Die Databroker Files
Transkript anzeigen
00:00:03: Auslegungssache, der CT-Datenschutz
00:00:07: Podcast.
00:00:14: Hallo und herzlich willkommen in der Auslegungssache heute mit Episode onehundert achtundfünfzig!
00:00:20: Wir zeichnen auf am neunzwanzigsten vierten zwei tausend sechsten zwanzig.
00:00:24: Diese Episode wird dann ausgestrahlt beziehungsweise in die Fies gespült an Tag der Arbeit.
00:00:30: Dann machen wir euch mal ein bisschen Arbeit zum tag der arbeit am ersten fünften.
00:00:35: Wir lehnen uns dann zurück gespannt auf das Feedback.
00:00:39: Auf der Episode heute könnte es sehr spannend werden, ich freue mich drauf!
00:00:43: An meiner Seite ist wie steht Sjörg?
00:00:45: Hallo Jörg!
00:00:46: Ja schön dass es wieder losgeht.
00:00:48: wir haben ein spannendes Thema und einen spannenden Gast und ich habe wie immer die Reude unseren Gast vorzustellen.
00:00:53: unser heutiger Gast und das mag auch schon mal so ein bisschen die Richtung vorgegeben.
00:00:57: über was wir heute reden wollen isst Ingo Dachwitz.
00:01:00: Hallo Ingo herzlich willkommen, fühlen das du da bist.
00:01:03: dich hat mir schon lange auf der Liste.
00:01:07: Ich darf dich vorstellen, du kommst aus Bremen hast Medienmanagement studiert und politische Kommunikation.
00:01:14: Und Du bist seit Mai, zwei Tausend Sechzehn Redakteur bei Netzpolitik Punkt Org.
00:01:21: das kannst du gleich noch mal.
00:01:22: die allermeisten werden es kennen aber vielleicht kann sie gleich nochmal sagen was es genau ist und was ihr gerade so macht.
00:01:28: und neben deiner Tätigkeit als Redakteuer bist du unter anderem Co host des Podcasts off on und beschäftigst dich mit Bürgerrechten natürlich, das gehört sicherlich dazu wenn jetzt Politikorg arbeitet.
00:01:44: Und hast was ich auch sehr spannend finde?
00:01:46: Das liegt hier auch noch irgendwie rum ein Buch über digitalen Kolonialismus veröffentlicht Und dich damit beschäftigt, also wahrscheinlich das Auslagern insbesondere von unangenehmen Tätigkeiten nach Afrika und ähnliches so Schreckchen Bilder sortieren und sowas.
00:02:01: Aber es kannst du vielleicht noch kurz ergänzen.
00:02:03: und wir wollen heute reden über eine große Recherche die ihr gemacht habt auch zum Teil gemeinsam mit dem Bayerischen Rundfunk was glaube ich?
00:02:14: Und da sind wilde Sachen passiert, insbesondere eben mit Standort-Daten.
00:02:19: Das wollen wir uns gleich nochmal anschauen was da so genau passiert ist wie es uns betrifft und am Ende auch als kleine Service Einheit das man dagegen tun kann.
00:02:25: Aber Ingo vielleicht magst du mal kurz sagen für die wenigen unter unseren Hören dies nicht kennen?
00:02:30: Was ist nettspolitik auch und was macht ihr da so?
00:02:33: Ja Genau.
00:02:34: Noch mal vielen Dank für die Einladung, freue mich total hier zu sein und mit euch heute über die Data Blockerfiles zu sprechen.
00:02:41: Netzpolitik.org ist ein, wie der Namen schon sagt, netzpolitisches Medium.
00:02:45: Wir sind politisch im doppelten Sinne.
00:02:47: also wir beschäftigen uns mit Politik, mit der Politik der digitalen Gesellschaft aber verstehen uns eben selbst auch als ein politisches Medium in dem Sinn was wir auch politischer Faktor sind.
00:02:56: das heißt wir berichten über die Digitalisierung aus der Perspektive von Grundrechten, von Menschenrechten Freizeiten Bürgerrechten usw.
00:03:03: Das heißt, ja von staatlicher Überwachung sozusagen ist natürlich ein Dauerthema aber eben auch sehr viel Datenschutztämen, kommerzielle Überwachungen.
00:03:13: Aktuell sind es so Themen wie Jugendschutz und auch digitale Gewalt die uns hier beschäftigen.
00:03:18: Und natürlich die Vorratsdatenspeicherung, die uns gerade... Vorratsstatenspeicherungen
00:03:22: in der Geschichte von letztendlich eine entscheidende Rolle gespielt weil vor mehr als zwanzig Jahren als privates Blog von Markus Beckerdahl unserem Gründer, der inzwischen nicht mehr an Bord ist gegründet als privates Blog und ist dann der Ort gewesen, wo sich so der Widerstand gegen die erste Einführung der Vorratsdatenschweicherung in Deutschland kristallisiert hat.
00:03:44: Wir haben berichtet, dass Heiko Maas sie wieder eingeführt hat.
00:03:47: Und wir berichten natürlich auch jetzt sehr viel darüber.
00:03:54: Das ist vielleicht noch wichtig.
00:03:55: ein kommunitiv finanziertes Medium Das heißt, wir sind insgesamt etwa zwanzig Leute.
00:04:01: Wenn man irgendwie Praktis-Werkstudies und so weiter dazuzählt und sind ausschließlich finanziert durch Spenden unserer LeserInnen.
00:04:08: Das heißt bei uns gibt es keine Paywall, bei uns gibts keine Werbung oder auch kein Tracking.
00:04:14: Das wird möglich gemacht dadurch dass ja uns Leserinnen unterstützen und dafür sind wir sehr dankbar.
00:04:20: das macht unsere Unabhängigkeit und auch unseren kritischen Standpunkt möglich machen manchmal so ein paar Dinge anders als andere Medien und es ist wichtig, dass die Dokumente nicht nur vorlegen sondern wir sie auch veröffentlichen.
00:04:30: Wir liegen gerne aber ja haben eben auch einen investigativen Schwerpunkt.
00:04:35: in den letzten zwei Jahren inzwischen auch das ermöglicht uns der Spendenmodell sozusagen solange dran zu bleiben arbeite ich bei uns vor allem mit unserem Kollegen Sebastian Meinig zusammen an den Datablocker Recherchen.
00:04:46: Ja hallo irgendwo von mir.
00:04:47: Also erstmal willkommen hier im Podcast.
00:04:50: Ich wollte noch ergänzen, dass Markus auch schon mal hier zu Gast war und wen die Geschichte von Netzpolitik auch noch mehr interessiert.
00:04:56: Der kann da gerne nochmal reinhören.
00:04:58: ich werde es in den Schaumnutz verlinken.
00:04:59: Ich weiß gar nicht mehr wann das war Jörg.
00:05:00: Das ist glaube ich so zwei Jahre her oder so.
00:05:02: Ja aber du machst mich.
00:05:04: Da hat er gerade sein neues Projekt gestartet um vorgestellt müsste so zwei jahre her sein.
00:05:08: Auch
00:05:08: allen anderen kann ich empfehlen nochmal wieder vorbei zu surfen die länger nicht da waren.
00:05:11: wir haben grade am Wochenende einen relaunch gehabt.
00:05:14: Wir haben das Design überarbeitet.
00:05:17: Ich würde mal sagen, optisch eher zurückhalten sozusagen ist noch ein bisschen klarer.
00:05:21: Ein bisschen schöner geworden ist jetzt gar nicht so bahnbrechend aber tolle neue Funktionen.
00:05:24: Wir haben es erstmalig in der Geschichte von Netzbildchen.org.
00:05:26: eine funktionierende Suche auf der Seite gibt unterschiedliche Features.
00:05:32: Ja
00:05:33: ja, hatten sich einen Dark Mode gewünscht den es jetzt gibt und andere Dinge.
00:05:37: ich freue mich über Infokasten die man jetzt im Artikel packen kann.
00:05:39: Sieht gut aus!
00:05:40: Ich war vorhin da gefällt mir ganz gut
00:05:43: Habe ich natürlich auch schon gesehen, weil kann ich auch Transparenz habe dazu sagen.
00:05:47: Weil Netzpolitik auch für mich als Redakteur, der sich auch wie mit netzpolitischen Themen beschäftigt zur täglichen Nektüre gehört.
00:05:54: also das ist immer der tägliche Besuch.
00:05:57: Eine sage ich noch kurz, was mich interessiert digitaler Kolonialismus?
00:06:01: Wie Tech-Konzernate und Großmächte die Welt unter sich aufteilen ohne dass wir da jetzt groß reingehen.
00:06:06: kannst du kurz erzählen was da das Thema ist?
00:06:08: Ich hab's kurz angedeutet aber es kann natürlich viel besser.
00:06:11: Genau, ich habe das Buch zusammen mit Sven Hilbig geschrieben der bei Brot für die Welt einer entwicklungspolitischen Organisation wie zur evangelischen Kirche gehört arbeitet und wir haben zusammen uns die globalen Ausbeutungs- und Machtverhältnisse hinter der Digitalisierung angeschaut.
00:06:25: Du hast schon ein Thema angesprochen zum Beispiel das Outsourcing von Arbeit hinter sozialen Medien und KI Als großes Thema.
00:06:32: aber auch in anderen Bereichen sehen wir, dass wir nicht nur ein leises Echo des Colonialismus haben wenn wir auf die globalen Macht- und Ausbeutungsverhältnisse gucken.
00:06:40: Die den Erfolg von Big Tech möglich gemacht haben, aber auch das was man digitaler Fortschritt nennen könnte von dem wir profitieren.
00:06:46: ja also keine KI ohne Datenarbeiter in die Daten anotiert haben teilweise Daten generiert haben.
00:06:55: Ja, häufig unter sehr problematischen Bedingungen bei Outsourcing für im globalen Süden.
00:07:00: Beispielsweise mit jemandem gesprochen der jünger Mann, der für ChatGPT Tag ein Tag aus brutale Texte gelesen hat sozusagen um dem Programm... Ich spreche jetzt sehr vereinfacht beizubringen also den Datensatz mit Metadaten zu versehen damit das LLM lernt was sozusagen Gewalt ist.
00:07:18: gewalttätige Inhalte damit sie nicht lernen.
00:07:21: die erzählen eben furchtbare Geschichten von den Erfolgen In Kenya, in Nairobi.
00:07:26: Das ist ein Hotspot, ne?
00:07:27: Genau.
00:07:30: Kenia aber auch andere also Indien, Philippinen, Pakistan, Bangladesch nicht zufällig Worte wo die Leute besonders gut Englisch sprechen weil sie von den Britten unterworfen worden sind.
00:07:45: so französische Firmen sourcen lieber nach Madagaskar aus zum Beispiel ebenalige Kolonie.
00:07:51: Aber wir gucken uns das für ganz verschiedene Bereiche, den Datenextraktivismus der Tech-Konzerne.
00:07:55: Die Rohstoffe die in unseren Telefonen, Laptops und E-Autos sozusagen in Batterien verbaut sind.
00:08:01: unter welchen Bedingungen werden sie abgebaut?
00:08:03: im Kongo aber auch im Lithium Dreieck in Lateinamerika?
00:08:07: Gucken auf wie darauf wie europäische und nordambrikanische israelische und chinesische Firmen Ja, die Diktatoren dieser Welt mit Überwachungstechnologien ausstatten und sozusagen von der digitalen Repression profitieren wie soziale Medien bei Zensur mitmachen oder nicht genug Geld für Contentmoderation vor allen Dingen in Ländern des lobeinsüdens ausgeben.
