Datenschutz-Grundverordnung: Wie sich Unternehmen eine Erlaubnis für alles holen

Zahlreiche Unternehmen haben in den letzten Wochen ihre Datenschutzregeln angepasst, um der Datenschutz-Grundverordnung zu entsprechen. Einige der Änderungen sind eigenartig, andere rechtlich fragwürdig. Wir zeigen Beispielfälle, die uns gemeldet wurden.

Bitte machen Sie hier ein Kreuz für ihre Einwilligung. CC-BY-SA 2.0 ErWin

„Ihre Daten sind uns wichtig!“ Betreffzeilen wie diese landeten in den letzten Wochen zu Dutzenden in E-Mail-Posteingängen. Die Datenschutzgrundverordnung hat viele Unternehmen (und andere Organisationen) dazu gebracht, ihre Datenschutzregeln zu ändern. In Zuge dessen kam es auch zu manch kurioser oder schlichtweg rechtlich fragwürdiger Änderung. Manche Unternehmen nutzten die neuen Datenschutzregeln, um Dinge umzusetzen, die so gar nicht im Sinne des Regelwerkes sind.

Einige Beispiele stellten wir bereits vor zwei Wochen vor. Seitdem schickten uns zahlreiche LeserInnen weitere fragwürdige Fälle zu, von denen wir einige im Folgenden aufzählen.

Zur Nutzung von Tumblr bitte diese 322 Kästchen markieren

Opt-out funktionierte bei Tumblr nur einzeln – Regler für Regler. - Screenshot/netzpolitik.org

Tumblr, die Microblogging-Plattform und niemals versiegende Meme-Quelle, machte es Nutzern in der ersten Woche nach dem 25. Mai besonders schwer. Wie bei anderen Webseiten auch, mussten Nutzer von Tumblr den neuen Cookie-Bedingungen einwilligen, bevor sie süße Katzen-GIFs sehen können. Möchte man sich der personalisierten Werbung entziehen, kann man dem Setzen von Cookies von Dritten wie etwa Werbefirmen widersprechen – das sogenannte Opt-out.

Im Gegensatz zu anderen Webseiten fehlte bei Tumblr aber bis vor kurzem die Möglichkeit, allen Firmen auf einmal zu widersprechen. Stattdessen musste man bei jeder der 322 gelisteten Firmen einzeln das Häkchen zur Zustimmung entfernen. Nach viel Kritik in den sozialen Netzwerken und einem Eintrag in der „GDRP Hall of Shame“ hat Tumblr die Option mittlerweile nachgerüstet.

Problemfall „berechtigtes Interesse“

Ein anderer Leser wies uns auf die neuen Datenschutzregeln von Eventim hin. Der Tickethändler setzt nicht auf das rechtliche Konstrukt der Einwilligung, sondern auf sein „berechtigte Interesse“, personalisierte Daten zu verwerten. Dabei nutzt Eventim – wie auch andere Unternehmen – ein sehr breites Verständnis von „berechtigtem Interesse“ und zählt darunter auch die Nutzung von Geräte- und Browser-Fingerabdrücken für personalisierte Werbung und Empfehlungen. Mit Fingerabdrücken werden Nutzer anhand von zahlreichen Informationen identifiziert, die ein Browser oder Gerät an Webseiten übermittelt.

Ob die Nutzung von Fingerprinting für Werbung durch ein „berechtigtes Interesse“ des Unternehmens gerechtfertigt ist, darf bezweifelt werden. Das „berechtigte Interesse“ und seine Ausgestaltung waren einer der umstrittensten Aspekte in der Verhandlung der Datenschutzgrundverordnung, weil die Gefahr besteht, dass der dehnbare Begriff sehr weit ausgelegt wird. Hier sind Datenschutzbehörden und Gerichte gefragt, die Grenzen des Konstrukts festzulegen.

Per Gewinnspiel eine Einwilligung erschleichen

„Jetzt mitspielen“: So erschleicht sich E.ON die Einwilligung für Werbemails. - Screenshot/netzpolitik.org

„Zehn mal ein Jahr Gratis-Energie“ verlost der Stromkonzern E.ON unter allen Kunden, die dem weiteren Empfang von Werbemails zustimmen. Wie viele andere Firmen nutzte E.ON die Umstellungen auf die neuen Datenschutzregeln, um seine Newsletter-Datenbank auf die neuen Vorgaben einzustellen.

