sie werden einfach verarbeitet. Genauso ist es bei Google auch.
Und deswegen ist es sehr wohl so, dass Facebook Nutzerdaten von Personen hat, auch wenn sie nicht bei Facebook sind. Und bei Google ist es natürlich genauso.
Man ist ja nicht bei Google, man ist mit Google, könnte man fast sagen. Oder Google ist in einem Leben drinnen, muss man leider so sagen. So lange es Google existiert, wird es leider so sein.
Also wir haben ein Google-Android-Smartphone, wir haben ein Tablet von Google, manche haben auch ein Notebook von Google. Man benutzt die Google-Suchmaschine, also ich nicht, mittlerweile mehr.
Man benutzt Google Maps, es gibt auch andere Routenplaner übrigens. Man ruft Webseiten auf, wo Google-Fonds eingebunden sind zum Beispiel, wo ja angeblich keine Daten an Google weitergereicht werden und nicht weitergenutzt werden.
Da schreibt Google zum Beispiel, die IP-Adresse speichern wir nicht ab. Okay, jetzt sage ich mal vereinfacht, man kann natürlich die IP-Adresse umdrehen und den rückwärtigen Wert einfach abspeichern, dann hat man auch nicht gelogen.
Oder man speichert einfach einen eindeutigen Hashwert ab zur IP-Adresse und schon hat man nicht gelogen.
Wenn nämlich deine IP-Adresse nach fünf Tagen wiederkommt, dann habe ich zwar deine IP-Adresse nicht in meiner Datenbank, aber wenn ich den eindeutigen Hashwert bilde, dann kann ich nachgucken in meiner Datenbank, ja Moment mal, dieser eindeutige Hashwert, der war ja vor fünf Tagen schon mal da, also muss das ja jetzt wieder derselbe Nutzer sein.
Welche IP-Adresse, da hat es mir letztendlich wirklich egal, weil ich weiß ja, dass es der Stefan Plesnik ist, weil wenn du nämlich noch Gmail hast oder die Google-Search-Konsole, dann musst du ja deine E-Mail-Adresse angeben bei der Google-Search-Konsole, wo dann deine Domäne kodiert ist, wo du bei DNIK registriert bist damit, kann ja jeder deine Adresse rausfinden, der das möchte.
Oder bei Gmail, wenn du der Inhaber von Gmail bist, Google nämlich, dann kannst du einfach sehen in der E-Mail, wo dann deine Adresse da drinsteht, deine Postadresse wohlgemerkt, entweder weil du sie selbst in deine Mails ab und zu mal reinschreibst oder weil andere dir schreiben sozusagen, ja.
Ich hab an ihre Adresse jetzt was geschickt, Online-Shop oder so was, keine Ahnung, die haben die folgende Lieferadresse angegeben und schon ist es ein personenbezogenes Datum. Ich hab gestern übrigens, gab es das Grazer Datenschutzgespräch, also Österreich, da wurde über Google-Fonds gesprochen, da hab ich nur zugehört, ein paar Kommentare in den Chat reingeschrieben, da war ja auch der Anwalt der Beklagten, der sozusagen abwehren soll, dass Google-Fonds rechtswidrig ist.
Es kann auch sein, dass er das schafft, weil ja die Massenabmahnung ja leider auch rechtswidrig ist. Und da, der hat Google sogar den Streit verkündet als Beklagter, Beklagtenvertreter muss man sagen, das heißt, er sagt, wir haben die Klage ja nur bekommen, weil Google schuld dran ist sozusagen.
Das ist also ein übliches Konstrukt, dass man dann den dazu lädt, dem Streit verkündet, der eigentlich schuld ist da dran, der soll nämlich dann bei der Verteidigung helfen und wenn er es nicht kann, dann kann man ihm den Vorwurf sozusagen selbst machen. Da bin ich mal gespannt, was dabei rauskommt.
Ich auch. Okay, pass auf, lass uns mal zum Thema zurückkehren, weil ja, das stimmt alles, was du mit Google sagst, das ist auch alles wichtig, aber wir waren ja eigentlich bei der Frage, was sind denn eigentlich jetzt quasi diese Implikationen, die wir überhaupt, also was können wir als Nutzer überhaupt mit diesem Transparenzbericht anfangen.
Und ich habe jetzt mal die Details des von Apple aufgerufen und da kann man dann in den Details, also in dem PDF, was man auf der Webseite sich runterladen kann, kann man sehr schön sehen, pro Land die Anfragen.