00:08:31: Und so zur Waffe in Konflikten werden.
00:08:33: wir gucken auf Infrastruktur unter Sekadro also wirklich sehr viele Themen in denen wir koloniale Kontinuitäten aufzeigen.
00:08:39: So jetzt habe ich eine große Herausforderung den Ganz willkommen zu unserem.
00:08:45: Ich kann noch sagen, dass es netterweise auch bei Heise besprochen worden ist das Buch also für heise leser ein könnt.
00:08:52: Kann man es auch da sozusagen sich zur Gemüte führen
00:08:54: die Besprechung aber nicht als Buch.
00:08:56: jetzt aber Das
00:08:58: Bußgeld der Woche.
00:09:00: unser Buß Geld der Woche passt schon ziemlich gut zum Thema weil es sich auch so ein bisschen in die Richtung bewegt.
00:09:08: Es kommt aus Italien und ereilt hat es die Poste Italiane und die Postepay.
00:09:15: Holger, du hattest dir das angesehen?
00:09:16: Das ist der ehemalige Postbetrieb, der jetzt aber komplett privatisiert.
00:09:21: Ist dann mit ziemlich hohem Umgang... Schon
00:09:23: lange ja!
00:09:24: Sie sind sogar schon seit Jahrzehntausendfünfzehn Börsen notiert.
00:09:31: Immerhin, elf Milliarden Euro sind riesiger Logistik und auch Telefoniekonzern.
00:09:35: mittlerweile stecken in Italien.
00:09:37: In sehr vielen Bereichen mit drin.
00:09:39: Der Sachhalt ist relativ kompliziert.
00:09:40: Ich hoffe dass ich ihn jetzt einigermaßen nachvollziehbar wiedergebe.
00:09:43: diese beiden Organisationen ich nenne sie jetzt mal die hängen ja zusammen ich nennen Sie jetzt nur halb Proste haben Ihren Android Apps spezielle antifraught Software eingesetzt nennt sich Thread Matrix.
00:09:58: Die haben eine Liste der installierten und laufenden Apps auf den Smartphones ihrer Kunden gemacht.
00:10:08: Und auf eine cloudbasierte Plattbaum übertragen, was ich schon ziemlich heftig finde.
00:10:14: Erfasst wurden unter anderem Geräte-Identifier IP Adresse Geolokalisierung.
00:10:19: Das ist das Thema zu dem wir gleich kommen werden.
00:10:21: VPN Nutzung und weitere Fingerprinting Attribute die für den ja auch nicht ganz geringen Zeitraum von achtundzwanzig Monaten gespeichert wurde.
00:10:31: Was war dann passiert?
00:10:33: oder warum ist das rausgekommen?
00:10:35: Es gab irgendwann eine Aufforderung der Daten, also bei denen auf den Handys und Smartphones der Datennäherung zuzustimmen.
00:10:42: anderenfalls werden die Apps nach drei weiteren Zugriffen gesperrt und das führte sofort zu hundertvierzig Beschwerden bei der italienischen Datenschutzorganisation der Garante Und die haben dann festgestellt, dass... und das finde ich eine bemerkenswerte Zahl.
00:10:56: Sieben Komma sieben Millionen Nutzer, die Berechtigung geteilt hatten also dem ganzen zugestimmt haben auf dieser Basis dann dreihundert tausend Apps gesperrt worden waren.
00:11:05: Und trotzdem gab es wohl in den ersten sieben Monaten keine missbaren Steigerung der Betrugserkennung.
00:11:12: Also da hat man nicht so richtig wahnsinnig gut funktioniert.
00:11:15: Hab ich schon gesagt wie viel Geld es gab?
00:11:17: Nee, ich glaube hatte ich gar nicht gesagt.
00:11:20: Von der Höhe her Sanktionen, sechs Komma sechs Millionen gegen Poste und fünf Komma acht Millionen gegen Poster Pay insgesamt also zwölf Komma fünf Millionen.
00:11:30: Warum?
00:11:31: So ziemlich jede fast jeder DSGVO Vorschrift ist irgendwie verletzt worden angefangen mich in der DSGV war angefangen mit der umsetzung der E-Privacy Richtlinie.
00:11:41: Da wurde eben was auf den Endgeräten der Nutzer gefreichert ohne entsprechende Einwilligung.
00:11:47: Es gab ein Verstoß gegen den Artikel sechs, fehlerhafte Rechtsgrundlage.
00:11:52: Die wurde nicht spezifisch festgelegt.
00:11:54: es gab einen Verstoße gegen Artikel fünf da das Ganze nicht ordentlich dargelegt wurde.
00:12:01: die blosse Autorisierungsanfrage hat eben nicht gereicht und ersetzt auch keine Einwilligung.
00:12:07: Dann gab es keine ordentliche Auftragsverarbeitungsvertrag mit dem Subunternehmen.
00:12:14: Es gab eine DSF-Ark, keine Folgenabschätzung was bei sieben, sieben Millionen Kunden durchaus denkbar wäre.
00:12:23: Verstoß gegen Privacy by Design und Speicherbegrenzung.
00:12:27: Sie hatten vierundzwanzig Monate angegeben, was ich persönlich schon viel zu lange halte Und haben sich aber achtundzwzig Monate gespeichert das ich völlig indiskutabel finde.
00:12:37: Ja und zwölf fünf Millionen ist ordentlich, aber angesichts der Umsätze jetzt auch nicht brutal hoch.
00:12:44: Ich finde schon man hat sich sehr wenig Gedanken gemacht.
00:12:47: bei der ganzen Geschichte sind ja doch wir reden im Umfeld von vom Zahlungsdaten und ähnliches.
00:12:54: Ingo was meinst du würdest damit gehen wenn durch die Datenschutz weil du die Garante wärst was hättest du mit denen zu besprechen?
00:13:02: Ja, also ich finde das erstmal eine beachtliche Liste an checkboxen sozusagen die da irgendwie abgeklappert worden sind mit was man alles falsch machen kann und erscheinen.
00:13:12: Echt typischer Fall zu sein fast ja wir sammeln einfach erst mal und durchaus auch ein aktuelles Problem nicht nur wegen der Standortdaten sondern weil ja auch im Omnibus im Datenomnibuss ist ja auch Regeln so Fraud Detection und so weiter geben soll, wo dann das Speichern auf den Endgeräten leichter möglich sein soll.
00:13:34: Deshalb finde ich es ein sehr spannender Fall!
00:13:36: Ich bin immer bei den Bußgeldern denke ich... Ich will vor allen Dingen harte Bußgelder sehen, wenn es ein böswilliges Verhalten beziehungsweise grob fahrlässig ist oder und dann auch ein sozusagen schädliches Verhalten war.
00:13:51: Ja also ich finde deshalb bin ich ehrlich gesagt bisschen erstaunt dass das so hoch ist hier das Bußgeld.
00:13:57: aber wenn's... Weil es
00:14:00: deiner Meinung nach nicht schädlich war?
00:14:03: Also jedenfalls ich finde immer wenn man nachweisen kann dass Daten für etwas genutzt werden, wofür sie nicht genutst werden sollten.
00:14:10: Wenn Sie hier jetzt nur rumlagen würde ich immer sagen ist es immer noch schlimm genug.
00:14:14: so ist auf jeden Fall gerechtfertigt das Bußgeld.
00:14:16: aber ja fänds noch dramatischer wenn sie jetzt die Daten die sich für angeblich nur Floor Detection erhoben haben dann auch weiter verwendet hätten verkauft hätten oder ähnliches.
00:14:27: Aber ich habe letzte.
00:14:29: wissen wir wie das in Italien ist.
00:14:33: Wissen wir wie der auch ständig Weggeklagt die Bußgelder oder runtergeklagt?
00:14:39: Habt ihr viel gelernt in der Folge hier, in eurer letzten Folge.
00:14:41: Ja dazu hätte ich gleich nochmal eine Frage an das was du gesagt hast angeschlossen.
00:14:46: Du hast eben gesagt wir haben ein bisschen so auch über die Höhe der Buß Gelder besprochen und ich habe gesagt ja als Unternehmensjurist finde jetzt natürlich Hochbußgelder nicht so geil, aber als Anwalt und Datenschutzberater ist das schon für mich irgendwie das Salz in der Suppe.
00:15:00: Weil ich sonst meinen Mann dann einfach schlechter erklärt bekommen, warum sie das nicht einfach riskieren?
00:15:05: Wie ist denn deine Meinung?
00:15:06: eher die hohe Bußgelda oder...
00:15:09: Total!
00:15:10: Also ich meine, dass war das Versprechen mit der Datenschutzzugrund-Vorordnung.
00:15:15: Jetzt kommen die Bußgelder und jetzt wird Datenschütz dann ernst genommen Betriebsinternal Datenschutz beauftragte endlich mal was an der Hand, wo sie dann mit zum Vorstand gehen können und sagen können hey Leute hier gibt es ein echtes Risiko.
00:15:27: Und ich glaube wenn das jetzt auch noch wegfällt Dann bleibt nicht mehr viel sozusagen.
00:15:36: Deshalb bin ich auf jeden Fall ziemlich entsetzt über die vielen Urteile Die Bußgelder relativ häufig runterkürzen und ihr habt die Dynamik ja Passend verschrieben sozusagen.
00:15:49: Es führt dann dazu, dass im Zweifelsfall jedes Unternehmen erstmal sagt ja gut, dann gehen wir vor Gericht.
00:15:53: also es lohnt sich auf jeden Fall weil weiß ich nicht fünfzig dreißig bis fünfzig Prozent runterkriegen das ja auf jeden fall so und es gibt keine... Keine ausgleichende Dynamik, dass jetzt irgendwie denn jemand anders klagen würde sagen oder das Bußgeld ist zu niedrig Ja?
00:16:09: So und das halte ich für ein echtes Problem.
00:16:11: Ja, es sind halt vor allem die finanzstarken Unternehmen.
00:16:14: Das ist halt das was so stört, dass hier viel finanz stärker eine riesengroße Rolle spielt bei der ganzen Geschichte.
00:16:19: Also wenn du jetzt keine Ahnung als irische Datenschutzbehörde dich mit Meter anlegst und dann ist der Widerspruch ja quasi schon eingepreist und umgekehrt, das ist bei denen ja im Budget schon eingepreist, dass wir Begehne-Datenschutz verstoßen.
00:16:32: Wir wissen, es wird wahrscheinlich ein Gussgeldverfahren geben Es wird sich über Jahre hinziehen, wir gehen ein bisschen runter haben wir ja schon so oft besprochen hier und wissen wie auch, dass das sowas einkalkuliert ist.
00:16:45: Also da sind teilweise rechtsbrüche statt, bei denen man vorstellt, das gleiche spitzige Moment beim DSA ab.
00:16:52: Und gerade bei den großen Unternehmen die können das.
00:16:56: Die Last tragen eigentlich eher die kleinen Unternehmen, die für diesen echte Gefahr darstellen, auch wenn sie mal zehn oder fünffünfzigtausend Euro Bußgeld zahlen sollen.
00:17:03: finden würde ich das meine Beobachtung zumindest.
00:17:07: Aber ich habe nochmal eine Frage zu dem Sachverhalt Jörg.
00:17:10: So wie ich das verstanden habe, wollten die ja eine Einwilligung erzwingen.
00:17:14: Also von der informierten Freiwilligeneinwilligung kann ja keine Rede sein.
00:17:20: Sie wollen das Go dafür haben dass sie diese Daten erheben und speichern dürfen Und wenn ich sperren, sperren wir dir den Dienst.
