Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

So entstehen Datenschutzprobleme in Deutschland: Beispiele aus der Praxis

0

Der Deutsche Lehrerverband und der saarländische Ministerpräsident begünstigen die illegale Nutzung von Microsoft Teams für Schulen. Das neue deutsche Datenschutzgesetz TTDSG wurde kürzlich verabschiedet. Das Ergebnis ist teilweise objektiv kontraproduktiv. Wie kommen diese Vorgänge zustande und warum wird nicht der konstruktive Ansatz verfolgt, der die heimische Wirtschaft begünstigt?

Einleitung

In letzter Zeit gab es zahlreiche positive Entwicklungen zum Datenschutz. Für Datenschutzsünder wird die Luft dünner. Dafür sorgen regelmäßig Urteile von EuGH und BGH (beispielsweise zum Auskunftsrecht) oder anderen deutschen Gerichten. Auch das TTDSG in beschlossener Fassung enthält einige positive Aspekte. So ist es zu begrüßen, dass der § 25 TTDSG nahezu wortgleich aus dem Art. 5 Abs. 3 ePrivacy Richtlinie übernommen wurde. Mehr kann man von einer Regierung, die als Digitalversager bezeichnet werden darf, nicht erwarten.

Bei genauerer Betrachtung fallen einem andererseits immer wieder objektiv falsche Entscheidungen auf. Hier ein paar Beispiele, die im Folgenden näher betrachtet werden:

  1. Der Deutsche Lehrerverband und Tobias Hans, Ministerpräsident des Saarlandes, fordern, Datenschutzgesetze zu ignorieren, um Microsoft Teams in Schulen weiter einsetzen zu können. Dies führt zu einer weiterhin rechtswidrigen und Schüler diskriminierenden Lösung. Man denke gar nicht daran, was passiert, wenn ein Schüler keine Einwilligung erteilt oder diese irgendwann im Unterricht widerrufen möchte.
  2. Das TTDSG führt eine zentrale Einwilligungsverwaltung für persönliche Datenschutzvorlieben ein. Dies ist objektiv Unsinn, wie ich bereits gezeigt habe und unten weiter erläutere.
  3. Zwei große Datenschutzvereine in Deutschland setzen zwei Videokonferenz-Produkte ein, die zum Zeitpunkt meiner Betrachtung in Gänze als datenschutzfeindlich bezeichnet werden müssen. Hier muss man genauer hinschauen, um die Beweggründe zu verstehen, auch wenn eine gute Lösung anders aussieht.

Wie kommen diese Entscheidungen zustande und was steckt dahinter?

Lehrerverband und Saarlands Ministerpräsent ignorieren Datenschutzgesetze

Aus Angst, die Schulen könnten keinen Fernunterricht veranstalten, brach Panik aus, als man sich bewusst wurde, dass Microsoft Teams eine datenschutzfeindliche Lösung ist. Anstatt nach vorhandenen Alternativen zu greifen oder Microsoft zu sanktionieren, sollen Grundrechte ignoriert werden, damit Microsoft Teams weiter rechtswidrig eingesetzt werden kann.

Heinz-Peter Meidinger, der Präsident des Deutschen Lehrerverbands, wird von Golem wie folgt zitiert: „Datenschutz ist natürlich sehr wichtig, er sollte aber zu keiner grundsätzlichen Gefährdung des Bildungsauftrags führen.“

Es gibt keine Zurückstufung einer gesetzlichen Vorschrift, nur, weil dies genehm erscheint. Genauso wenig darf man vor einer Feuerwehrzufahrt parken, nur weil alle regulären Parkplätze belegt sind. Falls ausnahmsweise mal ein solches Parkmanöver stattfindet, kann es nur im Ausnahmefall geduldet sein (mein naives Beispiel: Frau bekommt Kind und Mann muss Auto nahe dem Krankenhaus parken). Aber selbst dann liegt eine Verantwortlichkeit vor.

Im Hybridunterricht in Schulen wird übrigens nicht selten ein Schüler beim Versuch, eine Aufgabe an der Tafel zu lösen, in die Wohnzimmer anderer Schüler übertragen. Mir ist eine Schule bekannt, in der nicht einmal eine Einwilligung vom Schüler (oder den Eltern) dafür abgefragt wird.

Auch im eben genannten Extremfall wäre die Rechtsverletzung gegeben. Einen solchen Ausnahmefall sehe ich in Schulen nicht. Es ist das Versagen der Politik und auch der Kommunen und Länder, dass diesen anscheinend keine deutsche Lösung bekannt ist. Ebenso haben potente deutsche Unternehmen entweder versagt oder sich dem digitalen Markt abgewandt, was man ebenfalls als Versagen bezeichnen könnte.