Das heißt also, es ist nicht nach den Nutzern eines Landes gestaffelt, sondern nach den Länderregierungen, die Anfragen stellen.
Und das ist dann wieder ganz richtig und wichtig und interessant, weil es geht hier, da steht auf jeden Fall auch drüber.
Das bedeutet, hier geht es also nicht nur darum, dass eine Regierung versteckt nach bestimmten Informationen über Menschen zur Spionage erfragt hat, sondern es geht ja, es schließt auch alle Anfragen ein, die zur Spionage eingeführt werden.
Zum Beispiel dadurch passiert sind, dass jemand zur Polizei gegangen ist, gesagt hat, ich habe mein Handy verloren und daraufhin dann ein Mechanismus ausgelöst wurde, bei dem man versucht hat, dieses Handy zu orten oder in irgendeiner Form wiederzufinden.
Das heißt, wenn wir uns dahingehend dann diese 11.000, 17.000 Requests und so weiter anschauen, muss man glaube ich ein bisschen differenzieren, dass in diesen device specific identifiers, im Endeffekt, da werden ganz klare Anfragen auf ein bestimmtes Gerät gestellt, was vielleicht darauf hinweisen kann, dass hier in der Zahl eben auch mehr Privatanfragen, die bei der Polizei wegen gestohlener oder verlorener Geräte gestellt wurden.
Und bei den 11.000, die direkt aufs Gerät gehen, aber nicht einen speziellen Identifier auslesen, können natürlich vielleicht auch andere mit drinstecken.
Das heißt also, auch diese Zahl von knappen 10.000, in denen dann die Information herausgegeben wurde, kann sehr gut positiv damit korrelieren, dass hier wirklich quasi vorgelegt wurde, pass auf, wir haben hier eine Strafanzeige wegen einem gestohlenen Gerät oder wir haben hier eine lost and found Anzeige und deswegen brauchen wir diese Daten.
Es muss also nicht immer sein, dass irgendjemand gegen uns ist, wenn das passiert. Das ist wichtig, wenn man diese Zahlen interpretiert.
Ja, das stimmt. Also da gebe ich dir recht. Es kann durchaus auch Fälle geben, in denen sozusagen eine für den Nutzer positive Anfrage kommt.
Aber ich glaube bei denen, wenn du dein Handy verlierst, wird erstens nicht der US-amerikanische Geheimdienst tätig oder selbst wenn du aus Amerika kommst und in Deutschland bist.
Und zweitens ist es so, man stellt normalerweise die Anfrage an den Provider oder der, der den Mobilfunkmasten unter sich hat. Da frage ich nicht Google, wo ist denn das Handy?
Also das glaube ich nicht. Ich glaube auch nicht, dass Google die Daten überhaupt herausgeben würde oder vielleicht sagen würde, vielleicht sagt Google sogar, wir haben diese Daten gar nicht.
Also wo ein Handy ist, das weiß offiziell nicht Google oder beziehungsweise weiß es eher jemand anders als Google. Das muss man, glaube ich, auch sagen.
Also eine Polizei wird nicht Google fragen, wo ist denn das Handy, nur weil es ein Google-Telefon ist. Also das wird nicht passieren, denke ich.
Außer es geht um eine Straftat. Aber dann ist es halt schon so, also da muss man sagen, wenn es um eine Straftat geht zum Beispiel, dann ist es eher weniger zum Vorteil der Person, der das Handy gehört.
Außer sie ist tot. Aber da behaupte ich mal, kommt das nicht ganz so oft vor, dass man, also wie gesagt, da ist ja auch wieder der Fall, da frage ich den Mobilfunkprovider oder so, wo wurde das Handy zuletzt eingeschaltet oder welche Funkzelle war zuletzt aktiv oder sowas.
Da muss ich nicht Google fragen.
Ne, das ist richtig. Ich glaube, was damit gemeint ist, ist, dass ich als Nutzer, ich verliere mein Gerät, ich gehe zur Polizei, melde das als gestohlen und die Polizei geht hin und sagt, liebe Firma, könnt ihr das Gerät orten, könnt ihr mir sagen, wo das ist.
Ich glaube, das ist der Weg, der da beschrieben ist.
Den Weg, den du gerade beschrieben hast, wegen hier Zugriffe durch Geheimdienste der USA, der ist auch aufgeschlüsselt, aber der ist ein bisschen, ich sag mal, weniger transparent aufgeschlüsselt.