00:17:28: Also das ist ja eigentlich was... naja gut aber das ist eigentlich etwas wo die EU-Kommission immer wieder gesagt hat.
00:17:33: es geht auf keinen Fall also bei dem Aufsicht und der EZA auch also bei den Verfahren die sie zumindest irgendwie begutachtet haben dass Sie sagen als der Zugang zum Dienst muss möglich sein auch wenn man eine Einwilligung gewinnt, z.B.
00:17:43: bei Cookies.
00:17:44: Das ist ein Beispiel und das hat mich ein bisschen gewundert insbesondere auch dass das offensichtlich in die Strafe gar nicht eingeflossen ist, oder?
00:17:54: Habe ich das falsch verstanden?
00:17:55: Ich habe nur gesehen.
00:17:56: Wohl schon eingeschlossen...
00:17:58: Sie haben sich teilweise auch auf berechtigtes Interesse berufen und ich noch diese Einwilligung als bisschen komisch.
00:18:04: Ja also die haben auf jeden Fall keine... Die haben sich auf berechnete Tasse berufen, haben aber wohl keine Dokumentation dazu gemacht was nicht so sinnvoll ist gerade bei solchen Datenmengen.
00:18:17: Deswegen hat die die Garante eben keinen.
00:18:20: Das ist der Gerand, ich habe letztendlich den Gerand gegessen.
00:18:27: Und deswegen ist die Behörde der Ansicht dass das was gescheitert ist und dann haben sie eben nur noch dieses Ding was da weggeklickt werden musste so was natürlich Meilen weiter von entfernt ist eine Einwilligung zu sein plus Bonus Problem.
00:18:43: das ist ein Fall wo du in einer Einwilligung eigentlich ganz ganz schwer rechtskonform die überhaupt bestätigen lassen kannst also das was sie damit machen wollen und die art der speicherung und die länge und.
00:18:55: Das rechtskonfirm in so einem kleinen kasten zu beschreiben ist so hart am rand der der unmöglichkeit oder scheitert dann auch die eingelegen auch gerne mal und dass haben sich hier tatsächlich dann auch.
00:19:08: ihr ist ihnen vorgeworfen genau.
00:19:10: aber wir sind schon fast mitten im thema.
00:19:12: je ging es ja auch um Kommunikationsdaten und um Standortdaten.
00:19:19: Und Standort-Daten ist unser Thema, wir haben hier, das heißt Pogol habe ich geschrieben, der Spion an meinem, in meinem Smartphone Tracking mit Standort Daten ist unser thema.
00:19:30: und da Ingo sich viel besser damit auskennt will ich dir einfach mal den Ball rüber spielen und dich fragen was es passiert?
00:19:38: Was habt ihr gemacht?
00:19:43: Veröffentlichen jetzt seit bald zwei Jahren mit nestpolitik.org und den Bayerischen Rundfunk dann noch in unterschiedlichen Konstellationen, mit weiteren auch internationalen Partnermedien Recherchen zum Handel Mitdaten aus der Online-Werbeindustrie Standortdaten die ja angeblich nur für Werbezwecke gesammelt worden sind aber ja dann irgendwie bei Data Broker landen irgendwie dann auch bei uns gelandet sind, also nicht irgendwie sondern indem wir sie als kostenlose Probedatensätze von Datenhändlern erhalten haben.
00:20:19: Inzwischen liegen unserem Recherche-Team mehr als dreizehn Milliarden Standorte aus ja mehr als hundertvierzig Ländern vor allein für Deutschland.
00:20:29: Wie viele Personen betrifft das?
00:20:30: Weißt du das?
00:20:31: Habt ihr das irgendwie ein bisschen ermitteln können?
00:20:33: Man kann es natürlich nicht genau sagen weil die dass der Identifier in dem Datensatz ist, die Mobile Advertising ID.
00:20:43: Eine Nummer, die Apple und Google den Nutzern ihrer Smartphone-Betriebssysteme sozusagen zuordnen Und anhand dieser Identifier können wir in etwa grob schätzen Wir haben in einem Deutschlanddatensatz mit drei Komma sechs Milliarden Standortdaten zum Beispiel elf Millionen mobile advertising IDs gehabt also mutmaßlich elf Millionen Telefone.
00:21:06: Gleichzeitig sehen wir auch immer wieder, vielleicht später noch ein bisschen vertiefen das die Datenqualität schwankt und dass es ist halt eine Marketingbranche.
00:21:15: Eine Branche der Schwindler diese Firmen gerne auch ihre Datensätze aufblasen indem sie bestimmte Geodaten duplizieren und dann einfach eine erfundene Mobile Advertising die dazu tun beziehungsweise mit dem Datum verändern Aktueller erscheinen das notwendig ist.
00:21:36: Das heißt, wir können nicht genau sagen es sind definitiv Millionen nutzende Millionen Betroffene.
00:21:42: ganz kurz also um das nochmal klar zu machen als ihr habt ihr seid einfach an Ihr seid glaube ich über so eine über so ein plattform gegangen wo datenbroker ihre ihre ihre wahre anbieten quasi Dann habt ihr euch an welche gewendet und einer hat euch dann progedatensätze geschickt.
00:21:58: nur so wie ich das verstanden habe.
00:22:00: Mich würde interessieren wie sehen denn Ich werde es auch verlinken.
00:22:04: Es gibt ja auch einen tollen Film des Bayerischen Rundfunkscherche, da wurde das mal kurz abgebildet wie tatsächlich diese Daten aussehen die ihr bekommt.
00:22:14: aber was habt ihr denn da bekommen?
00:22:15: Wie sieht so etwas aus?
00:22:16: Das sind dann letztendlich riesengroße CSV-Dateien
00:22:20: also einfach Tabellen
00:22:22: sehr viel genau Tabellen, sehr viele Reihen haben, sehr sehr viele Zeilen haben nicht besonders viele Spalten.
00:22:31: eine Mobile Advertising-ID, die ist immer dabei sozusagen der Identifier und dann ja ein Timestamp also ein Datum mit einer Uhrzeit.
00:22:40: Und dann eben ja die Geolocation.
00:22:43: teilweise sind da noch andere Dinge dabei.
00:22:45: Welches Betriebssystem nutzt die Person was für einen Carrier?
00:22:49: Also was den Internetanbieter?
00:22:50: ist das so dass wir beispielsweise auch Soldaten mutmaßliche Soldaten an der Front in der Ukraine gesehen haben, die da über Starlink dann sozusagen vernetzt waren und genau, aber im Wesentlichen sind es diese Informationen.
00:23:06: Also Mobile Advertising ID, Timestamp und Location.
00:23:10: Und über die Mobile Advertedizing ID, die in jeder Zeile enthalten ist oder zum Beispiel vielen Zeilen enthalten isst kann man das Gerät identifizieren.
00:23:22: Man kann halt auch dann verschiedene... also die Zeilen Über dieses unique ID, dann wieder zusammen zu führen und quasi auf einen Gerät schließen lassen.
00:23:32: Also auch wenn die weit verstreut sind im Datensatz, immer wenn diese ID wieder auftaucht heißt das ist wieder das gleiche Handy von dem diese Informationen stammen.
00:23:39: Genau also unsere großartige Kollegin Katharina Brunner Datenjournalistin beim BR hat uns ein Tool gebaut dass sozusagen die Visualisierung dieser Daten auf Karten ermöglicht hat und dann die Durchsuchbar-Kart.
00:23:52: Und wenn man sie eben auf die Karte legt, dann hat man dank der Mobile Advertising, die dank dem Identifier ein schönes Muster, wo man genau sieht, okay, wo sich eine Person aufgehalten hat in diesem Zeitraum.
00:24:04: Man erkennt ganz klar bestimmte Orte weil dort wo die Menschen zu Hause sind, wo sie wohnen und dort wo sie arbeiten gibt es große Häufungen.
00:24:12: da sind einfach die meisten Daten bei.
00:24:14: Da nutzen die Leute das Telefon am meisten.
00:24:19: Man sieht aber eben dann auch andere Orte.
00:24:21: Und anhand dieser Orte konnten wir die Pseudonymisierung auflösen.
00:24:26: in einigen Fällen, also wir haben es jetzt nicht für alle natürlich gemacht sondern wollten vor allen Dingen demonstrieren dass es geht ja das ist hier nicht mit anonymem Daten zu tun haben wie die Data Broker selbst immer gerne überhaupten Sondern dass wir halt Menschen identifizieren können.
00:24:41: Das haben wir gemacht indem wir einfach Open Source O-Synth gemacht und wirklich geguckt haben wo an welche Adresse finden wir da irgendwie im Telefonbuch oder sonst wie online Informationen dazu, wo Menschen arbeiten.
00:24:57: Wo Menschen wohnen sozusagen und haben das dann wiederum teilweise abgeglichen mit dem, wo menschen arbeiten aber sind auch einfach ganz einfach losgegangen Adressen vorbeigeguckt und haben geguckt, welcher Name steht auf dem Klingelschild.
00:25:13: Und haben dann geguckt okay eine Person die im Bundesministerium XY arbeitet gibt es da jemandem?
00:25:20: Wir sehen dass die Personen hier wohnt offensichtlich im Bundes Ministerium XY Arbeitet.
00:25:24: finden wir jemand mit dem Namen im Organigramm ja und konnten dann so sehr viele Menschen identifizieren haben das in verschiedenen Interaktionen gemacht also am angefangen mit hochrangigen Beamten von Bundesministerium, Bundesministerien haben aber eben auch geguckt.
00:25:44: können wir auch Leute entdecken die auf Militärstützpunkte ein und ausgehen mutmaßlich dort arbeiten.
00:25:51: Das haben wir unter anderem mit Wired gemacht US-Medium für die US und NATO-Basen in Deutschland unter anderem der Fliegerhorst Büchel, wo die US-Ambrikaner mutmaßlicherweise die Atomwaffen stationiert haben und konnten dort Personen identifizieren, deren Rhythmen sehen.
00:26:07: Wann gehen die ein oder aus?
00:26:08: Wer von denen geht auch mal ins Bordell, ins Nagelegen
00:26:11: usw.?
00:26:13: Und haben das auch gemacht für Geheimdienste.
00:26:16: also wer geht ein und aus beim Bundesnachrichtendienst, wer geht eine und aus bei dem Bundesamt für Verfassungsschutz
00:26:25: Was ich auch krass finde, ja also zumindest in der DOKO.
00:26:28: Ihr habt jetzt zum Beispiel auch eine Schülerin identifiziert die wo ihr ihre Hundegasse hier runde irgendwie gezeigt habt und ihr gezeigt hat wie ihr Schulweg ist immer mit dem Schulbus morgens und so.
00:26:41: das ist natürlich wenn man das dann den Leuten auch vorführt also wie sie welche Datenspuren Sie in der Vergangenheit hinterlassen haben über Ihres Smartphones.
00:26:50: das ist schon glaube ich recht schockierend und beeindruckend Und es gibt
00:26:55: eben nichts, genau.
00:26:57: Das macht jetzt diese Doku aus sehr toll, die die Kollegin von BR gedreht haben, die kürzlich erst ausgestrahlt wurde auf Arte und ARD sozusagen.
00:27:03: wo dann wirklich dann die Geschichten von Personen erzählen?
00:27:06: bei Leuten die beim Geheimdienst arbeiten, die haben wir natürlich nicht kontaktiert oder so andere haben wir aber eben kontaktieren und haben uns das auch verifizieren lassen.
00:27:13: und ja man kann sich also alles was man sich so vorstellen kann findet man in den Daten.