Ich behaupte, dass es die benötigte deutsche Videokonferenz-Lösung bereits gibt. Ein Beispiel ist EducateOnline (kommerzieller Anbieter, daher hier kein Link). Diese Lösung geht sogar weiter als reines Conferencing und bietet eine Lernplattform. Ein weiteres Beispiel ist der bekannte BigBlueButton Server, der mit gutem Erfolg in einigen Schulen eingesetzt wird, wie ich aus persönlichen Erfahrungen eines Auftrags für eine Schule sowie aus Gesprächen mit Eltern einer anderen Schule weiß.

Je nach Kompetenz der Schul-IT läuft der Server sehr gut oder aber nur mäßig. Auch gibt es deutsche Lösungen für reine Videokonferenzen, die – soweit ich weiß und geprüft habe – datenschutzkonform sind, siehe ecosero (kommerzieller Anbieter, daher hier kein Link).

Die effektive Sanktionierung von Datensündern wie Google oder Facebook würde sehr schnell zur Auflösung einiger Datenschutzprobleme führen.

Meine These.

Selbst wenn es keine geeignete deutsche Lösung gäbe, ist dies das Versagen unter anderem der Politik, die ich generell nicht für alles verantwortlich machen möchte. Wenn Datenschutzbehörden endlich anfingen, Bußgelder gegen Google, Microsoft und Zoom zu erlassen, hätte sich das Problem schnell von alleine erledigt. Zum einen werden durch Strafen gegen Datensünder deutsche Firmen begünstigt, gute Lösungen zu entwickeln. Die Ausrede, dass rechtswidrige Lösungen funktional besser seien (und sicher oft auch sind) als einige heimische rechtskonforme Lösungen ist eben keine gültige Argumentationsbasis.

Zum anderen werden Datensünder wie Google durch Strafen motiviert, Datenschutzgesetze endlich auf breiter Basis einzuhalten. Ein greifbares Beispiel aus der Praxis: Twitter verstößt offensichtlich gegen die DSGVO und treibt Twitter-Nutzer in die Illegalität. Gab es bisher ein Bußgeld aus Deutschland gegen Twitter bzw. Betreiber von Twitter Accounts (oder Facebook Fanpages etc.)? Soweit ich weiß, nein.

Warum also kam die Aufregung zustande? Weil die Bundesregierung es in 16 Jahren nicht hinbekommen hat, Deutschland digital nach vorne zu bringen. Auch vom Lehrerverband habe ich bisher keine Forderung nach Durchsetzung von Datenschutzgesetzen gehört. Ebenso die Forderung des Lehrerverbands, dass Deutschland gute eigene Lösungen für die Schulen auf den Weg bringt, habe ich bisher nicht vernommen. Ich bin allerdings kein Kenner der Schulszene und ergänze diesen Artikel hier gerne, wenn es derartige Anstöße gab.

Übrigens ist Microsoft Teams nicht so toll, wie regelmäßig suggeriert wird. Ich ärgere mich dauernd über die Anmeldeprobleme, die auf einem meiner Endgeräte existieren und über die auch andere berichten. Manche kennen das (andere) Principal-Problem in Zusammenhang mit diesem Microsoft Produkt vielleicht. Wer mehr wissen will, sollte ein technisches Wörterbuch bereithalten, in dem erklärt ist, was ein Delegat ist.

Auch kommt nicht jeder mit Teams zurecht, wenn er die Moderatorenrolle übernehmen soll o. ä. Wenn andere Lösungen, die aber datenschutzfreundlich sind, genauso bedienunfreundlich sind, wird das nicht selten als großes Problem dargestellt.

TTDSG: Das Ende der Cookie Popups? Nein, nur mehr Komplexität

Das neue deutsche Datenschutzgesetz namens TTDSG soll im Dezember 2021 in Kraft treten. Aufgrund des Drucks von außen wurde der Gesetzgeber motiviert, das Konzept einer zentralen Einwilligungsverwaltung in den Gesetzestext mit aufzunehmen. Dies ist in § 26 TTDSG zu finden.

Das Ziel ist richtig, der Weg ist objektiv falsch: Die nervigen Cookie-Popups in Webseiten und Apps sollen weniger werden. Dazu soll jede Person in einer unabhängigen zentralen Verwaltung die eigenen Datenschutzeinstellungen definieren.

Besucht jemand dann eine Webseite, soll die Webseite in der Zentrale nachsehen, was der Besucher eingestellt hat. Dann soll die Webseite die Einstellungen übernehmen und so idealerweise kein Cookie Popup mehr anzeigen. Das Cookie Popup würde, so die falsche, weil nicht funktionierende Idee, also automatisch vorbelegt und weggeklickt.