Hier kann man nämlich ganz klar sehen, dass National Security Letters, also Anfragen, die an die NSA oder quasi von der NSA gestellt wurden, da wird dann nicht mehr angegeben, wie viele es waren, sondern da steht dann nur 0 bis 499.
Das steht übrigens bei allen Formen von Requests, die dort gestellt wurden.
Und dann dahinter, wie viele User-Accounts so Pi mal Daumen davon betroffen sind, was dann so zwischen 500 und 32.000 liegt.
Das heißt, hier gibt es keine transparenten Zahlen dazu, wie viele da wirklich dann rausgegeben wurden.
Und vor allen Dingen, was auch sehr interessant ist, hier wird überhaupt nicht spezifiziert, zu welchem Zweck.
Also wenn wir jetzt mal kurz da zur DSGVO rübergehen und dem, was wir als deutsche Unternehmen alles machen müssen, um zu sagen, warum verarbeiten wir Daten.
Also in dem gesamten Apple Report steht nirgendwo drin, die Anfrage wurde zu diesem Zweck gestellt.
Das ist ganz wichtig, dass man vorwegt.
Bei Google steht's, ich muss dich aber vorab enttäuschen, es wird dir auch nicht viel helfen und dir nicht besonders gefallen.
Ich lese nur die drei Kategorien mal vor.
Es fängt schon nebulös an, so würde kein normaler Mensch eine Statistik anfangen.
Also es gibt drei Kategorien, die erste lautet, andere rechtliche Ersuchende.
Also da könnte man jetzt schon aufhören und Google ins Gesicht schlagen, sag ich mal.
Also da könnte man schon, da weiß man schon, mit wem man es zu tun hat, finde ich.
Also wer so anfängt, eine Statistik, der hat nichts zu suchen auf diesem Planeten, meiner Meinung nach.
Zweite Statistik, Ersuchen um Offenlegung in Notfällen.
Okay, das kann man nachvollziehen.
Und drittes ist, Ersuchen um Aufbewahrung sogar.
Also das ist der gegenteilige Fall zum Auskunftsgesuch, könnte man fast sagen.
Ich muss aber allerdings auch sagen, die zweite und dritte Kategorie sind so dermaßen unterrepräsentiert,
was die Anzahl der Anfragen angeht, dass man sie auch einfach weglassen kann.
Es bleibt, also sieht man an den Balken.
Der Balken, der ist gefühlt, ich sag jetzt mal, auf meinem Bildschirm sind es acht Zentimeter hoch, ja.
Davon sind 7,9 Zentimeter blau.
Blau heißt andere rechtliche Ersuchen.
Und die restlichen ein Millimeter teilen sich dann Ersuchen um Offenlegung in Notfällen rot
und Ersuchen um Aufbewahrung gelb.
Ich kann sogar rot gar nicht erkennen.
Ich sehe hier nur grün, ehrlich gesagt, und nicht rot.
Aber gut, wenn man genau hinguckt, da muss man schon sehr gute Augen haben,
um diese anderen beiden Kategorien überhaupt identifizieren zu können.
Aber ich möchte es nochmal sagen.
Diese Notfälle, die sind also quasi nicht vorhanden.
Aufbewahrung quasi auch nicht.
Und die anderen rechtlichen Ersuchen, das sind nicht Handyverloren oder so was.
Hier steht es auch üblicherweise strafrechtliche Ermittlungen.
Und das kann ja auch durchaus sein.
Das ist das Gleiche wie bei der IP-Adresse übrigens.
Auch wenn wir über dynamische IP-Adressen reden,
deswegen kommt es gar nicht darauf an,
ob man mich als Anschlussinhaber eindeutig identifizieren kann oder nicht.
Ich habe eine Webseite X besucht mit einer dynamischen IP-Adresse 4711.
Drei Tage später hat jemand anders diese IP-Adresse 4711.
Das ist ein Verbrecher.
Der greift diese Webseite an und macht eine Denial-of-Service-Attacke
oder versucht, da Spionage-Software zu platzieren oder sonst irgendwas.
Oder macht da rechtswidrige Kommentare in Kontaktformular.
Dann geht die Polizei her
und möchte gern den Anschlussinhaber zu dieser IP-Adresse haben.
Und dann kommt dann vielleicht raus, dass ich auch der Anschlussinhaber war.