00:27:20: Man kann sich lauter Bedrohungsszenarien Menschen feindliche Geheimdienste, die mit solchen Daten was anfangen wollen.
00:27:28: Wir haben auch die Daten einer ägyptischen Exiljournalistin, die in Berlin lebt gefunden, die sagt sie wird vom Ägyptischen Geheimtienst verfolgt und wundert sich immer woher wissen die wo ich bin?
00:27:41: So warum finden die mich immer egal wo ich Bin im berlin und da könntest du natürlich nicht belegen so.
00:27:46: aber der Verdacht liegt nahe dass die auch solche Daten genutzt haben könnten.
00:27:50: Wir haben hochrangige U-Beamte in Brüssel damit identifiziert, sogar eine Person von der wir denken das sie bei der NSA arbeitet beziehungsweise für die NSA arbeitet am Standort Bad Eibling als es um Gebäude gibt, von dem bekannt ist, dass dort nicht nur der BND sondern eben auch die NSA arbeitet und man findet dann zu der Person weitere Bewegungsmuster bestimmter Militärstaatschen...
00:28:12: Den habt ihr aber nicht identifiziert sonst hätte euch wahrscheinlich leider töten müssen.
00:28:16: Wir haben auf jeden Fall, erstaunlich viel zu dieser Person rausgefunden.
00:28:21: Aber wir haben dann irgendwann entschieden, wir gehen diesen Weg jetzt nicht weiter.
00:28:24: Wir haben demonstrieren dass es geht und wir müssen das jetzt nicht weiterhin.
00:28:30: Zwei Sachen dazu weil ich die DOKUS auch gesehen habe.
00:28:34: Ich fand sie sehr gut aber Sie haben mir zwei Sachen nicht so ganz klar gemacht.
00:28:38: also ich finde sie sind sehr so betan als ein Live-Infos was ihr nicht sehnt.
00:28:42: Deswegen wird wahrscheinlich Die die ägyptische Dame auch eher so Opfer ihrer ihre Gewohnheiten sein, weil sie jeden tag irgendwie.
00:28:52: Na gut, Sie wohnt wahrscheinlich jeden Tag irgendwie gleich vermutlich aber also das ist so bekommen kann.
00:28:59: und die andere Frage ist natürlich du hast es schon gesagt Das sind erstmal keine personen bezogenen Daten sondern Personen beziehbare Daten wo man halt zusätzliche Informationen noch braucht indem sich man eben vorbei geht zum Beispiel oder Klar, wenn jemand ganz offensichtlich in einem Haus wohnt von einer Person wohnt ist es sogar relativ einfach.
00:29:19: Wenn das aber jetzt ein Hochhaus ist wird man die wahrscheinlich nicht unbedingt auflösen können würde ich denken oder?
00:29:25: Genau also das war für uns immer praktisch, wenn Leute in freistehenden Häusern gewohnt haben weil dann irgendwie klar war dass die Person die auf dem Klingelchild steht auch dort wohnt und dass wir sie dann leicht identifizieren können.
00:29:37: Ich bin mir relativ sicher, dass es aber bei Geheimdiensten Auch Datenbanken gibt die Mobile Advertising IDs zu Telefonnummern oder Namen, oder so auflösen können.
00:29:50: Wir haben sowas nicht, wir haben es wirklich mit einfachen Mitteln gemacht aber genau das stimmt.
00:29:54: Da musste man weitere Informationen hinzuziehen, aber eben frei verfügbare Informationen ja?
00:30:00: Wir haben den Low Effortaufwand gemacht und sind sicher dass das mit etwas mehr Daten und etwas mehr Geld geht.
00:30:09: Und mit etwas mehr Geld kann man auch an sogenannte vermeintliche Echtzeitdaten kommen, jedenfalls werden sie beworben.
00:30:16: Also wir haben jetzt tatsächlich retrospektive Daten die dann oft für einen bestimmten Zeitraum sind, sind wie gesagt Probedatensätze, die wir erhalten haben von den Data Brokers ja so eine Kostprobe der Käsewürfel an der Data Broker-Tecke um mal zu probieren, wie kurz einem schmeckt und dass man dann mehr kauft.
00:30:34: und die haben aber durchaus dann auch Echtzeitdaten im Angebot.
00:30:38: Nach dem was ich weiß, wir haben das nie genutzt gekauft.
00:30:41: Da haben da keinen Zugang bekommen heißt es dann so etwa eine Viertelstunde versetzt aber das scheint auch möglich zu sein.
00:30:48: Ihr denn sehen können was sowas tatsächlich wenn ihr jetzt eingestiegen wird ins Business?
00:30:53: Was ihr da was ihr ladzen müsstet oder was ihr der zahlen müsste hier Daten womöglich auch noch in nahezu Echtzeit.
00:31:00: also der der eine Anbieter hatte da immer ein Angebot Das ist ein Data Broker aus den USA, der hatte da immer einen Angebot für Echtzeitdaten aus Deutschland.
00:31:08: Standortdaten das wären fast nicht knapp fünfzehntausend Euro im Monat gewesen.
00:31:14: Ich
00:31:17: war auch eher erstaunt, aber ich glaube das ist so.
00:31:20: Also einzelne Daten sind einfach nur ein paar Cent oder Bruchteile von Zens werden erst in der großen Masse zu richtig.
00:31:28: Für private und kleine Unternehmen ist es natürlich schon viel, aber wenn du jetzt entweder ein sehr großes Unternehmen bist oder auch wenn du eine staatliche Stelle bist wie zum Beispiel eben wie du gesagt hast einen Geheimdienst, der sich für solche Daten ja durchaus auch interessieren könnte, bei denen ist das natürlich ein Klacksen?
00:31:45: Ja!
00:31:49: Wo kommen die Daten her?
00:31:51: Handy-Apps, das wirklich gerne ein bisschen mehr von wissen.
00:31:54: Also spioniert mich jetzt jeder Handyapp aus.
00:31:57: oder worauf muss ich achten?
00:31:59: Wird gut.
00:31:59: auf Vermeidungsstrategien kommen wir am Ende aber... Das
00:32:04: haben wir uns natürlich auch gefragt.
00:32:05: Entschuldigung!
00:32:07: Das haben wird es natürlich auch gefragt.
00:32:09: also vielleicht erst mal andersrum erzählt.
00:32:12: wo haben wir sie her?
00:32:14: du hattest eben Holger so kurz gesagt, aber ich würde es noch einmal ein bisschen ausführlicher erzählen.
00:32:20: Wir haben Kontakt zu den Data Brokern die diese Daten gehandelt haben erhalten über eine Plattform, Data Rate AI heißen sie in Berlin sitzen.
00:32:32: Ein deutsches Unternehmen gefördert mit Mitteln aus dem Hightech Gründervor unter anderem in dem auch Geld des Bundeswirtschaftsministeriums steckt und deren Mission ist es, den Handel mit Daten zu demokratisieren.
00:32:47: Wie Sie sagen ja?
00:32:48: Wir wollen dass der Handel von Daten so leicht wird wie das Shopping von Kleidung im Internet.
00:32:52: Boah!
00:32:53: Das ist aber wunderbar altruistisch.
00:32:56: Alles
00:32:57: gute Menschen...
00:32:58: Aber das heißt dann tatsächlich auch, man geht auf die Plattform von denen und hat dort eine sehr benutzerfreundliche Oberfläche.
00:33:05: Man tippt ein in der Suchfeld was für eine Art Daten man möchte und dann hat man da bestimmte Kategorien, die man auswählen kann, was sozusagen wie neu oder alt sollen sie sein?
00:33:15: Aus welcher Region soll die kommen?
00:33:16: Kann er bestimmte Filter anwenden?
00:33:18: Und dann sieht man eben die Angebote so.
00:33:21: Das heißt, die Platform ist ... machen sehr deutlich, sie selber handeln nicht mit Daten.
00:33:30: Sagen sogar Sie seien eigentlich nur ein Verzeichnis wo Datenhändler ihre Angebote einstellen.
00:33:38: aber von der User Experience her ist es so.
00:33:40: man findet dort dann eben ganz leicht die Daten die man möchte und oft ist es dann sogar so dass Anbieter, die Data Broker.
00:33:50: Die sehen offensichtlich dass man sich ihr Angebot angeguckt hat wenn man eben das mit einem Account eingeloggt gemacht hat.
00:33:56: und dann kontaktieren die einen und schreiben hier du interessiert doch für diese Daten willst du mal
00:34:01: so?
00:34:02: Und mein Kollege Sebastian Meinig hatte das als erster von uns gemacht und hat es bei ein paar versucht Netzpolitik.org, E-Mail Adresse auch unter klarer Namen also nicht unter Legende oder so weil das einfach mal versuchen musste und es hat dann nicht lange gedauert bis der dritte oder vierte oder fünfte Broker den er für den er sich interessiert hatte.
00:34:25: Auch dann ohne jegliche Überprüfung oder ähnlichem eben diesen allerersten Datensatz mit drei Komma sechs Milliarden Standorten aus Deutschland zugeordnet zu elf Millionen Mobile Advertisement Gegeben.
00:34:39: Jeden Satz von diesem Ja, offensichtlich.
00:34:42: Ich bin jetzt mal freundlich fragwürdigen Zwecken wie Geheimdienst und Ausspionieren von Widerstandsmenschen oder an der Front.
00:34:53: Was ist denn normal?
00:34:54: Das wäre der normale Use Case in Anführungszeichen für diese Daten.
00:34:58: Also ich kenne mich ganz gut aus mit Werbedaten aber bei mir hört es dann halt auf wenn die Werbung ausgespielt wurde Dann haben diese Daten ja eigentlich ihren Zweck verloren, dann muss ich vielleicht noch mal drauf gucken wie gut ist es gelaufen?
00:35:10: und so weiter.
00:35:10: Vielleicht auch nochmal wir hat konvertiert.
00:35:16: Geklickt kann man auch kritisieren klar aber was ist das?
00:35:23: ist ein Level dahinter?
00:35:24: Das sind ja eigentlich daten die hätten die man gar nicht mehr braucht in dem moment.
00:35:29: und was wäre der normale usk?
00:35:31: Ja, gute Frage.
00:35:33: Also die sagen schon immer so auch Werbebranche.
00:35:37: Teile dieser Industrie machen ja so location intelligence also dann einfach mal gucken.
00:35:44: ich habe das für eine Berliner Unternehmen in der ein Jahr davor stattgefunden in Xander Recherche wo es auch um Online-Werbedaten ging ausführlich angeguckt.
00:35:55: Und da ist zum Beispiel eine Firma, die bietet dann an dass sie Kunden sagt wir sagen dir wo sich die Leute für die du dich interessierst.
00:36:02: Sonst noch so aufhalten.
00:36:03: ja also damit du ein Gefühl dafür bekommst Wo gehen die einkaufen?
00:36:07: In welchen Regionen zu welchen Uhrzeiten sind ihr unterwegs wer fährt mit der Bahn und so weiter.
00:36:12: Also das wäre jetzt mal so eins weg der mir einfallen würde.
00:36:17: Ja aber ich
00:36:19: Also in der Recherche kann mir auch noch das.
00:36:21: da fand Ich auch total krass.
00:36:25: Zumindest, ich weiß gar nicht wie spekulativ das war oder ob das wirklich schon gemacht wird.
00:36:29: Die waren ja auch aus so einem Kongress irgendwie... Da ging es auch darum dass Offline geschaut werden kann, ob Online-Ladung konvertiert.
