Anforderungen an den Datenschutz sind oft reiner formaljuristischer Selbstzweck, die die Berliner Datenschutzbeauftragte beweist. Sinnvoll wäre ein praktisches Informationsrecht, die Transparenz und Klarheit schafft.

Stiftung Datentest

Die Stiftung Warentest, seit 1964 Inbegriff nüchtern deutscher Produkttests, bewertete in Sachen Datenschutz nur 2 Geräte als gut, aber 8 als ausreichend. Sogar die Smartwatch von Apple schnitt nur mit einem befriedigend ab, Apple behalte sich sogar die Weitergabe personenbezogener Daten vor. Sogar elf von zwölf Videoprogrammen musste sie wegen Datenschutz-Problemen abwerten. Dabei zeigte der aktuelle Test vom 13. Mai 2020, dass «Zoom Sicher­heits­lücken gestopft hat». Zudem schnitten alle mobilen Anwendungen, also auch Zoom, in Sachen Datensparsamkeit mindestens gut ab.

Die professionellen Warentester kritisieren auch die mangelnde Bezugnahme auf die DSGVO, die Länge und Komplexität der Datenschutzerklärungen, sowie dass nur fremdsprachliche Fassungen vorliegen oder gleich mehrere Varianten zu einem Produkt vorliegen.

In Sachen Datenschutz wertet die Stiftung Warentest Microsoft Teams, Jitsi und Zoom allesamt (und mit befriedigend – und nur ein einziges Produkt (Teamviewer Blizz) mit Gut, also besser.

Don Quichota de la Datenschutz

Die Berliner Datenschutzbeauftragte Maja Smoltczyk sieht das freilich ganz anders: Gleich alle US- Anbieter inklusive Teams, Zoom und Meet erhalten die rote Ampel wegen ungenügendem Datenschutz, der eine «rechtskonforme Nutzung des Dienstes ausschliessen». Selbst das von Datenschützern so gern empfohlene Jitsi erhält bei Bereitstellung durch den Chaos Computerclub (!) lediglich eine gelbe Bewertung, der Testsieger der Stiftung Warentest Blizz hingegen gleichfalls rot.

Während sich in der Bedienung bei besser bewerteten Angeboten offenkundige sicherheitsrelevante Usability Abgründe auftun (das vorkonfigurierte Passwort kann nicht verändert werden, verfügt über keine Nutzerverwaltung - der erste Teilnehmer ist automatisch Moderator, in der Standardkonfiguration nicht durch Passwort geschützt), werden bei Zoom lediglich rechtliche Details wie dieses hier aufgelistet:

Ziff. 5.1 Satz 1 DPA verweist für den Einsatz von weiteren Auftragsverarbeitern auf einen URL, der eine Liste genehmigter Unterauftragsverarbeiter enthält, und sieht insoweit einen Aktualisierungsvorbehalt vor, wobei nicht eindeutig ist, ob sich der Aktualisierungsvorbehalt auf URL oder Inhalt beziehen soll. Durch diese Unklarheit können Verantwortliche zumindest nicht ihrer Rechenschaftspflicht (Art. 5 Abs. 2 i. V. m. Art. 5 Abs. 1 lit. a DS-GVO) nachkommen.

Unter anderem, weil hier also der Datenschutzbeauftragten nicht klar ist, ob sich Zoom bezüglich der Internet-Adresse der Liste Unterauftragsnehmer oder der Liste selbst Änderungen vorbehält, erhält Zoom hier eine rote Bewertung.

Abschliessend droht die Datenschutzbeauftragte, indem sie schreibt, dass Anbieter

«hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.»

Und:

«Bei der Prüfung von Verantwortlichen, die Zoom einsetzen, beabsichtigen wir, auf diesen Aspekt besonderes Augenmerk zu legen. Verantwortliche müssen vor einem Einsatz nachweisen können (Art. 5 Abs. 2 DS-GVO), dass Zoom diese Anforderungen mittlerweile erfüllt.»