So, und damit habe ich einen Nachteil dadurch,
dass meine IP-Adresse ausgewertet wurde,
die nur zu dem Zweck erhoben werden durfte,
die Webseite bereitzustellen.
Ich vereinfache es jetzt.
Wenn man eine Einwilligung abfragt, andere Zwecke.
Aber jedenfalls nicht für strafrechtliche Ermittlungen.
Und ich bin ja auch dafür, dass man Verbrecher fängt.
Aber über die IP-Adresse zu gehen, das ist meistens sehr, sehr ineffektiv
und sorgt auch für viele Fehlverdächtigungen.
Ich wollte nur noch mal die Thematik klarstellen,
warum selbst dynamische IP-Adressen,
wo man nicht eindeutig weiß, wer der Inhaber war,
wenn man keine Cookies von Google auf dem Rechner hat,
sonst weiß man es ja schon,
dass eben selbst diese nicht eindeutigen IP-Adressen
zum Nachteil einer Person werden können.
Selbst wenn sie meint, sie hat nichts zu verbergen.
Wenn nämlich die Polizei vor der Tür steht und einen abführt,
weil man erst mal Verdächtiger ist,
dann kann man sich ja noch mal überlegen,
ob man nichts zu verbergen hat oder doch.
Das hast du sehr schön gesagt.
Also, ich bin da ganz bei dir.
Das ist auf jeden Fall...
Ich sag mal so, wenn wir jetzt mal zurückgehen
auf das Thema Transparenz und Transparenzbericht,
andere anfragen, wenn damit es schon beginnt
und das dann so nebulös dargestellt,
dann ist ja von, sag ich mal, scheinen die Anforderungen,
so einen Transparenzbericht zu erfüllen,
irgendwie erstens nicht klar geregelt zu sein
und zum Zweiten von den Unternehmen
nicht wirklich ernst genommen zu werden.
Das heißt, irgendwie kriege ich so ein bisschen das Gefühl,
ich kann mit diesem Transparenzbericht jetzt machen,
was ich will, ändern an der Praxis,
im Umgang mit den Daten scheint es nichts irgendwie zu haben.
Ja, also vor allem, ich sag mal so,
den Google-Transparenzbericht,
der hat ja doch einige Informationen mehr
als andere Transparenzberichte,
auch wenn er vage bleibt in vielen Fällen.
Aber was man daraus eben sehen kann,
ist, dass Google sich selbst belastet.
Wenn man es will, kann man es jedenfalls so lesen.
Denn in dem Google-Transparenzbericht
steht explizit drinnen,
und das ist ja auch eigentlich Allgemeinwissen
in der Datenschutzszene,
egal ist, wo der Server steht,
oder wo Daten gespeichert werden,
wenn es um ein US-amerikanisches Unternehmen geht,
die Daten müssen dann herausgegeben werden,
auch wenn es ein Server aus Europa ist.
Ist ja auch irgendwie logisch.
Wie blöd muss man eigentlich sein und glauben,
der amerikanische Geheimdienst geht zu Google hin
und Google sagt, ja, ich würde dir ja gern die Daten herausgeben.
Ich hab auch Zugriff auf den Server,
aber der steht in Europa.
Dann sagt die NSA, ach, okay,
dann nehmen wir den Server halt nicht.
Das ist ja vollkommener Blödsinn.
Google selbst gibt es ja auch zu,
dass es Blödsinn ist,
was ich gerade suggestiv sagte,
sondern egal, wo die Daten liegen,
sie müssen herausgegeben werden.
Weiterhin, ich hab sie jetzt eben noch mal rausgesucht,
oder gestern, weil in den Google-Datenschutz-Hinweisen
steht ja immer Google.
Da fragst du dich ja wahrscheinlich auch und ich mich,
was ist denn eigentlich Google?
Ist Google ein Unternehmen?
Ist Google eine Marke?
Ist Google Irland oder Google Amerika?
Ist Google der Weltbeherrscher?
Ist Google ein Mineralwasser?
Keiner weiß es, deswegen hab ich es nachgeguckt.
Google erklärt es ja sogar selbst.
Google bedeutet, laut Google,
wenn wir über Google
wir, uns und unsere sprechen,
meinen wir Google Ireland Limited
und deren verbundene Unternehmen.
Klickt man dann auf
verbundene Unternehmen, erscheint,
Verbundesunternehmen ist ein Unternehmen,
das zur Google-Unternehmensgruppe gehört,
Google LLC, das ist Amerika,
und deren Tochtergesellschaften,
das sind alle, einschließlich der folgenden Unternehmen,
die Verbraucherdienste in der EU anbieten.