00:36:40: also zum Beispiel keine Ahnung du kriegst von irgendeinem Moderhändler Werbung angezeigt und dann wird halt irgendwie getrackt ob du danach vielleicht in den Laden gehst und dort auch shoppen gehst Und das ist dann auch eine Erfolgsmessung des Werbemittel.
00:36:55: Über eine sehr indirekte Art in der rechten Welt und fand ich wahnsinnig spooky, wenn so etwas wirklich stattfindet oder in der Zukunft stattfinden soll.
00:37:04: Ja muss man nicht mögen!
00:37:04: Ist aber halt nicht personenbezogen.
00:37:06: also da weißt du nicht wie es ist sondern du musst halt schon noch ein ganz schön Menge Energie sofort eingehen.
00:37:14: Ich weiß du siehst das wahrscheinlich anders.
00:37:17: Du musst halt noch eine ganze Menge Energie reinstecken, um das personifizieren zu können.
00:37:21: Und in der Regel interessiert es ja die Unternehmen auch nicht wer du da bist sondern sie interessiert nur ob du da ist.
00:37:26: so und das würde ich jetzt schon wenn Unterschiede sehen kann aber auf verstehen und finde es auch ähnlich wie du auch ein bisschen ziemlich so gier und möchte dass eigentlich auch nicht von mir gewusst haben wollen.
00:37:37: Es gibt aber durchaus Datenschutz Juristinnen die sich die sagen dass auch eine Mobile Advertising ID an sich ein personenbezogenes Datum ist, dieses Konstituiert.
00:37:51: Ich glaube das ist nicht ausdiskutiert, bin kein Jurist aber es gibt auf jeden Fall... gibt auch die Gegenposition Aber es gibt welche, die sagen eigentlich isst schon die Mobile Advertising-ID Die Werbeeid, die einen Person starten.
00:38:04: Das wollte ich gar nicht anzweifeln.
00:38:06: also da kann man gut über diskutieren und ich würde auch vermuten dass er ist.
00:38:10: aber du weißt ja trotzdem nicht das ist der Peter Müller So ne?
00:38:13: Sondern nur das wollte ich damit sagen
00:38:16: Ja nochmal, lasst uns mal ganz kurz zurück auf die technische Ebene gehen.
00:38:20: Also wir haben diese Mobile Advertising-IDs, die ihr in den Datensätzen auch habt.
00:38:26: Die müssen ja irgendwo generiert werden und die müssen ja auch dauerhaft im Stehhandi gespeichert sein.
00:38:31: Läuft das dann auf Betriebssystemeben ab?
00:38:33: Also weiß das Betriebesystem also entweder IOS oder Intuit... Da ist dann quasi das Handy hat eine feste Werbeidie können auf diese WerbeID zugreifen und können die dann verknüpfen mit den Standard-Daten, können sie unter Umständen entweder selber sammeln oder weitergeben.
00:38:51: So läuft das ja?
00:38:52: Ja genau so läuft es.
00:38:54: Stimmt ich habe mich jetzt eben noch gar nicht erzählt wie dann die Daten über die Apps sozusagen von den Telefon wandern.
00:38:59: aber genau also Mobile Advertising ID, Werbeeidee ist eine Erfindung von Google & Apple und die ordnen Sie erstmal auf Betriebssystem Ebene sozusagen in den Smartphones zu mit genau dem zweck das werbetreibende personen wieder.
00:39:17: Wieder erkennen können ja ohne ihren namens zu wissen, ohne zu wissen ist Peter Müller aber eben sie wiedererkennen können und also
00:39:24: quasi die kuckis für ortsdaten quasi
00:39:27: genau und Aber auch für andere Daten sozusagen die damit übermittelt werden.
00:39:34: genau es gibt zwei wege wie diese daten vom smartphone bei Trackingfirmen und dann bei Data Broker landen.
00:39:44: Und der eine Weg, das ist sozusagen die direkte Pipeline, dass es wenn die App-Entwickler Tracking Code integrieren in ihre Apps über SDKs sogenannte Software Development Kits gibt.
00:39:57: einfach Tracking Firmen, Data Brokers die stellen diese Codeschnipsel einfach zur Verfügung sagen hier ganz einfach integriere das in deine App kannst du dich monetarisieren.
00:40:11: Das ist auch die bevorzugte Methode, weil da hast du oft hochgranulare Daten, Standortdaten, DPS-Qualität wirklich genaue Daten und viele App-Entwickler in mit denen wir auch gesprochen haben im Rahmen der Recherche In einem Datensatz tatsächlich auch noch Informationen darüber hatten, welche Apps die Personen genutzt haben.
00:40:34: Eine Liste mit vierzigtausend Apps sozusagen, sodass wir da auch mal ein paar Namen nennen konnten und viele von denen, die wir kontaktiert haben, wussten wir gar nicht so.
00:40:43: Da ist einfach wirklich so die Haltung.
00:40:44: wieso?
00:40:45: Ach ich freue mich einfach dass sich da Geld bekommen.
00:40:47: alle tausend Besucher gibt es hier irgendwie ein bisschen Geld alle Tausend Nutzer keine Ahnung wo die Daten dann landen oder das da überhaupt die Daten irgendwo anders landen und dass sie bei dem Data Pro keiner.
00:40:57: Aber das ist die direkte Pipeline über SDKs und der etwas verschlungene Weg, ist wirklich dieses sehr komplexe riesige Ökosystem des Real-Time Bidding.
00:41:08: Also wo Auktionen stattfinden auf Werbeplätze!
00:41:13: Immer wenn Nutzer in eine Webseite oder eine App benutzen, die werbefinanziert ist, sendet ja diese App oder die Webseiten Informationen.
00:41:23: In dieses Ökosystem senden sie an Dutzende hunderte Firmen und sagt hier Person X Y nicht Peter Müller sondern Personen mit Cookie ID oder Mobile Advertising ID oder sonst was.
00:41:34: Und weiteren Dingen, die ich über Sie weiß besucht mich gerade.
00:41:37: das soll eigentlich dem Zweck dienen dass dann Ein verzwecktes komplexes Netzwerk an Plattformen entschieden wird, wer darf dann auf den inserierten?
00:41:48: Werbeplatz verbietet darauf und wer kann dann dieser Person Werbung zeigen.
00:41:52: Aber es gibt eben Firmen die hängen sich in dieses Netzwerk und die schneiden einfach alles mit die sogenannten Bitstream-Daten, die in dieses System geschickt werden.
00:41:59: Das hängt sehr von den Konfiguration ab der Publisher sozusagen was die erlauben.
00:42:04: Teilweise sind's auch da genaue GPS Standortdaten halt überwiegend nicht vermutlich Sondern das wird anhand der ARP-Adresse eine grobe Location geschätzt, damit man trotzdem eine Location mitverkaufen kann.
00:42:17: Genau und da gibt es einfach Firmen die schneiden das komplett mit diesen Bitstreamdaten und kommen dann so auf verschlungenen Wegen an die Locationsdaten.
00:42:26: Und weitere Daten sehen wir ja auch.
00:42:28: Betriebssysteme welche Apps werden genutzt
00:42:31: in mehr Einfall.
00:42:35: Noch einmal eine letzte Frage zur Technik, bevor wir vielleicht auch mal zu einer datenschutzrechtlichen Einschätzung kommen der ganzen Geschichte.
00:42:45: Die Standortdaten kommen ja auch vom Betriebssystem.
00:42:50: Also zum Beispiel wird eben aus GPS zugegriffen das Smartphones und das Smartphone ermittelt die Standort-Daten und gibt sie an die App weiter.
00:42:58: aber nur wenn
00:43:00: da verweisen
00:43:00: ja auch die Betriebesystemhersteller immer wieder drauf, nur wenn der Nutzer das auch zulässt.
00:43:05: Das heißt wir werden ja am Anfang immer gefragt die App-Bild diese Berechtigung haben und es gibt eben viele Apps die die Zukunft auf die Standortdaten fordern.
00:43:15: Und vielleicht kannst du da auch mal ein paar Beispiele nennen was ihr für Kategorie von Apps ermittelt habt, die davorwiegend im Spiel sind, die dann eben darauf pochen sie wollen den Standort wissen und immer drauf zugreifen können.
00:43:30: Genau also Wir sehen das tatsächlich auch einfach in den auf der Karte, in den Daten dann sozusagen.
00:43:37: Dass du manchmal hast ein sehr dichtes Netz wo du merkst okay da hat eine Person die permanente Zugriff auf die Standorte an so hat es erlaubt und teilweise hast Du dann nur noch nur sehr vereinzelte Punkte Wo der Schluss danach liegt?
00:43:51: Das liegt daran dass die Person Nur bei Verwendung der App den Zugriffs auf die standorte erlauben.
00:43:58: klassischerweise also Erstmal muss man sagen, alle Apps die sich über Werbung finanzieren.
00:44:05: Die am Real Time Bidding System teilnehmen sind Teil davon weil sie es gar nicht verhindern können dass eine der Demands-Seitplattforms der DSPs die eigentlich nur die Daten bekommen sollen um zu entscheiden ob Sie jetzt ein Angebot abgeben oder nicht auf den Werbeplatz diese Daten mitschneiden.
00:44:22: aber es gibt natürlich notorische Anbieter die da besonders häufig das sind sind apps auf denen man auch irgendwie oft einen guten grund hat den standort zu geben.
00:44:34: also klar gibt es aus der die taschenlampe die trotzdem irgendwie auf den standor zugreifen will.
00:44:38: oder spiele sind auch wirklich groß in der sozusagen große datenschleudern aber auch sowas wie ja.
00:44:48: Es gibt ja Sachen da macht das Sinn.
00:44:50: beim Regenradar wäre es schon ganz gut wenn du weißt, wenn die app weiß wo du bist.
00:44:57: rechtfertigen zu wollen.
00:44:57: Aber da ist es einfach wahrscheinlich nicht vermeidbar.
00:45:00: Ja, wobei auch für ein Regenradar das jetzt auch nicht meta genau sozusagen sondern du siehst ja die große Wolke der über dich rüberzieht.
00:45:06: aber Regenrada ist ein gutes Beispiel.
00:45:08: wir haben einige Apps dann ja mit Namen genannt weil wir gesehen haben okay das sind deutsche Apps die granulare Standortdaten offensichtlich weitergegeben haben jedenfalls in Granularer Standort Daten von denen in den Datensätzen gelandet und die App wieder am meisten im Vordergrund steht Wetter online deutsche Wetterapp aus Nordrhein-Westfalen.
00:45:29: Ich kann ja jetzt auch so zu sein mit gutem Gewissen oder mit Sicherheit drüber sprechen, weil die Datenschutzbehörde in NRW unsere Berichterstattung aufgegriffen hat zum Anlass genommen hat diese App zu untersuchen und einen Überraschungsbesuch vor Ort abzustatten.
00:45:44: Die sind
00:45:44: da richtig eingeritten?
00:45:45: Ja was ich auch schön finde das ist... Weil das ist ja das, was ich eigentlich von Datenschutzbehörden viel häufiger erwarten würde.
00:45:53: Dass sie vor Ort nicht nur sich ein paar Zettel schicken lassen und auf der Basis dann entscheiden, okay, sieht gut aus wenn die das so sagen sondern auch vor Ort Kontrollen machen.
00:46:05: Und in diesem Fall hat eben der Nordrhein-Westfälischen Datenschützbeauftragten Bettina Geig zufolge dazu geführt dass Sie tatsächlich herausgefunden haben Wetter online hat sehr wohl, obwohl sie das anders behauptet hatten granulare Standortdaten erhoben und diese eben auch mutmaßlich weitergegeben.