Aus mehreren Gründen ist diese Idee der zentralen Einwilligungsverwaltung Bullshit. Ich nenne nur wenige von weiteren möglichen Gründen:

  • Für jeden Dienst (Google Maps, Google Fonts, Google Analytics, Facebook Pixel, YouTube Videos und hunderte andere) muss separat eine Einwilligung vor Einsatz auf einer Webseite eingeholt werden (vgl. Art. 5 Abs. 1 b DSGVO u. a.). In der Praxis kann dies aufgrund der Anzahl relevanter Dienste zentral nicht gelöst werden. Weniger bekannte Dienste-Anbieter müssten aufgrund des Gleichberechtigungsgrundsatzes ebenso berücksichtigt werden. Wie soll das funktionieren?
  • Wer haftet für die zentrale Einwilligungsabfrage? Setzen mehrere Webseiten beispielsweise Google Analytics ein, jeweils mit potentiell unterschiedlicher Konfiguration, kann es nicht nur eine Abfrage geben. Pro Konfiguration des Tools müsste eine Einwilligung erfragt werden. Ebenso weichen jetzt schon die Inhalte der Einwilligungsabfragen voneinander ab. Eine einheitliche Abfrage für Google Analytics kann es nicht geben. Gibt es dann hundert Abfragen für Google Analytics an zentraler Stelle? Haftet der Betreiber der zentralen Verwaltung dafür oder die Betreiber der Webseiten, wenn die Einwilligungsabfrage fehlerhaft ist? Für Google Tools ist die Einwilligungsabfrage auf Webseiten meiner Beobachtung nach eigentlich immer rechtswidrig.
  • Was ist, wenn eine Webseite Tools einsetzt, für die von einer Person noch keine Einwilligung erteilt wurde? Das kann passieren, wenn die betroffene Person gar keine Datenschutzvoreinstellungen hinterlegt hat oder ihre Einwilligung nur für manche, aber nicht für alle Dienste abgefragt oder erteilt wurde. Dann müsste die Webseite das Cookie Popup dennoch anzeigen, diesmal am besten sogar teilweise vorbelegt. Es wird immer komplizierter …
  • Cookies sind nicht die einzigen einwilligungspflichtigen Vorgänge. Leider wissen viele das nicht, inklusive einiger Entscheidungsträger.

Diese aus den genannten Gründen unsinnige Entscheidung der zentralen Datenschutzvoreinstellungen kam durch massive Einflussnahme bei der Gesetzgebung zustande. Hier scheinen manche Interessensvertreter eher ihre eigenen Interessen als die der Bürger zu vertreten. Ich vermute auch, dass einige hinzugezogene Experten gar nicht wirklich wussten, dass deren vorgeschlagene Lösung gar keine Lösung sein kann.

Datenschutzfeindliche Videokonferenz-Software als Empfehlung

Um niemanden übermäßig zu strapazieren, nenne ich hier die Namen der Verbände nicht. Immerhin gab es schnelle Rückmeldungen und gute Bemühungen, die teils noch andauern.

Datenschutzfeindlich nenne ich eine Videokonferenz-Software, wenn der Anbieter in den USA sitzt oder Daten dorthin wandern können. Hierzu ist vielen sicher das Privacy Shield Urteil des EuGH bekannt. Art. 44 ff DSGVO gibt die Rechtsgrundlage dafür, dass Datentransfers in die USA nur nach Einwilligung und nur ausnahmsweise erfolgen dürfen.

Zu derartigen Videokonferenz Tools gehört etwa GoToMeeting. Die Webseite des Anbieters besticht zusätzlich durch Datenschutzverstöße (Einsatz einwilligungspflichtiger Dienste und zahlreicher nicht notwendiger Cookies ohne Einwilligung).

Dennoch wird das Tool von einem Datenschutzverband empfohlen, und zwar für den Einsatz durch Regionalgruppen. Auch selbst wird das Tool für bundesweite Veranstaltungen genutzt. Ein Hinweis von mir dazu an die Geschäftsstelle wurde schnell beantwortet. Die Problematik sei, dass für Veranstaltungen mit vielen Teilnehmern ansonsten keine gute Lösung vorhanden sei.

Ich stimme zu, dass es ab einer bestimmten Anzahl an Teilnehmern aktuell schwierig wird, sich datenschutzkonform zu bewegen. Jedoch gilt dies sicher nicht für Regionalgruppen. In meiner eigenen Gruppe waren bzw. sind etwas über 100 Teilnehmer bei den regelmäßigen Veranstaltungen zugegen. Hierfür gibt es deutsche Lösungen. Eine davon schlug ich vor (ecosero). Sie wurde regional eingesetzt. Mehr als vier Stunden lang konnten so im Schnitt über 100 Teilnehmer bedient werden. Es gab keine Probleme. Lediglich einmal fiel das Video für ein paar Minuten aus, der wichtige Ton war weiter vorhanden.