Google Ireland Limited, das ist der Google,
der Vertragspartner, der aber nur Placebo ist.
Google Commerce Limited und Google Dialer Inc.
Und natürlich 47.000
andere Google-Unternehmen,
leicht übertrieben gesagt in der Zahl, aber es kommt schon fast hin.
Also Google ist alles.
Und wenn ich mit Google Irland
einen Vertrag abschließe, dann heißt das,
dass ich mit Google LLC einen Vertrag
im Endeffekt abschließe.
Genau. Und dass ich auch vor allen Dingen
der Datenschutzpolitik
dieses Unternehmens ebenfalls
zustimme, wenn ich der Datenschutzpolitik
des anderen Unternehmens, mit dem ich
eigentlich den Vertrag nur schließe, auch zustimme.
Und da kommen wir ja wieder in diese
Thematik dieser Rechtfertigung,
dass da immer so getan wird, als wenn das
unterschiedliche
Entities wären, also unterschiedliche einzelne
Unternehmen, die irgendwie nichts miteinander
zu tun haben. Dabei spielt ja
nochmal der Faktor hinten rein,
dass gerade die großen Player
im Silicon Valley, wie Google, wie Amazon
und Facebook und so weiter, dass die ja
zum Teil sogar bekannt gegeben haben,
dass die Daten und
Analyseverfahren miteinander
teilen, um so die Daten noch
hochwertiger und spezifischer,
personenbezogener
zu verifizieren. Das bedeutet
also, wenn man diese Praxis,
die offensichtlich herrscht, jetzt noch mit
da reinnimmt und dann sagt,
ja, mir ist das eigentlich egal,
weil wenn der Server in Deutschland
ist, dann sind meine Daten ja per se sicher.
Dann ist das nicht nur
wirklich blauäugig, sondern
ziemlich fahrlässig, weil
die Daten, über die dort jemand entscheidet,
das sind ja nicht Privatpersonen,
die das für sich selber entscheiden können,
sondern wir reden ja über Unternehmen, die zum Beispiel
ihre Mitarbeiter
zwingen, bestimmte Microsoft-Produkte
einzusetzen und dann sagen, ja, wir
haben dazu Standardvertragsklauseln
festgelegt und als
Rechtfertigungsgrund genutzt und dann haben
wir einen Auftragsverarbeitungsvertrag
mit denen und deswegen ist das alles
koscher und okay. Das mag
ja sein, dass das auf der rechtlichen Ebene aktuell
vielleicht so viel Bewandtnis
hat, dass das stimmt, dass man das dann
vielleicht jetzt rechtlich nur schwieriger
anfechten kann. Aber auf einer moralischen
Ebene der Tatsache,
welcher Manipulation
setze ich eine andere
Person aus, der ich nur dieser
Manipulation aussetze, weil
ich in der Position bin, ihr einen
Job zu geben. Also diese Hybris
und Arroganz, die auch da drin steckt,
finde ich, das sollte eigentlich
viel stärker im öffentlichen Diskurs
den Imageschaden solcher
Unternehmen zeichnen, als
viel weniger diese
Bußgeldbescheide, wo dann über Geld
wieder diskutiert wird, die by the way ja noch
nicht mal in irgendeiner Form dafür genutzt
werden, dass sich datenschutztechnisch
oder datenschutzrechtlich irgendwas verbessert.
Es gibt einen allgemeinen Bußgeldertopf und von
da aus wird genauso weiter verteilt, wie der
allgemeine Bußgeldertopf das vorsieht.
Das habe ich sogar schriftlich von allen
16 Landesdatenschutzbehörden
mir geholt, die alle
gleich mit, und das ist vielleicht auch interessant zu
wissen, mir bestätigt haben,
der ein Datenschutzvorfall
ist für die Datenschutzbehörde
dann abgeschlossen
und ad acta gelegt, wenn der
Bescheid zum Bußgeld rausgesendet
wurde oder die Information
darüber, warum kein
Bußgeld erlassen wird
und kein Verstoß vorliegt. Das heißt, die
Datenschutzbehörden wissen
allesamt, haben die nicht einen
Hauch einer Ahnung, wie viele
Bußgelder bezahlt wurden. Das sollte man
vielleicht wissen. Das hatten wir zum Beispiel
die Thüringer Datenschutzbehörde
und die aus Sachsen-Anhalt
haben mir das sogar per Brief geschickt,
wo das Schwarz auf Weiß drinsteht, dass die keine
Ahnung haben, ob und wenn ja
wie viele dieser Bußgelder überhaupt
bezahlt wurden. Das geht dann nämlich an die
Bußgelderhebungsstelle, die auch
wieder Ländersache ist, also da gibt es dann auch wieder
16 unterschiedliche in Deutschland
und die kommunizieren auch nicht miteinander.