00:46:21: Das Verfahren läuft noch liegt jetzt bei der Bußgeldstelle genau.
00:46:26: aber das ist so eine App die stark im Vordergrund stand.
00:46:29: Und jetzt gerade erst kürzlich konnten wir anhand des Jahresberichts des hamburgischen Datenschutzbeauftragten über eine weitere Bestätigung unserer Recherchen berichten, weil wir über eine Hamburger Dating App geschrieben hatten die wir in unseren Daten gesehen haben.
00:46:45: Dort hat die Behörde keinen vor Ort Besuch gemacht laut Jahresbericht sondern eine technische Analyse und verschiedene Mängel festgestellt also unter anderem selbst dann offenbar wenn Leute der nicht eingewilligt haben, der Nutzung des Standorte widersprochen haben wurden sie trotzdem gesammelt und weitergegeben.
00:47:07: Die hamburgische Datenschutzbehörde sagt das Verfahren läuft noch und sagt deshalb nicht um welche App es sich handelt.
00:47:14: Wir haben trotzdem eine Vermutung weil wir nur über eine hamburgischen Dating-App berichtet haben in unserem Datensatz haben.
00:47:24: Würden Sie sagen, oder schauen wir da juristische Probleme?
00:47:27: Wir haben nicht die juristischen Probleme, aber es scheint mir jetzt gerade nicht nötig zu sein und wenn man noch nicht weiß wie das ausgeht.
00:47:34: Aber juristischer Problem ist unser nächstes Thema.
00:47:36: sehr schöner Übergang.
00:47:38: Ich reizele darüber, wie man das rechtfertigt.
00:47:41: Viele Möglichkeiten gibt es nicht.
00:47:42: Es gibt ungefähr was wir eben besprochen haben.
00:47:46: Das werde ich auch wirklich versuchen Wenn ich die wäre, erst mal mit dem rechtlichen Interesse zu kommen.
00:47:54: Das Erheben dieser Daten ist sicherlich ein Rechtinteresse.
00:47:57: nur was die meisten Menschen ja unsere Hörer natürlich schon aber die meisten menschen nicht wissen ist dass es eben nicht mit den berechtigten Tassen alleine getan ist.
00:48:06: Es gibt noch zwei weitere Schritte.
00:48:08: Ich muss dann gucken ob das Ganze erforderlich ist Ob's mildere Maßnahmen gibt und die wirds hier sicherlich geben Und ich muss dem Ganzen vor allen Dingen das Interesse der Betroffenen gegenüberstellen Allzu ganz häufig.
00:48:20: In dem Fall, die wir eben hatten in unserem Bußgeld der Woche wird es scheitern und hier wird es auch scheitert.
00:48:25: also welche Interesse sollte ich denn das da irgendwelche Datenblocker mit meinen Daten gefüttert werden von nicht wirklich absolut überhaupt nichts habe was aber doch angesichts der gesammelten Metadaten durchaus bedrohlich ist vielleicht zu viel gesagt aber durchaus ein heftiger Eingriff in meine Privatsphäre ist.
00:48:46: Da sehe ich jetzt wirklich absolut überhaupt kein rechtes Interesse oder Ingo.
00:48:51: Nee, das
00:48:51: sehe
00:48:54: ich nicht.
00:48:55: und die Sache ist aber sogar noch eindeutiger weil die Datenschutzbehörden in der DSK schon vor einigen Jahren im Rahmen einer Orientierungshilfe für die Anbieter digitaler Dienste klargestellt haben dass das Sammeln von Trackingdaten für Werbezwecke gar nicht als berechtigtes Interesse unter berechtigtes Interesse fällt oder auf diese Art und Weise gerechtfertigt werden kann, sondern eigentlich immer die informierte und freiwillige Einwilligung braucht.
00:49:24: Und ich glaube vom ETSA gibt es auch eine ähnliche im Rahmen der Cookie von Cookie-Papier, Cookie Working Group, die haben auch mal Papier veröffentlicht.
00:49:34: Das jedenfalls sagen uns alle deutschen Datenschutzbehörden mit denen wir sprechen ganz klar.
00:49:41: das geht nur über die Einwilligung Und da haben wir dann diverse Probleme, über die wir jetzt mal sprechen können.
00:49:46: Aber deshalb kann man sich einen Umweg mit den berechtigten Interessen sogar sparen hier... ...mit der Interessenabwägung.
00:49:52: Ja, da hast du bei Werbesachen meistens auch keine guten Garten.
00:49:55: Also das ist auch zum Cookie-Bereich und so was zu einem.
00:49:59: Da haben die natürlich alle versucht, das mit Brechtinge-Mitresse zu machen aber sind natürlich alle auch gerade gescheitert.
00:50:04: wenig überraschen
00:50:05: bleibt nur die... Mita hat dringend neunzig Millionen im Einbezahlt dafür dass sie das als Brechdingte das Interesse deklariert haben Informationen erheben und vor allem dann zu Checking Zwecken benutzen.
00:50:19: Vor der folgenden Verhandlung?
00:50:23: Nein, das war bei der Entscheidung schon ziemlich klar.
00:50:25: Da haben sich ja jahrelang mit Neub auch gestritten also mit Max Schremst, der immer gesagt hat vielleicht das Interesse geht auf keinen Fall und das haben sie da noch in den AGB versteckt dieses berechtigtes Interesse einfach um die Leute nicht darauf zu stoßen wie sehr sie checken.
00:50:39: dann auf lange Sicht gescheitert, aber natürlich haben sie es lange, lange so durchgezogen.
00:50:44: Ja das ist ja auch super bequem!
00:50:46: Gut, haben wir nicht Vertragserfüllung, ich sehe auch sonst nichts.
00:50:50: was wir haben bleibt die Einwilligung und bei der Einwilligungen gilt im Prinzip das was ich vorhin gesagt habe.
00:50:55: Es müsste ja die erste Linie quasi sein, die hier die Einwillingung ausholt.
00:51:00: also spricht der Anbieter der App oder wer sonst noch Die dahinter kommen ja gar nicht direkt an die Nutzer.
00:51:09: Ich glaube, es sind bestimmt noch zwei oder drei Zwischenschritte vermute ich mal und auch hier ist es schon schwer genug und das wie langjährige Hörer dieses Podcasts wissen haben wir ein sehr langfristiges damjähriges Verfahren als Heise mit der hiesigen Datenschutzbehörde gehabt um einen rechtskonformen Benna zu konstruieren.
00:51:31: Das ist wirklich richtig schwierig Und unser Bänder ist nicht darauf ausgelegt, dass wir unsere Sachen an irgendwelche beliebigen Dritten weitergeben.
00:51:39: Die die dann vielleicht noch super weiterverkaufen für irgendwelchen dubiosen Zwecke.
00:51:44: Ich hoffe das es nicht passiert aber ich gehe davon aus wie eben auch keine Geodaten.
00:51:50: Das ist meiner Ansicht nach einfach völlig unwirklich, so zu formulieren, dass Menschen das verstehen können und dass sie das abnicken können.
00:51:58: also man ganz... Ob man es über versucht, aber jedenfalls ist es glaube ich gar nicht möglich weil das viel zu komplex und das ist einfach eine Geschichte wo ich denke dass die Einführung einfach scheitert.
00:52:09: Weil dafür ist eine Einwählung nicht gemacht.
00:52:11: Wir haben jetzt schon allein jetzt ne halbe Stunde überlegt wie das ganze technisch abläuft also fast das mal in so ein kleines Cookie-Bänder oder sowas.
00:52:17: Das muss ja dann nenn des Cookie-Benner mit rein gehören.
00:52:20: Genau!
00:52:20: Also die informiert es scheitern an der Informiertheit Selbst, wenn man jetzt noch sagen würde eine Auflistung von Achthundertdreißig Partnern in der Datenschutzerklärung.
00:52:34: Das war Wetter online.
00:52:36: Inzwischen ist es deutlich weniger aber also paar hundert glaube ich inzwischen nur noch drei Hundert oder so waren es dann jedenfalls
00:52:44: das möchte ich auch mal kurz erklären dass es nicht Nicht, dass ich das verteidigen möchte.
00:52:48: Aber das ist nicht so, dass immer achthundert das kriegen sondern es eine lange Liste von Unternehmen die mitbieten können.
00:52:55: Du hast irgendwo das erzählt bei diesen Onlineversteigerungen also ist nicht das per se immer ein Achthundert Sachen, die weitergegeben werden.
00:53:02: aber das wollte ich noch mal klarstellen jetzt.
00:53:04: Genau, aber es kann natürlich jederzeit passieren, dass einer dieser Firmen sich sozusagen in die Aktion mit rein hängt und die Daten mitschneidet.
00:53:13: Dann spätestens dann weiß man es ja nicht mehr, weil dann haben die diesen Datensatz.
00:53:17: Die packen den neu ein, kombinieren das vielleicht mit anderen Daten, schneiden da ein schönes Paket raus und geben's dann weiter an dem Broker.
00:53:27: Der Broker verkauft es an wen auch immer.
00:53:29: Am Ende landen die Daten bei uns so.
00:53:31: Also es ist strukturell...
00:53:33: Und wer auch immer macht damit denn auch noch, dass auch immer?
00:53:36: Also das nochmal eben
00:53:38: strukturell nicht möglich informiert sozusagen.
00:53:41: Das zu machen würde ich sagen die Datenschutzbehörden äußern sich auch regelmäßig in dieser Richtung.
00:53:46: Die sind natürlich ein bisschen vorsichtiger, können jetzt nicht einfach sagen es ist pauschal alles rechtswidrig.
00:53:50: so aber sagen so in der Regel geht das nicht mit der Einwilligung.
00:53:54: und dann gibt's eben auch noch Juristinnen, die noch ergänzen dass sobald ja Daten als Handelsware dann bei einem Data Broker landen, dass wir eine Zweckänderung haben.
00:54:03: Das ist ja ein eigener Zweck.
00:54:04: sozusagen wenn Daten dann so wahre werden.
00:54:06: Es ist nicht mehr der Werbezweck,
00:54:08: d.h.,
00:54:08: dass wir da auch Probleme mit der Zweckbindung haben.
00:54:11: Ja, das könnte durchaus der Fall sein.
00:54:13: Das wirst du faktisch haben weil dieser Art der Benutzung schlichte Ergäufe in den Cookie-Bennern nicht abgehandelt wird.
00:54:22: Also muss man gar nicht in die Tiefe gehen sondern es steht da schon gar nicht und ich kenne viele Cookie-Benner sehr, sehr viele Cookie Benner.
00:54:30: Ja wir reden ja vor allem von den Standortarten...
00:54:33: Ja, genau.
00:54:33: Aber da müssen
00:54:34: wir so in
00:54:35: die Daten werden erhoben werden verarbeitet werden weitergegeben werden an nochmal weiterverkauft und werden dann noch von dem fünften Element der Kette für Aussperrhänden Spionieren verwendet.
00:54:47: Das müsstest du abbilden.
00:54:48: also eine Einwähigung das wird nicht funktionieren.
00:54:52: Also dann haben wir natürlich noch Probleme mit betroffenen Rechten weil die natürlich komplett ausgehebelt sind.
00:54:56: also diese ganze Grundfunktion der Datenschutzgrundverordnung die sagt okay wir haben hier Rationalhandelnde und verantwortlich handelnde Unternehmen, aber eben auch Individuen die ihre Rechte dann wahrnehmen können.
00:55:09: Ja also die Auskunftsrecht haben und sagen hier ich möchte gern wissen was über mich gespeichert habe.