Art und Weise sind jedoch irreführend: Um mehr Menschen eine Einwilligung abzuknöpfen, koppelte der Stromkonzern das Ganze mit einem Gewinnspiel. Statt einem „Ja, ich will weiterhin E-Mails erhalten“ schrieb E.ON lediglich „Jetzt mitspielen“. Kein Wort darüber, dass mit dem Klick auf das Gewinnspiel eine Einwilligung zum weiteren Erhalt von Werbemails gegeben wurde.

Klassiker: E-Mail-Adressen verraten

Und zu guter Letzt sind da noch jene Organisationen, die in der allgemeinen Hektik vor dem 25. Mai alle über die Jahre etablierten Standards vergessen haben. So schickte der Tracking-Blocker Ghostery seine aktualisierten Datenschutzbedingungen jedem Nutzer per E-Mail mitsamt den E-Mail-Adressen von 499 anderen Nutzern. Mittlerweile hat Ghostery für den Vorfall um Entschuldigung gebeten.

Der gleiche Fehler passierte der CDU-Ratsfraktion in Hannover. Sie wollte von über 900 Personen und Institutionen die Einwilligung zum weiteren Bezug des Newsletters erhalten – und offenbarte gleich allen die Empfängerliste.

Als Mischung aus Panik, skurrilen Reaktionen und Versuchen, einfach so weiterzumachen wie bisher, beschrieb Datenschutzaktivist Max Schrems die Reaktionen von Unternehmen im Interview mit netzpolitik.org. Der Österreicher hat mit seiner Organisation NYOB bereits erste Beschwerden gegen zu breit gefasste Zustimmungsklauseln bei Android, Instagram, WhatsApp und Facebook eingereicht.

Kennst du noch weitere Fälle, in denen Organisationen die Datenschutzgrundverordnung nutzen, um Dinge umzusetzen, die so gar nicht im Sinne des Regelwerkes sind? Dann schreib an simon@netzpolitik.org oder hinterlasse einen Kommentar. Ein Fall, über den wir gerne mehr wissen wollen: Eine Sparkasse hat in den letzten Tagen mit Drohgebärden versucht, von ihren Kunden eine Einwilligung für personalisierte Werbung (ähnlich dieser hier) zu bekommen. Schreib uns gerne, wenn du davon betroffen bist.

17 Ergänzungen

  1. Auch bei Yahoo musste man nach dessen Fusion unter ›Oath‹ mind. 273 plus nochmals 43 mal manuell klicken, wenn man aus dem Teilen seiner Daten mit allen Werbepartnern Yahoos widersprechen wollte. Zumutung. Vor allem bei zwei Mailaccounts.

  2. Mein persönlicher Knaller bislang ist die Vice-Webseite. Bitte mal Folgen:

    vice.com > Data Policy… > Subsection Cookies (Targeting)

    Hier gibt es nach weiterem Klick ein „komfortabel“ anmutendes Plugin (des Werbe-Drittanbieters Evidon), das neben Einzel-Opt-Out (mäh!) die auf zwei Buttons aufgeteilte Funktion „Alle ausschalten“ bietet. > Hier zweimal klicken und dann unten auf „Speichern“:

    Es folgt eine neue Seite mit einer Liste von rund hundert Cookies/Drittanbietern, die „leider Einzelbestätigungen“ einfordern, und zwar auf ihren jeweils eigenen Seiten. Zum Glück (puh!) gibt’s hier eine „praktische“ Linkliste. „Dummerweise“ (schade schade) sind diese Links dann oft nicht der direkte Opt-Out, sondern das Spiel geht bei denen dann jeweils weiter.

    Ad-Blocker und Drittanbietercookie-sperre scheint mir hier echt die einzige Lösung, wenn die sich sogar trotz DSGVO nicht zu schade/doof/dreist sind für sowas.