Ja, ich hoffe ja, dass die Bußgelder
rechtswirksam eingetrieben werden,
der Staat hat ja doch einige Möglichkeiten.
Ich gehe mal davon aus, dass die meisten Bußgelder
bezahlt werden, nämlich von den Firmen, die nicht insolvent
sind, wobei natürlich dann
auch die, also ich sag mal so, wenn das
Bußgeld deswegen nicht bezahlt wird, weil der
Bescheid nicht anerkannt wird rechtlich,
dann wird ja ein Gerichtsverfahren eröffnet,
wo die Behörde ja dann eingebunden
wird, also dann kriegst du es schon mit.
Aber vielleicht
nochmal, also sehr interessant, was du sagst, Stefan,
ich finde es gut, kann man auch mal einen eigenen Beitrag
machen,
oder dein Video vielleicht, was du ja auch
immer wieder mal machst.
Aber was ich noch gelesen habe, zu den
Daten, die rausgegeben werden,
also wie gesagt, die IP-Adresse ist ein hochsensibles
Datum, für Google zumindest.
Ich will nur mal ein Beispiel nennen.
Wenn man auf stiftungwarentest, also
test.de, nach dem Suchbegriff
Erektionsproblem sucht,
also im Suchfeld der Webseite
test.de, nicht auf google.de.
Bei google.de kann man es auch suchen.
Dann ist das doch verknüpft mit der IP-Adresse
und wenn ich die IP-Adresse an jemand anders
weiterleite und die Adresse,
in der der Suchbegriff codiert ist, die Webadresse,
wird nämlich bei stiftungwarentest so gemacht,
dann ist das doch
ein Gesundheitsdatenwert sogar,
Erektionsproblem, also da muss man doch
nichts zu tun, als wäre die IP-Adresse harmlos.
Wenn ich zu dir die Nummer
als PDF speicher und zu
dieser Nummer dein Einkommen,
deine sexuelle Orientierung und dies
und das und deine Religionszugehörigkeiten
und was sonst noch alles, Krankheiten
möglicherweise, dann ist es doch auch ein
kritischer Datenwert und nicht nur eine
Zahl 4711. Also Google
gibt selbst zu, dass nämlich, je nachdem wer
anfragt, wird nämlich bei E-Mail-Kommunikation
zum Beispiel die Felder
Absender und Empfänger weitergegeben,
auch die IP-Adresse,
aber auch Inhaltsdaten,
also die ganze Nachricht zum Beispiel,
Dokumente, Fotos und Videos,
ein FISA ersuchen, kann die
Offenlegung von Nutzerdaten wie Gmail
Nachrichten, also E-Mails,
Dokumenten, Fotos und Videos verlangen,
FISA ist eine
der Rechtsvorschriften in den USA, die entgegen der
DSGVO existiert, um Geheimdiensten mehr
Rechte zu geben. Aber um es nochmal zu sagen,
wenn ich jetzt als unbescholtener Bürger
eine Mail von jemanden bekomme,
der mir in die Rasterfahndung reingerät,
vielleicht als Verdächtiger, zu Unrecht
oder zu Recht, ich hab jedenfalls
nichts damit zu tun, dann wird meine
Empfängeradresse an den Geheimdienst gegeben
und ich werde auch überwacht,
obwohl ich überhaupt nichts getan habe.
Das muss man vielleicht auch nochmal
der Vollständigkeit aber sagen.
Und dann noch eine Sache,
und zwar gibt es auch diese
Google und Facebook veröffentlicht sie ja auch selbst,
diese National Security Letters, NSLs,
die schreibt dann das FBI üblicherweise,
ich hab zumindest ein paar gesehen, die waren alle vom FBI,
an Google oder Facebook,
bitte gib uns deine Nutzerdaten raus,
sage ich jetzt mal vereinfacht. Unterschrieben in dem
einen Fall von David Sandberg,
Special Agent in Charge
New Haven und einmal von
Special Agent in Charge Michael D.