Schon zu Beginn äusserte die Datenschutzbeauftragte ohne Begründung «Zweifel an der Zuverlässigkeit des Anbieters». Es spricht weder für den Rechtsstaat noch für den Datenschutz, wenn die Datenschutzbeauftragte nun dieses Vorurteil im Hinblick auf die nur bei diesem Anbieter eingeforderten «Garantien für technische und organisatorische Massnahmen» einfordert, obwohl sie bei diesem Anbieter nur rechtliche Mängel gefunden hatte. Es wirkt so, als würde Sie bei Zoom-Nutzern schon einen Grund finden, um ihnen den Dienst abzudrehen.

Kampf gegen die Windmühle Zoom

Diese Sichtweise der Datenschützerin steht damit nicht nur in Kontrast zur Bewertung durch die Stiftung Warentest, sie akzeptiert in Gegensatz dazu unergonomische und unpraktische Software und scheut sich nicht davor, deren offenkundige und und haarsträubende sicherheitsrelevante Bedienmängel (fixe Passwörter, zufällige Rechtevergabe, fehlende voreingestellte Sicherheitsfeatures) grosszügig zu akzeptieren und sich an rechtlichen Ausgestaltungsdetails der viel einfacher bedienbaren und deshalb erfolgreichen US-Anbieter zu verbeissen.

Sogar das sicherlich hinsichtlich Datenschutz hochbelastbare und sicherheitstechnisch «härtestes» Angebot des Chaos Computer Clubs (!) erfährt so wegen rechtlicher Details eine Abwertung!

Damit wird der Datenschutz zum reinen Selbstzweck, der mit der Lebenswirklickeit der Anwender*innen nichts mehr zu tun hat.

Datenschutz als Sturm im Rechtsglas

Die Bewertung durch die Datenschutzbeauftragte zeigt sehr deutlich, wie sehr das Datenschutz-Recht jeden realen Lebenszug verloren ist. Die von der Stiftung Warentest noch kritisierte Unverständlichkeit der Rechtstexte wird von ihr durch gleichermassen unverständliche beantwortet. Grenzwertige praktische Sicherheits-Mängel von Programmen, die sie sperrig und schwer bedienbar machen, zu Gunsten von theoretischer rechtskonformer Dokumentation toleriert. Vorurteile und Drohungen für Anwender diffus mit eingewoben.

Bedauerlich ist dies insbesondere, weil dies reale Auswirkungen hat. So hat möchte Thüringer Datenschutzbeauftragte nun die Lehrer*innen überprüfen und gegebenenfalls bestrafen, wenn sie nicht genehme Werkzeug eingesetzt haben: also Menschen, die sich unter widrigen Bedingungen (mangelnde Hardware, Software, Konnektivität) von heute auf morgen in der Covid19-Krise für einen Online-Unterricht fit gemacht und eingesetzt haben!

Oder dass Pflegebedürftige nicht wegen vorgeschobenem Datenschutz als Ausrede, nicht per Video «besucht» werden können sondern nur mit einem Telefoninterview, womit sie nicht selten um die richtige Einstufung umfallen, wie ZDF Frontal 21 berichtet (Textmanuskript).

Pladoyer für ein Informationsrecht

Datenschutz als «hirnlos» und als totes Recht

Der europäische Datenschutz und seine Ausprägung in Deutschland geht mit zurück auf das Konzept der informationellen Selbstbestimmung, das von Wilhelm Steinmüller und Bernd Lutterbeck in einem Gutachten als Ausprägung des allgemeinen Persönlichkeitsrechts 1971 definiert worden ist.

Ob die Bezeichnung der Datenschutz-Grundverordnung als hirnlose Gesetzeskatastrophe des 21. Jahrhunderts nicht doch etwas übertrieben ist oder zutrifft, kann hier einmal dahingestellt bleiben.