00:55:13: Ich möchte dass ihr das vielleicht auch löscht korrigiert oder ähnliches.
00:55:16: Also auch Korrektur kann ja kann ja eine Relevanz haben wenn man irgendwie ständig Werbung bekommt die weiße nicht aufgrund einer falschen Kategorisierung einem immer bestimmte Dinge zeigt die man gar nicht sehen will was erinnern oder keine Ahnung, vielleicht will man sie auch korrigieren.
00:55:34: Also das ist alles nicht möglich weil das findet ja alles außerhalb der Wahrnehmung der Betroffenen statt.
00:55:42: Das heißt wir haben ein echtes strukturelles Problem und die Datenschutzbehörden wiederum werden vor allen Dingen dann aktiv wenn Sie Beschwerden von Betroffenem bekommen.
00:55:53: also ihr habt letztes mal auch drüber gesprochen oder vorletztes mal wie enorm die Zahl der Beschwerden auch hochgegangen sind, mutmaßlich durch generative KI sozusagen.
00:56:04: Die Leute dabei unterstützt jetzt Beschwerde Eingaben zu machen.
00:56:06: Das heißt die Behörden kommen auch gar nicht dazu.
00:56:09: Ich würde sagen müssten sie sich auch einmal haben wir sicherlich ein Problem mit Prioritätensetzung aber kommt dann auch gar hinter den Vorhang zu gucken, hinter das Cookie-Bahn oder hinter diese erste Layer zu gucken und sich dieses gesamte Ökosystem dahinter anzuschauen.
00:56:23: Und tatsächlich wussten sie glaube ich auch bis zu unseren Recherchen nicht was da passiert.
00:56:30: Na ja wenn du sagst Sie sind da eingeritten bei Wetter Online jetzt zum Beispiel und haben sich auch die Systeme angeguckt So wie ich das verstanden hatte in dem Beitrag, zumindest da mehrere Stunden verbracht haben auf die Rechner geschaut und haben dann unter anderem einen API gefunden.
00:56:50: Wo eindeutig ziemlich klar war dass darüber dann auch über diese Schnittstelle dann auch Daten das Unternehmen verlassen oder die Plattformen verlassen und wahrscheinlich noch Standortdaten.
00:57:01: Erstens braucht es dafür viel Expertise und zweitens braucht's dafür viel Zeit.
00:57:05: und drittens Das ist ja auch etwas, was wir in der letzten Episode gehört haben.
00:57:10: Muss das ja alles irgendwie so hieb und stichfest argumentiert werden?
00:57:13: Dass es dann vielleicht auch eine Widerspruchstand hält usw.
00:57:18: Und wenn du jetzt für einen Einzelfall siehst, dann wird ziemlich schnell klar, dass... Wenn du überlegt wie viel App-Entwicklerst gibt in Deutschland alleine die wahrscheinlich mit Standortarten hantieren oder mit ihnen handeln oder eben wie du sagst über ein SDK einfach weitergeben, Aussicht, es klingt das nach einem sehr aussichtslosen Unterfangen dem irgendwie herzuwerden.
00:57:40: Ja, theoretisch nicht aber faktisch.
00:57:43: Theoretisch bis man das ganz gut hinkriegen und aber das ist schwierig vielleicht jetzt mit ein paar beherzte Beherzt agierenden Landesdatenschutzbehörden.
00:57:56: mal schauen was kommt.
00:57:58: Aber irgendwo hast du noch eine Lösung?
00:58:01: Ja also ich glaube wir haben hier dann einfach Das sichtbarste Beispiel oder das eindrücklichste Beispiel für ein größeres latentes Problem.
00:58:11: und das Problem ist die Einwilligung sozusagen.
00:58:14: Das Instrument, dass in der Datenschutz-Grundverordnung mal vorgesehen war um liberalen Datenschutzt zu ermöglichen, das Individuum soll die Möglichkeit haben, Entscheidungen zu treffen kann ja sagen, kann nein sagen
00:58:28: usw.,
00:58:29: es funktioniert
00:58:30: nicht.".
00:58:31: In ganz vielen Fällen funktioniert es nicht, weil es zu einer Überforderung des Individuums.
00:58:37: niemand kann sozusagen seine Datenspuren mehr überblicken und managen können.
00:58:42: Das heißt ich glaube wir müssen eigentlich da eine Debatte finden.
00:58:47: Die führt wahrscheinlich für heute zu weit.
00:58:49: Es gibt Ansätze mit PIMS
00:58:51: usw.,
00:58:51: also irgendwie Consentmanagern und ähnlichem.
00:58:54: aber ich glaub dass das eigentlich das Problem ist.
00:58:57: Deshalb politisch, wenn wir das Problem bei der Wurzel lösen wollten dann auch mal bestimmte Dinge verbieten müssen und klar sagen müssen okay.
00:59:06: Wir haben jetzt so viel Missbrauch gesehen Und dann muss man da muss man klares politisches Verbot aussprechen.
00:59:13: So
00:59:14: weil ich glaube nur so kann man dann wiederum auch vertrauen in eine datenökonomie ja schaffen.
00:59:18: sogar man sagen will hey leute Wir brauchen eure Daten für Krebsforschung.
00:59:24: Dann muss man im gleichen Atemzug dann aber auch dort, wo man Missbrauch sieht, auch strukturell irgendwie dagegen vorgehen zu können?
00:59:30: Na ja also so wie ich das gesehen habe, verliert die EU-Kommission dagegenvorgehen indem sie einfach
00:59:39: die
00:59:39: Definition von Personen bezogenen Daten irgendwie neu schreibt, indem sie sagt dass die Person was Personenbezogen ist und was Personen beziehbar ist.
00:59:49: Und den ganzen subjektiven Bezug dann so ein bisschen rausnimmt, also in dem Moment wo du da nur noch deinen Werbe-Identifier hast und hast keinen direkten Namen stehen oder aus den direkten Personenbezugs raus, hast quasi eine Pseudonymisierung, dann ist das kein personenbezogenes Datum mehr.
01:00:02: Das ist ja das was der, was in dem Omnibusgesetzpaket irgendwie mit Roof zumindest zu finden ist und damit könnten diese Data Broker hier ein bisschen aus dem Schneider kommen, oder?
01:00:15: ist auf jeden Fall eine Gefahr.
01:00:16: Also das war echt krass, weil im November letzten Jahres haben wir die Recherche zu EU veröffentlicht wo wir sozusagen gesagt haben so jetzt zeigen wir mal den EU-Kommission wie sich das anfühlt wenn wir deren Bewegung tracken können.
01:00:31: sozusagen haben da wiederum hochrangige Beamte gefunden und ich glaube am Dienstag oder Mittwoch haben wir diese Recherchen veröffentlich.
01:00:37: die EU Kommission hat wirklich gesagt hey wir sind da besorgt so muss man was machen.
01:00:43: Und am Freitag habe ich den ersten Entwurf für den Omnibus geliebt, sozusagen auf Netzpolitik.org wo dann genau diese neue Definition oder Umdefinition personenbezogene Daten drin stand und ja unter anderem Michael Kampbell in der Datenschutz beauftragte aber auch weitere Waren eben eindrücklich davor dass das dazu führen könnte dieser subjektive Personenbezug dass mindestens jedenfalls Data Broker und Tracking Firmen sagen könnten Sie sagen ja heute schon, dass wieder seine anonymen Daten so ... Dass sie sich noch stärker der Kontrolle entziehen.
01:01:20: Auf jeden Fall eine Gefahr, die ich definitiv sehe.
01:01:24: Ich würde das ein bisschen anders sehen aber mit in diese Diskussion steigen wir jetzt nicht per See ein.
01:01:28: Aber ich seh den Punkt also ganz klar.
01:01:31: Letzter Punkt ist ja ganz richtig.
01:01:32: was kann ich denn jetzt dagegen tun?
01:01:35: Darf ich vorhin noch zwei kurze Dinge kurz machen?
01:01:38: Ich weiß, wir sind bei der Stunde.
01:01:41: Ein Feinschmecker-Thema ist ein Datenschutz-Podcast.
01:01:43: hier möchte ich einmal... Jetzt
01:01:45: haben wir aber gespannt.
01:01:46: ...kurz reinbringen.
01:01:47: und das ist nämlich die Frage dieser Datenmarkplätze.
01:01:49: ja in dieser Plattform wo man hingeht und sagt ich möchte gerne Daten da haben wir ein echtes Problem weil die sagen Wir sind gar keine Verantwortlichen nach DSGVO, wir verarbeiten ja gar keine Daten.
01:02:02: Der Transfer der Daten findet außerhalb der Plattform statt.
01:02:05: Das heißt nur Vermittler und die Berliner Datenschutzbehörde, die das geprüft hat ist zu dem Schluss gekommen, dass das stimmt.
01:02:14: Es gibt Juristinnen, die es anders sehen und sagen, da hätte die Behörde schon Wege gefunden sozusagen, die Plattform dann in Mithaftung zu nehmen.
01:02:22: aber aktuell sind diejenigen, Vermittlungen machen fein raus datenschutzrechtlich.
01:02:28: Und das ist natürlich ein echtes Problem, weil wir jetzt mehrfach nicht nur wie auch andere Journalistinnen immer wieder über diese Plattform mutmaßlich DSGVO-widrige personenbezogene Standortdaten gefunden haben und so.
01:02:41: Das geht aber weiter, weil... Ja,
01:02:44: das ist eine unangenehme Form von Arbeitsteilung die da stattfindet würde ich mal sagen.
01:02:50: Aber genau, ich wollte auch nochmal an Jörgs Frage anschließen.
01:02:54: Also wir haben jetzt festgestellt dass bei der Sordonymisierung die Werbe-ID, also nehmen wir mal die standortbezogene Daten da wird die Werber-ID als zur Identifizierung von Nutzern die größte Rolle spielt.
01:03:08: gibt es dann Möglichkeiten zu verhindern das die in die Datensätze gelangt?
01:03:15: Ja, man kann das inzwischen im Betriebssystem seitlich auch ganz gut einstellen.
01:03:18: Also bei Apple geht es über dieses App Tracking Management sozusagen.
01:03:23: also wenn man Apps des Tracking verbietet dann wird die auf gewürdige Null quasi.
01:03:27: Dann wird die Mobile Advertising ID da nicht mit übermittelt und bei Google basiertem Android kann man sie auch zurücksetzen bzw abschalten indem man jedenfalls war's als ich das letzte Mal geprüft habe in den Einstellungen und dann Google bzw.
01:03:43: Google-Dienste geht, alle Dienste und dann Werbung und dort dann abstellt.
01:03:48: sozusagen das ist ein Faktor oder einen Kniff die man machen kann um sich besser zu schützen.
01:03:54: Man kann den Standortzugriff einschränken so weit wie möglich.
01:03:59: also auf keinen Fall sollte man irgendeiner App die dauerhafte Nutzung des Standortes erlauben sondern immer nur wenn die App genutzt wird.
01:04:09: Genau,
01:04:10: was aber vielleicht auch noch mal zur technischen Ergänzung.
01:04:12: Was aber nicht verhindert dass die Anbieter über die IP Adressas schon noch versucht eine Geolokalisation versuchen können.
01:04:18: Die ist dann natürlich weniger genau Aber das wird ja auch gemacht.
01:04:22: einfach.
01:04:23: Das ist der Grund warum viele Leute VPNs einsetzen Dass man eben diese Geolokoalisationsmöglichkeit entfernt wird Über die IP-Adresse im Radius von manchmal fünfzig bis hundert Kilometer genau zu mischätzen kann, wo eine Person sich auffällt
01:04:39: Teilweise auch noch deutlich genauer, glaube ich.