DeLeon aus Phoenix, Arizona.
Ich hab jetzt nur zwei Beispiele genannt. Also man sieht,
es geht hier um Geheimdienstaktivitäten
und nicht um irgendwelche
harmlosen Dinge.
Das
definitiv,
wo du das gerade ansprichst, habe ich im Apple Report
auch nochmal nach der Zeile gesucht, was diese
National Security Request Types
sind. Und hier steht
zu dem, was du gesagt hast, noch was ganz
Spannendes bei, nämlich hier steht
iOS Device Backups, also
alles, was im Gerät ist und jemals
war.
Das ist Teil dieser
Offenlegung. Und wenn ich mir überlege,
dass da steht bei diesen
National Security Request Types,
gehe ich jetzt hin, gucke auf die Request Types,
dann sehe ich drei unterschiedliche Kategorien,
die sind hier nicht weiter ausgeführt. Also hier steht
jetzt nicht, das bedeutet
das, das bedeutet das. Aber es
steht halt FISA Non-Content und Content
Request. Das sind die ersten beiden. Und die
kulminiert, würden mehr
als 1000 Anfragen,
Pi mal Daumen, also sie gehen halt beide
bis 500, und
betroffene User-Accounts
mehr als 55.000.
Und es steht halt
keine Information nochmal darüber,
warum diese Anfragen
gestellt wurden. Das wird nicht offengelegt.
Der gesamte Bericht weiß nicht,
wie du es gerade exemplarisch
vorgelesen hast, irgendwelche Namen
oder Briefe vor, wo man sehen
kann, okay, das ist der Request, der gestartet
wurde, das ist die Begründung für den Request.
Sondern es sind nur diese
vagen Zahlenräume,
die da auf dem Blatt Papier stehen.
Man kann sich das als PDF runterladen.
Ich schicke dir gern den Link, dann kannst du den
in deinen Beitrag zu diesem
Podcast mit dazu tun, damit die Leute sich auch
mal umsehen können. Aber man muss hier
wirklich sagen, transparent
ist das wirklich nur
so an der,
ja, ich sag mal so, an der Oberfläche
so ein klein wenig. Es ist, wenn überhaupt,
die Spitze des Eisbergs. Wenn überhaupt.
Ja, genau. Man merkt es ja
wie gesagt an der Zahl bei Google.
Anzahl der Ersuchen 0 bis 499.
Ich finde es eine Unverschämtheit,
da die 0 hinzuschreiben. Warum schreiben
sie nicht 1 bis 499? Das wäre auch
schon sehr unkonkret. Oder schreiben einfach
10 oder von mir aus auch
20 bis 30 oder so, aber nicht
0 bis 7 Trilliarden.
Ja, wie viel denn jetzt? 0. Ja, genau.
0 oder mehr als 0. Das wäre das Mindeste,
was mich interessiert. Das ist eine absolute
Unverschämtheit von Google und Google tritt unsere
Rechte einfach mit Füßen. Das sieht man wieder
an diesem Beispiel. Das finde ich eine Unverschämtheit.
Also, das hat
mit Transparenz zu tun.
Ich wette, wenn wir den Transparenzbericht von
Microsoft gucken oder von jedem anderen
US-amerikanischen Unternehmen, das Milliarden scheffelt
damit, dass sie eben Daten nutzen,
um damit Geld zu verdienen,
werden wir dieselben Zahlen,
dieselbe Intransparenz vorfinden
und auch dieselbe Unlust
in irgendeiner Form dem Nutzer
etwas Gutes zu tun.
Ich glaube, das ist vielleicht so ein passendes
schönes Schlusswort für heute.
Nochmal den Appell
an Unternehmer. Wenn ihr
Produkte dieser Firmen einsetzt,
dann werdet ihr
wissentlich
die Bedürfnisse und
die Privatsphäre eurer Mitarbeiter
mit Füßen treten.
Ohne, dass ihr den Menschen
eine Möglichkeit gebt,
transparent informiert,
darüber zu entscheiden, ob sie dann
freiwillig einwilligen wollen.
Und nochmal, das ist das
Grundrecht, was in der
Datenschutzgrundverordnung jedem EU-Bürger
gegeben ist.
Auch wenn wir dann ganz viele
kleine Änderungen haben, die Einschränkungen
bieten. Diese Einschränkungen
sind nur gemacht von Leuten,
die dieses Grundrecht
bewusst aushebeln wollen und
bewusst nicht für die
da sein wollen, für die man als Unternehmer
an aller, allererster Stelle
immer am meisten da sein sollte.