Den Regionalgruppen wird vom Dachverband dennoch GoToMeeting empfohlen, da eine teure Lizenz gekauft und vorhanden ist. Ich rege an, dass eine heimische Lösung gesucht oder geschaffen wird. Hierzu fallen mir mehrere mögliche Maßnahmen ein, die sicher jeder selbst auch finden kann.

Wie man sieht, gibt es nachvollziehbare Probleme und schnelle Reaktionen des Verbands, etwa auf meine Eingabe. Man könnte aber weiter gehen und tatsächliche Lösungen schaffen, die auch für 1500 Teilnehmer geeignet wären und datenschutzkonform sind. Dann wäre ich stolz auf diesen Verband, dessen Mitglied ich bin. Dem Verband hatte ich schon meine Mithilfe beim Finden oder Hervorbringen einer geeigneten heimischen Lösung angeboten. Aktuell ist zu klären, ob ecosero alle Formalien erfüllt. Ich nehme das selbst in die Hand und bin sicher, dass alles, was noch offen sein sollte, gelöst werden wird. Schließlich handelt es sich um einen Anbieter, der Datenschutz ernst nimmt und schnell reagieren kann.

Ein weiterer Fall betrifft einen anderen großen Datenschutzverband. Dieser setzt die Lösung eines immerhin deutschen Anbieters ein, nämlich edudip. Damit gab es einige Datenschutzprobleme.

Auf der Webseite des Anbieters wurde Google Analytics ohne Einwilligung eingesetzt. Dies ist rechtswidrig, in dem Fall wegen der technisch nicht notwendigen Cookies und wegen des Datentransfers in die USA. Dieses Problem wurde durch mein Intervenieren beim Verband wohl gelöst. Der Verband antwortete mir immer sehr schnell und gab das Problem an den Anbieter von edudip weiter. Zahlreiche Wochen lang tat sich gar nichts. Erst nachdem ich nachgehakt und weitere Zeit verstrichen war, war das Problem verschwunden. Eine Rückmeldung erhielt ich nicht.

Weiterhin setzte der Anbieter von edudip MailChimp ein, ein Newsletter-Anbieter aus den USA, den schon das BayLDA als datenschutzfeindlich eingestuft hatte. Ob das Tool jetzt noch eingesetzt wird, weiß ich nicht.

Auch leitet edudip bei Bezahlung eines Produkts Daten des Käufers an Stripe in den USA weiter. So steht es in den Datenschutzhinweisen von edudip (Stand: 20.07.2021). Angebliche Rechtsgrundlage ist die Vertragsabwicklung sowie das berechtigte Interesse. Ja, ein Vertrag wird abgewickelt und ja, es muss etwas bezahlt werden. Aber nein, dafür muss nicht Stripe verwendet werden und schon gar nicht ohne Einwilligung.

Da edudip meiner Kenntnis nach nicht mehr Videoteilnehmer als die Lösungen anderer deutscher Anbieter unterstützt, frage ich mich, warum dieser Anbieter verwendet wurde. Wenn man das Tool unbedingt einsetzen möchte, könnte man doch weiter darauf bestehen, dass die kritischen Datenverarbeitungen möglichst abgestellt werden. Ich bin wegen all dem Gesagten, dass man noch ausweiten könnte, kein Freund von edudip. Jedoch ist mir ein datenschutzkonformes edudip (was es meiner Einschätzung nach noch nicht gibt) lieber als jedes Produkt von Microsoft, Google oder Zoom.

Fazit

Datenschutz ist ein Grundrecht, das nicht nur jeder Person zusteht, sondern auch seine Berechtigung hat.

Viele verstehen nicht, dass die dauernde Bevorzugung und das Beschützen von Lösungen meist amerikanischer Konzerne schlecht für den Datenschutz und schlecht für unseren Standort ist. Wer über Steuern nachdenkt, wird schnell merken, dass es besser wäre, wenn gute Lösungen aus dem Inland kämen anstatt aus Amerika.

Möglicherweise reicht bei manchen das Vorstellungsvermögen auch nicht aus, dass Firmen wie Google oder Microsoft bereits anhand eines einzigen Kontaktes mit einer Person im Internet deren Aktivitäten weit reichend und über Jahre nachverfolgen können. Dazu reicht die Netzwerkadresse der Person oder ein interner Identifizierer, wahlweise auch die Nutzung eines Smartphones (Google) oder einer App (Microsoft, Google) oder eines PCs (Microsoft).

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Die Durchsetzung von Datenschutzrechten im Internet: Erfahrungen und Empfehlungen aus der Praxis