Das Problem liegt darin, dass der Ansatz des Datenschutzes überholt ist. Es macht keinen Sinn, nur Einzelnen alle Abwehransprüche umzuhängen. Es macht zum einen keinen Sinn, weil die konkrete Nachverfolgung vollkommen zahnlos ausgestaltet ist. Max Schrems hat beispielsweise 2014 (!) Klage eingebracht hat, und 6 Jahre später hofft er auf ein baldiges Urteil.

Inzwischen wurde das Urteil gefällt: Schrems erhält 500 Euro und die Richterin klammerte explizit die interessanten eigentlichen Rechtsfragen aus.

Datenschutz ist offenkundig weitgehend totes Recht, das privaten angeblich Rechte einräumt, die sich aber nicht umsetzen lässt. Das ist eines Rechtssystems unwürdig: Wenn sie im Gefängnis sitzen, aber unschuldig sind und 6 Jahre auf ein Urteil warten müssen, oder wenn ein Unternehmem 6 Jahre lang toxische Abwässer in einen Fluss leitet, und viele Menschen und Seelebewesen sterben, wäre das zurecht ein Skandal.

Ausgerechnet beim Datenschutz wird dies hingenommen!

CIA – Confidentiality – Integrity – Availability

Statt dessen sollte Informationssicherheit als gesellschaftliches Ziel rechtlich verankert werden. Die klassischen Ziele des Informationssicherheit sind Vertraulichkeit (Datenschutz), Integrität und Verfügbarkeit. Um diese geht es, sie sollten als Anspruch der Gesellschaft definiert werden: Die Nachvollziehbarkeit von Änderungen würde zum Beispiel Fake News das Wasser abgraben und das Geschäftsmodell von Social Media Plattformen, die durch unzurechenbare Hassnachrichten Aufmerksamkeit und Geld verdienen, und dabei sehr grosse Vertrauens- und Kohärenzschäden in der Gesellschaft verursachen, untergraben.

Datenverschmutzung als Straftat

Dabei können Anleihen beim Umweltschutz genommen werden. Es gibt heute klare Grenzwerte und technische Prüfkriterien für die meisten Grossanlagen und technischen Geräte. Es erschiene heutzutage undenkbar, dass jemand privatrechtlich solche Werte erst festsetzen lassen müssten: Es geht um den Schutz der Gesellschaft insgesamt.

Beim Datenschutz ist das noch so anchronistisch: Jede*r muss selbst dauernd die Datenschutz-Zustimmungs-Dialoge wegklicken, sie können nicht einmal im Browser einmalig gesetzt werden, geschweige denn dass eine Behörde sich um die Einhaltung kümmert. Wieviele Millionen Klicks werden weltweit auf diesen sinnlosen Dialog verschwendet, nur weil der Datenschutz im privatrechtlichen Paradigma des früheren Jahrunderst hängengegeblieben und nicht beim modernen Umweltschutz-Paradigma angekommen ist!

Wieviel wertschöpfende Aktivität könnte sich entfalten, wenn es – wie bei praktisch allen anderen grosstechnischen und bei Produktsicherheits-Regelungen – eine allgemein anerkannte Aufgabe des öffentlichen Gemeinwesens und beispielsweise der Europäischen Union ist, für sichere Social Media Plattformen und für sichere Video-Software schon vorab zu sorgen und es nicht dem oder der einzelnen aufzubürden, sich im ungleichen Waffenkampf mit US-amerikanischen Grosskonzernen duellieren zu müssen?

Erste Ansätze dazu gibt es, leider nicht aus Europa. Omri Ben-Shadar schreibt, vollkommen zurecht:

Digital data law should not be only about privacy. Too often, the exchange of data between giver and taker affects third parties; the data could contain information about others; or, more importantly, the database can be used or misused in ways that affect public interests beyond individual users’ privacy. Data pollution is the name of this problem, and data pollution law is the set of legal tools to combat it.