  3. Die Toggles kann man mit der WebDeveloper Toolbar (idR. F12 im Browser) alle auf einmal umlegen. Nötig ist nur ein wenig JavaScript und vmtl. haben viele sogar jQuery installiert, wodurch das noch einfacher ist.
    Falls ihr sowas machen müsst, fragt einen Freund/Bekannten der sich ein wenig mit Web-Entwicklung auskennt, das ist total easy. (klar ist das nur eine Notlösung und blöd dass sie es normalen Nutzern so schwer machen – das ist nur ein konstruktiver Vorschlag)

    1. Nein, die einzige angemessene Reaktion auf solche Schweinereien ist es, diese Seiten konsequent zu boykottieren. Nur wenn denen spürbar die Nutzerzahlen einbrechen, wird sich u.U. etwas ändern. Nur leider ist Verzicht zu einem Unwort unserer Gesellschaft geworden.

  4. Also die Schufa hat ihr System jetzt umgestellt.

    Man (und Frau) erhält jetzt ein wie eine Urkunde gestaltetes Zertifikat, mit silbernem Siegel, das z.B. bestätigt: Es liegen uns ausschließlich positive Vertragsinformationen vor.

    Der Score ging bisher bis 100 (Bester Wert). Jetzt geht der Orientierungswert von 100 (Bester Wert) aufwärts (bzw. abwärts) bis 600 (schlechtester Wert), untergliedert in 6 Gruppen (100 – 200, 200 – 300 etc.)

    Daneben gibt es Branchenscores, die von A (bester Wert) bis P gehen.

    Und es werden auf der letzten der durchnummerierten Seiten vorherige Wohnadressen genannt, und Kreditinstitute, bei denen man ein Konto hat. Es gilt anscheinend als ungünstig, zu oft umzuziehen oder zu viele Konten gleichzeitig zu haben. Ob nun die Wohngegend im Score mitberücksichtigt wird, weiß keiner so genau. Auf jeden Fall kann sich der Vermieter darüber sein eigenes Bild machen.

    Es gäbe eine Kontoalternative wie das Global-Konto, also ein Konto ohne Schufa. Doch ob man sich damit nicht erst recht ins Ausseits kickt?

    Und den perfekten Score bekommt, wer einen Kredit aufgenommen hat und ihn regelmäßig abbezahlt. Sowas lieben die Banken. Dumm nur, wer sich keinen Kredit leisten kann.

    1. Jahrzehntelang paukt man da als Pen’n’paper-Rollenspieler tonnenweise Regelwerke – wird deswegen (als) weltfremd und vielleicht auch als idiotisch bezeichnet – Und dann soll mein „Character“ Jahrzente später, eben (eben), zwischen A und P passen? Regeldiskussion gefällig? B-)

  5. Der Fehler mit den hunderten E-Mail-Adressen, die für alle anderen Empfänger sichtbar sind, kommt ja recht häufig vor. Ich frage mich ehrlich gesagt, warum Mailprogramme nicht schon längst automatisch Warnungen ausgeben, wenn viele Mailadressen im An-Feld stehen. Das müsste doch leicht zu programmieren sein.

  6. Statt der DSGVO hätte die EU besser einheitliche Freiheitsrechte definiert, auf die Bürger sich gegen Behörden & Unternehmen gleichermaßen berufen können – war zumindest mein Ansatz im alten Jahrtausend, aber da die Bundesdatenschutzbeauftragte Voßhoff die DSGVO als „Garant des Gelingens einer Digitalisierung“ ansieht, müssen sie jetzt halt damit liefern…

  7. @Dirk Burchard:
    Das hat sie, Dirk. In der „EU Grundrechte-Charta“: http://www.europarl.europa.eu/charter/pdf/text_de.pdf.
    Die liest sich dann in etwa wie eine Checkliste, wogegen Unternehmen und Regierungen verstoßen sollen… ;-)

    Würde des Menschen? Egal! …Check.
    Recht auf Leben? Egal! …Check.
    Recht auf Unversehrtheit? Egal! …Check.
    Verbot der Folter? Egal! Check.
    etc.

    Unter Artikel 6 steht übrigens das „Recht auf Freiheit und Sicherheit“. Die beiden Worte sind mit „und“ verknüpft. Also nicht so, wie es das Bayerische Polizeigesetz (und bald das in NRW) vorsehen, wo man nur noch „Sicherheit“ kennt.