01:04:42: Aber genau und ja also auch in den Datenschutzeinstellungen, also Tracking ablehnen wo es möglich ist, ja?
01:04:49: Also auch wenn's manchmal nervig ist sich die Datenschutz Einstellung zu gehen und nicht auf alles akzeptieren sofort zu klicken, sich diesen Umweg zu machen oder sich diese Arbeit zu machen das ist auch ein Ansatz.
01:05:02: Aber es ist natürlich, ja ich streue mich da immer so ein bisschen klar.
01:05:06: Das sind Dinge die wir machen können, Selbstschutz ist notwendig so aber... Ich finde wir sollten das nicht den Individuen auflasten quasi.
01:05:17: Wir haben einen echten strukturelles Problem damit wie die Online-Werbeindustrie funktioniert und das müssen wir auch strukturer lösen.
01:05:26: Ja, es war ja schon mal im europäischen Parlament relativ kurz davor.
01:05:30: Das Personalisierte wäre grundsätzlich verboten wird und da wurde sich dann aber dagegen entschieden.
01:05:36: Ihr habt einen Tool auf eurer Seite ein Data Broker Checker.
01:05:40: Kannst du das noch dazu noch abschließen?
01:05:42: Kurz was erzählen?
01:05:44: Genau.
01:05:44: Wir haben für den ersten Datensatz, dem wir erhalten haben, den Deutschlanddatensatz mit drei Komma sechs Milliarden Standortdaten einfach ein Tool gebaut das Leute ihre eigene Mobile Advertising ID bei uns eingeben können sozusagen und wir die dann gehasht natürlich abgleichen Mit dem mobile advertising IDs, die wir in diesem datensatz haben damit Leute gucken können.
01:06:04: bin ich in diesem einen Datensatz wenn man drin ist kann man weiß nicht sich bei der Datenschutzbehörde beschweren und damit was machen?
01:06:10: Wenn man nicht drin ist heißt jetzt allerdings, dass man
01:06:13: bestimmt anders drin.
01:06:14: Genau, Volkerts sagen heißt es nicht, dass wir nicht über anders dran sind.
01:06:18: Macht ihr das mit neuen Datensatz auch noch?
01:06:22: Haben wir bislang nicht geplant weil dann viele der neueren Daten dann auch aus anderen Ländern sind.
01:06:31: Das ist ja das Schöne, dass juristisch dort bestimmte Privilegien haben sozusagen um mit diesen Daten arbeiten zu können.
01:06:41: Aber wir sind natürlich extrem vorsichtig und irgendwann kommt auch der Punkt, wo wir – also das war uns von Anfang an klar – wo wir sagen okay, wir haben das jetzt ausberichtet und dann löschen wir diese Daten auch wieder?
01:06:52: Ja!
01:06:53: Dann sinfigen wir mich durch.
01:06:54: Das wäre jetzt der Punkt wo Holger noch eine letzte Frage hat, üblicherweise wenn ich gerade abmoderieren möchte, hat er heute nicht aber Ingo hat noch ne letzte Frage oder möchte noch was sagen.
01:07:05: Ja, ich habe noch einen letzten Punkt der mir wichtig ist, den man wahrscheinlich auch an anderer Stelle da mal vertiefen muss.
01:07:10: Aber wir haben ja vorhin noch über die Einsatzzwecke gesprochen.
01:07:12: Wer könnte denn solche Daten nutzen und wofür eigentlich?
01:07:15: Das jetzt noch gar nicht besprochen haben ist.
01:07:17: es gibt also der Einsatz durch staatliche Akteure ist nicht nur ein hypothetisches Szenario.
01:07:23: Es gibt einen in wachsenden Zweig der globalen Überwachungsindustrie, die nichts anderes machen, die darauf spezialisiert sind Daten aus dem Ökosystem der Online-Werbung aufzubereiten, nutzbar zu machen für staatliche Akteure.
01:07:38: Advertising based intelligence ad in kurz genannt Eis in den USA nutzt das sozusagen.
01:07:46: Wir haben gerade berichtet...
01:07:48: Verlandeers und Co.
01:07:49: Genau!
01:07:50: Gerade berichtet.
01:07:51: offensichtlich hat auch die ungarische Regierung Lizenzen Also die letzte ungarische Regierung noch unter Orban-Lizenzen für solche Produkte gekauft.
01:08:01: Das heißt, wir haben hier wirklich einen Zusammenwachsen von Überwachungskapitalismus und Überwachungsstaat ja?
01:08:09: Und das ist ein... Eine total brisante Entwicklung und wir würden gerne wissen, ob deutsche Behörden da auch mitmachen.
01:08:17: Ob die das nutzen?
01:08:19: Aber wie erfahren es nicht?
01:08:20: Die sagen dann nichts zu.
01:08:22: Ich habe auch eine kleine Anfrage von der Bundestagsabgeordneten.
01:08:25: Der Linken Donator Vogtsch mit Regierung sagt da nichts zu.
01:08:29: aber das ist finde ich eine Frage über die wir auch diskutieren müssen.
01:08:32: wenn wir hier ein schwarzmarkt für personenzogene Daten haben bedienen sich dort Deutsche Dienste mit Steuergeld.
01:08:42: Mit Sicherheit, zwei vielleicht keine Sekunde aber gebe ich dir recht.
01:08:47: Ja dann werden wir durch war sehr interessant.
01:08:50: vielen Dank Ingo dass du unser Gast warst habe viel gelernt.
01:08:54: Ich kenne diesen Werbe-Universum so ein bisschen aus aber nicht mit diesem Schulakt.
01:09:02: Das nehme mich auch noch mal mit so Horga was ist dein Take away?
01:09:08: Naja, ich habe mich ja, wie gesagt, ich lese ja viel Netzpolitik auch und ich hab das natürlich auch ein bisschen mit der Folktur, was ihr so gemacht habt.
01:09:14: Und ich finde es halt gruselig, wir hatten ja vor einem halben Jahr auch einen Schwerpunkt zum Thema Data Broker.
01:09:20: Was sich immer wieder erschreckend findet ist vielleicht noch abschließend, dass es wie unreguliert dieser Markt auch ist.
01:09:26: Also zwar nicht nur hier.
01:09:29: Meistens kann man auch in der DOKO, in der BR-DOKO vom siebten April verlinken kam mir auch ganz gut darüber, dass da ganz wenig passiert.
01:09:37: Also es gibt irgendwie vereinzelte Bundesstaaten glaube ich in den USA und das ist ja dann auf Bundestaatenebene meistens geregelt.
01:09:43: Gibt das so zumindest mal die Bestrebungen, dass wenigstens mal Unternehmen erfasst werden?
01:09:50: Dass ein bisschen transparent in den Markt kommt, dass es Register gibt.
01:09:54: aber das ist glaube ich alles noch sehr in den Anfängen.
01:09:57: Das spielt glaube ich Kalifornien immer wieder eine große Rolle als Vorreiter-Staat Wie du gesagt hast, die Thematik.
01:10:08: Wir haben jetzt gesagt dass man im Moment auf Betriebssysteme eben auf den Smartphones müssen was machen kann.
01:10:13: aber die ganze Thematika ist natürlich ein strukturelles Problem und kann nicht auf sie in die Videom verlagert werden.
01:10:17: das dann muss auf Struktur erheben und regulatorisch mehr passieren als im Moment passiert.
01:10:22: Aber wir sind moment... Das ist uns ja glaube ich allen drei klar in der Zeit.
01:10:27: Wo ist dafür nicht die besten Karten gibt?
01:10:29: Also wo, wo die Tendenz eigentlich eine andere Richtung läuft als wir es uns jetzt gerade hier wünschen würden.
01:10:35: Ja ich bin sehr gespannt auf den Digital Fairness Act der EU so dass das so die Hoffnung drauf darauf werfen.
01:10:42: Heute ist allerdings jetzt gerade ein Gutachten fürs Wirtschaftsministerium zu KI und Wettbewerb erschienen von irgendwelchen Wettbehörbsrechtern und Unternehmern ziemlich hochrangig, die schon mal gesagt haben auf keinen Fall darf der Digital Furnace Act kommen.
01:10:54: Die deutsche Bundesregierung muss sich dagegen einsetzen dass er überhaupt kommt.
01:10:58: Ja wie du schon sagst Regeln sind grade nicht so aufwug.
01:11:02: Also wir können ja vielleicht nochmal kurz sagen das ist quasi eine der Digital Fairness Act der kommen soll es quasi für den ganzen Online Bereich im Verbrauchen recht soll das Verbraucherrecht auf den aktuellen Stand gebracht werden.
01:11:14: Und da sind gerade jetzt im Moment die Verbraucherschutzzentralen auf europäischer Ebene auch sehr aktiv, um das ein bisschen voranzutreiben.
01:11:22: und der Plan ist im Moment glaube ich dass die Kommission zumindest im Herbst oder Anfang des Winters ihren ersten Aufschlag präsentieren will angeblich aber in sie gerade dran.
01:11:34: Und hoffentlich kommt es sich so wie du sagst irgendwo, dass er dann am Sonne verläuft und vielleicht gar nicht kommt.
01:11:39: also... Geplant ist er, glaube ich für dieses Jahr.
01:11:41: Aber dann wird es natürlich auch, wir kennen das Gesetzgebungsprozess mittlerweile, den Prozess mittlerweile wird's natürlich dann noch Jahre dauern bis er angemessen zermahlen wird im Trilog.
01:11:52: Na ja...
01:11:53: Gut Ingo von mir aus auch
01:11:55: vielen
01:11:55: Dank dass du dir Zeit genommen hast, dass du da warst und gerne wieder.
01:11:58: also können wir gerne diese Runde mal wieder wiederholen wenn du Lust hast und auf unserer Seite
01:12:07: und vor zur Entscheidung machen wir Gelegenheit.
01:12:10: Können wir gerne machen, bin ich auch dabei.
01:12:14: Wobei also da, komm mal warten wir vielleicht noch ein bisschen ab.
01:12:17: im Moment gibt es eine Kabinettsentwurf.
01:12:20: Wir haben jetzt diese Woche auch mit Providern gesprochen.
01:12:22: die sind not am use, da gibt's wohl für die Bundesregierung zum Glück noch ein wenig
01:12:26: Gegenwind und
01:12:27: mal abwarten was tatsächlich passiert dann wenn sie in den Bundestag kommt.
01:12:30: Mal schauen.
01:12:31: Ich möchte nur noch auf unsere Kontaktmöglichkeiten hinweisen.
01:12:34: Ihr könnt uns jederzeit gerne reichen unter auslegungssacheetct.de.
01:12:39: Diese und alle folgende langen Episoden findet ihr unter ct.de-auslegungshache Und wie immer seid ihr eingeladen dort auch die Episode zu kommentieren und mit uns in den Dialog zu treten, wenn ihr mögt.
01:12:54: Wir freuen uns natürlich nicht nur über Kritik sondern auch mal über Lob.
01:12:58: Aber das bekommen wir auch gelegentlich In diesem Sinne, ich würde dann sagen.
01:13:05: Dann haben wir das Thema einigermaßen vielleicht nicht ganz erschaffen behandelt aber zumindest mal einen Einblick gegeben und was ihr da so recherchiert hat in den letzten zwei Jahren irgendwo.
01:13:13: Dann sag' ich mal auf meiner Seite aus Tschüss und bis in zwei Wochen!
01:13:17: Tschüss macht's
01:13:17: gut!
01:13:17: Tschüs bis bald.
Neuer Kommentar