Die Verfügbarkeit sicherer Kommunikationsmittel wie von Videkonferenz-Software ist gleichermassen keine Frage des Datenschutzes, sondern eine, die wegen ihrer gesellschaftlichen Bedeutung weit darüber hinausgeht. Es wäre die Aufgabe des Gemeinwesens und der Gesetzgebung, hier proaktiv zu werden und nicht Wirtschaftstreibendeprivate, Pflegebedürftige, Lehrer/innen und die ganze Gesellschaft der Willkür einseitig rechtslastiger Datenschutzbeauftragter auszusetzen.

Öffentliche Heuchelei

Ein Informationssicherheitsgesetz könnte mit der Heuchelei aufräumen, dass staatliche Datenschützer privaten Anwendern, die Produkte von US-Firmen nutzen die rote Ampel zeigen und mit Strafen drohen, während die Staaten und die Europäische Union ungehemmt deren Produkte nutzen und ohne Ausschreibungsverfahren einkaufen. Rund 45.000 EU-Mitarbeiter – pikanterweise inklusive der Datenschutzbehörden – arbeiten so mit Produkten von Microsoft, die datenschutzrechtlich bedenklich sind:

Rund 45.000 Mitarbeiter in EU-Einrichtungen inklusive der Datenschutzbehörde arbeiteten mit Produkten und Diensten aus Redmond, konstatieren die Kontrolleure. Bei einem Vertrag, der eine Datenverarbeitung in solch großem Maßstab und teils mit hohem Risiko unfasse, seien die betroffenen Personen erheblichen Gefahren ausgesetzt. Eine große Menge personenbezogener Daten könnte in einer Form verwendet werden, die der Auftragnehmer selbst festlege.

Die betroffenen Konzerne bessern nur höchst zaghaft und punktuell für Grosskunden nach.

Der Staat hat die eigene Kontrolle über seine IT weitgehend aus der Hand gegeben, er ignoriert bei Software eigene Ausschreibungsverfahren und die von ihm selbst geschaffenen Datenschutz-Bestimmungen, wie diese ARD-Dokumentation offenlegt.

Während die großen Internetunternehmen wie Facebook, Amazon und Google verstärkt auf Open-Source-Software setzten, liefern sich die Staaten Europas immer wieder dem Microsoft-Monopol aus. Anfragen nach Informationsfreiheitsgesetz zu den Konditionen der Verträge zwischen Bund und Microsoft werden „wegen Konzerngeheimnissen“ nur geschwärzt herausgegeben. Microsoft ist also in der Lage, den Staat daran zu hindern, seine Bürger zu informieren, beispielsweise über die genauen Kosten der Software. Das US-Unternehmen diktiert den Ländern Europas die Vertragsbedingungen.

locked-in

Wie kommt der Staat und die europäische Gemeinschaft dann dazu, die Einhaltung fundamentaler Datenschutzvorschriften privaten Anwender*innen vorzuschreiben, ohne dafür zu sorgen, dass die privatrechtlichen Umsetzungsrechte der Anwender rechtlich auch nur einigermassen valide verankert sind … und ohne sich selbst im geringsten darum zu scheren?

Staatstrojaner

Eine besondere Schräglage bekommt diese ethische Frage noch, wenn wir uns die Bestrebungen vergegenwärtigen, sogenannte Staatstrojaner zur strafrechtlichen Verfolgung einzusetzen. Damit sind Programme gemeint, die sicherheitstechnische Lücken aktiv ausnützen, um Personen zu überwachen. Die Frage ist die, ob ein demokratischer Staat gleichzeitig private sanktionieren kann, weil er Ihnen Datenschutznachlässigkeit vorwirft, um den er sich eigentlich selbst im öffentlichen Interesse kümmern müsste, und andererseits kommerziellen Anbietern von Schadsoftware Geld zahlt, um deren Werkzeuge zur Überwachung zu nutzen, die aggressiv informationstechnische Lücken in mit hoher Wahrscheinlichkeit rechtswidriger Form ausnutzen?