    Der Rest in Bezug auf „einheitliche Freiheitsrechte“ ist in Deutschland von dem Gedöns definiert, von dem fast jeder Bürger in der Schule mal gehört hat, um es danach sofort wieder zu vergessen: dem Grundgesetz und so. Der Grad des Vergessens ist übrigens höher, je mehr man politische oder finanzielle Macht geniessen kann.

    Also: eigentlich müsste man stolz auf die EU sein. Ist alles da und definiert. Interessiert aber leider am Ende niemanden, wenn es um Macht und Geld geht.

    1. Die EU-Grundrechte-Charta ist ein rein deklaratorisches Dokument, mit dem ich ausweislich http://www.ryker.de/dirk/archiv/europa.html im Jahr 2005 abgeschlossen hatte, da sie nicht im Ansatz tatsächlich effektiven Grundrechte-Schutz gewährleistet, denn Freiheitsrechte waren und sind für mich etwas anderes:

      Wer zum Beispiel vom Bundesnachrichtendienst wissen wollte, welche seiner Datensätze dieser per XKeyscore am DE-CIX abgegriffen, an die NSA verschoben hat und was weiterhin damit geschehen ist, wird sich auf diese Charta ebenso wenig berufen können wie auf die DSGVO – eine Pflicht zur aktiven Information des Betroffenen über derartige Datenverarbeitungen hinter seinem Rücken war für mich 1998 aber schon der Regelfall, als ich mir Gedanken gemacht hatte, wie das Grundrecht auf Informationelle Selbstbestimmung in die digitale Ära übertragen und entwickelt wird, und deshalb bin ich heute bei den klassisch westlichen Freiheitswerten erzkonservativ, weil mir diese ganzen bekloppten Entwicklungen einfach zu blöd sind – insbesondere dieser neue völkische Datenschutz gegen böse US-Konzerne.

      Wer gar nicht erst anfängt, allgemeine Freiheitsrechte zu definieren, wird auch nicht merken, woran deren Realisierung hakt, folglich auch nicht bei der Behebung sekundärer Mißstände vorankommen und schafft dann halt nur Bürokratie-Monster wie die DSGVO oder Papiertiger wie die EU Grundrechte-Charta, und da ist es gut zu wissen, schon im alten Jahrtausend einfach für die Übertragung der klassisch westlichen Freiheitswerte auf die sich digitalisierenden Medien eingetreten zu sein…

  8. Wo kann man eigentlich Unternehmen und ihre fragwürdigen Praktiken melden, weiß das jemand zufällig?

    1. Die Verbraucherzentralen und die jeweiligen Landesdatenschutzbehörden (bei Datenschutzfragen) nehmen Beschwerden entgegen.

  9. Bei einem Neukauf eines Rechners, wollte ich Microsoft untersagen, dass sie mir personalisierte Werbung über Win10 schicken.
    Als ich den Regler auf Nein setzte, kam dann die in Klammer gesetze Mitteilung: (sie erhalten trotzdem Werbung, diese ist nur nicht personalisiert) …
    Alle weiteren Kommentare erübrigen sich dadurch, nicht wahr?

  10. Ich träume von einer vertrauenswürdigen Webseite, auf der – juristisch kompetent – Empfehlungen ausgesprochen werden, welche AGB aus Datenschutz-Sicht derzeit aktzeptabel sind und welche nicht.
    Gibt es sowas vielleicht schon? Ich habe keine Ahnung, wie man sowas benennen könnte, kann also auch keine Suchmaschine damit bemühen.
    Denn die ganzen AGB wirklich lesen kann kein Mensch leisten. Zudem würde es noch nicht mal helfen, weil sich sicher das ein oder andere, dem ich nie zustimmen würde, sehr harmlos klingend formulieren lässt …

  11. Was Oath, also auch Yuchuu AOL Huffpost & Co sich da leistet ist fast schon ein Verbrechen, mann kann alles ausklicken aber die Grundlegenden Partner nicht.
    darunter sind Facebook, ebay, Google und sonstige typische Pappenheimer, was soll das Ganze dann.
    Andere bekommen Ärger und die nehmen sich die Frechheit raus. Facebook genauso, bei fb bin ich jedenfalls raus. Account gekündigt und gelöscht, war mir zu blöd.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.