Nämlich die eigenen Mitarbeiter.
Man muss auch noch eine Sache vielleicht sagen.
Google ist ja natürlich auch kein
der amerikanische Geheimdienst, ist aber nicht
Google. Aber wenn Google es ernst nehmen würde oder
Microsoft, dann würden die einfach, einfach in Anführungszeichen
eine europäische Gesellschaft gründen,
die weisungsunabhängig
von der amerikanischen ist. Aber das passiert
nicht. Sie bilden eine Abrechnungsstelle
in Irland, wo die Steuern niedrig sind.
Da kann also Google sich nicht rausreden
oder Microsoft oder Facebook oder sonst wer.
Absolut nicht.
Alles in allem, wenig Transparenz,
wenig Entgegenkommen,
wenig Respekt für Privatsphäre
und den Schutz personenbezogener Daten,
damit einhergehend.
Und deswegen leider ein ziemlich
schwaches Bild, was jedoch alle
Konzerne vorweisen. Und
definitiv nichts, woran man sich als Unternehmer
orientieren sollte.
Das wäre so mein Fazit.
Richtig. Also sehe ich wie du, Stefan.
Wenn es geht, sollte man Dienste
amerikanischer Unternehmen dieser bekannten Verdächtigen
vermeiden, insbesondere dieser
Unternehmen. Es gibt sehr viele gute Alternativen
aus Deutschland und Europa. Nicht in jedem Bereich,
aber da müssen wir dran arbeiten. Und
jeder Betroffene sollte seine Rechte
geltend machen. Er sollte drüber nachdenken,
einen
Auskunftsgesuch zu stellen an
Verantwortliche. Er sollte vielleicht
auch eine Abmahnung oder Klage erwägen.
Denn nur wenn viele Leute tätig
werden, dann kommt irgendwann am Ende auch mal was bei
raus. Sich immer nur aufzuregen,
bringt jedenfalls nicht viel.
Deswegen muss man auch mal handeln.
Es muss nicht jeder handeln, aber es gibt sicher genügend
Leute, die die Möglichkeit haben und
die sollten es tun. Also insofern,
wir klären auf. Ich hoffe, wir geben da die
entsprechende Motivation und Information
und dann ist es auch an jedem Einzelnen
entsprechend sein Leben
zu gestalten. Nämlich im Sinne des
Datenschutzes und der Privatsphäre wohlgemerkt.
Absolut.
Ich denke, das ist ein sehr schönes Schlusswort.
Man könnte überleiten dazu, wo du gerade
die Alternativen ansprichst, dass wir beide doch
einfach mal anfangen, eine Liste zusammenzutragen
von Software-Alternativen,
die ja datenschutzkonform sind,
mit denen man aber dann ein wenig
Komforteinbußen hat gegenüber
anderen großen Produkten.
Und wenn wir diese Liste immer weiter vervollständigen,
dann schließen sich bestimmt auch viele an und geben
uns noch Input über tolle Softwareprodukte,
die wir noch gar nicht kennen. Das fände ich dann eigentlich
am coolsten. Insofern sage
ich an dieser Stelle vielen Dank,
Klaus. Das war höchst spannend
und sehr, sehr aufschlussreich.
Und ich hoffe auch, alle Zuhörer
haben davon etwas Wichtiges mitnehmen können
und schalten auch beim nächsten Mal wieder
ein, wenn es dann heißt,
wir definieren ein neues Thema oder
ihr schreibt uns einfach eins und sagt,
worüber ihr Lust habt. Das fände ich
eigentlich am coolsten.
Dann würde ich sagen, sage ich damit mal
Tschüss an alle Zuhörer. Vielen Dank
fürs Zuhören und bis zum nächsten Mal.
Bis zum nächsten Mal. Tschüss.
Das war
Datenschutz Deluxe.
Du willst mehr spannende Themen oder
Kontakt zu uns? Dann besuche
Klaus Meffert auf seinem Blog
Dr. DSGVO
und Stefan Presnik auf seinem YouTube-Kanal
Datenschutz ist Pflicht.
Bis zum nächsten Mal.

PS: Nur der Vollständigkeit halber: Das Beitragsbild wurde auch von einer KI generiert. Auch diese Art von KI-Programm kann mit lokaler Programmierung erzeugt werden, ganz ohne Datentransfers zu Dritten.