Wer freudig eine Bestellung von einem Lieferdienst erwartet oder einen Fahrdienst angefordert hat, kann per App verfolgen, wo sich das Essen oder der Wagen gerade befindet. Das funktioniert nur, weil der Fahrer auf dem Rad oder im Auto jederzeit per GPS über Satellit ortbar ist. Das erscheint heute ganz normal, auch weil es sehr praktisch ist.
Die Bürgerrechtler von Digitalcourage prangern diese Technik beim Restaurant-Bringdienst Lieferando an und verleihen dafür einen von fünf Big-Brother-Awards für "Datenkraken". Die Preisträger der ungeliebten Auszeichnung werden vorab informiert, über die genauen Gründe der Jury aus Datenschutz-Experten aber im Dunkeln gelassen. Die werden erst am heutigen Freitag ab 18 Uhr mit der live übertragenen Verleihung öffentlich.
Beim populären Bringdienst Lieferando prangert die Digitalcourage-Jury "die unzulässige Totalkontrolle" der "Rider" an. Die von ihnen genutzte App erfasse "detailliert und sekundengenau eine Fülle von Verhaltensdaten", nämlich "neben dem Zeitpunkt der Abholung im Restaurant und der Übergabe an Kunden auch alle 15 bis 20 Sekunden eine Standortbestimmung". Lieferando ist aus Sicht der Jury "nur die Spitze eines Eisbergs von Firmen aus der „Plattform-“ oder „Gig-Economy“, die eine Tätigkeit davon abhängig machen, dass Beschäftigte ihnen vielfältige persönliche Daten zur Verfügung stellen." Klingt schlimm, aber ist es auch ein Verstoß gegen Vorschriften?
Lieferando weist Vorwürfe zurück
Die Big-Brother-Jury zitiert aus einem Gutachten des Landesbeauftragten für den Datenschutz und die Informationssicherheit in Baden-Württemberg zu der Fahrer-App "Scoober": „Die äußerst engmaschige Überwachung des Nutzers (Übermittlung des GPS-Standorts ca. alle 15 bis 20 Sekunden an Scoober) ist eine nicht erforderliche und damit rechtswidrige Beschäftigtenüberwachung (nach § 26 Abs. 1 BDSG und Art. 88 DS-GVO)“.
Der Sprecher der Firma Takeaway Express GmbH, bei der die Lieferando-Fahrer beschäftigt sind, "hätte der Jury die App gerne erläutert". Daran habe aber kein Interesse bestanden. Unternehmenssprecher Oliver Klug sagte auf Anfrage des stern. "Die Fahrer-App entspricht den geltenden Datenschutzbestimmungen, und die ermittelten Orte und Zeiten sind unerlässlich für einen ordnungsgemäßen Betrieb unseres Lieferservices. Zum Beispiel, um Fahrern Bestellungen zuzuweisen, um ihnen die integrierte Navigation (mittels Google Maps Navigation) bereitzustellen, und damit Gastronomen und Konsumenten den Status ihrer Bestellung prüfen können."
Den Vorwurf einer "unzulässigen Totalkontrolle" der Mitarbeitenden nehme man sehr ernst und weise ihn entschieden zurück. Der Betriebsrat habe wiederholt Einblicke in die Funktionsweise der Fahrer-App und die Datenverarbeitung erhalten.
Klarna ebenfalls am Pranger
Der populäre Zahlungsdienstleister Klarna (laut eigenen Angaben mehr als 400.000 Händler und mehr als 150 Millionen Kund*innen weltweit) bekommt ebenfalls einen Datenkraken-Oscar. Die Begründung lautet: "Klarna bündelt intransparent Daten und Macht als Shopping-Service, Zahlungsdienstleister, Preisvergleichsportal, persönlicher Finanzmanager, Bonitätskontrolleur und Bank.“
Auf Anfrage versichert Klarna, gesetzestreu zu agieren: "Wir verpflichten uns im Einklang mit der europäischen Datenschutz-Grundverordnung dazu, die persönlichen Daten unserer Kund*innen zu schützen und jederzeit deutlich zu machen, welche Daten wir sammeln und wie wir sie verwenden. Wir stellen zudem sicher, dass die Daten nur für begrenzte Zwecke und nur für eine bestimmte Zeit verwendet und aufbewahrt werden. Auch können unsere Kund*innen jederzeit eine Kopie ihrer personenbezogenen Daten anfordern und ihre Daten berichtigen und löschen lassen."
Wem so viele Finanzdaten in einer Hand unheimlich sind, der könnte seine Finanz-Dienstleistungen (Geldkonten, Kreditkarte, Bezahlapp) alternativ einfach auf mehrere Anbieter verteilen.
Werden Bürger grundlos zu Gefährdern?
Jeder Tatort-Zuschauer weiß, auf wie viele Daten die Polizei direkt oder auf Veranlassung der Staatsanwaltschaft Zugriff hat. Die "deutsche Polizei, vertreten durch das Bundeskriminalamt" erhält 2022 ebenfalls einen Big Brother Award "für die Art, wie personenbezogene Daten in Dateien abgespeichert und genutzt werden". Daten würden entgegen der verfassungs- und europarechtlichen Vorgaben nicht oder unzureichend gekennzeichnet. Dadurch bestehe die Gefahr, dass Millionen Menschen von der Polizei oder anderen Behörden ungerechtfertigter Weise als Gefährder oder Straftäter behandelt werden.
Eigentlich muss bei gespeicherten Daten klar erkennbar sein, ob jemand Straftäter, Verdächtiger, Opfer, Zeuge, Hinweisgeber oder Kontaktperson ist. Doch diese gesetzlichen Vorgaben haben die Polizeibehörden immer noch nicht vollständig umgesetzt.
So seien bei der bayerischen Polizei Stand Juni 2021 1.644 Fußballfans gespeichert gewesen, obwohl ihnen kein konkreter Vorwurf gemacht werde und ohne dass die meisten davon überhaupt etwas ahnen – allein auf Grund einer polizeilichen „Individualprognose“. In der Laudatio der Jury heißt es: "Es genügt also schon der Verdacht, jemand könnte in Zukunft eine Straftat begehen, um in der Datei zu landen."
Das Bundeskriminalamt (BKA) entgegnet, "auf Grundlage der geltenden Gesetze und nach europarechtlichen Vorgaben" mit Daten umzugehen. Dazu gehört auch die Implementierung der vollständigen Kennzeichnungen der erhobenen personenbezogenen Daten im polizeilichen Informationssystem nach den Vorgaben des Bundesverfassungsgerichts. Indirekt bestätigt das BKA, dass es seine Hausaufgaben noch längst nicht gemacht hat: "Bis zur finalen Aufnahme des Wirkbetriebes bestehen gesetzliche Übergangsregelungen und Vorgaben."
Als einziger Preisträger kündigte das Bundeskriminalamt an, der Preisverleihung in Bielefeld "nicht beizuwohnen".
Auch die Kryptowelt bekommt ihr Fett weg
Die staatseigene Bundesdruckerei GmbH bekommt in diesem Jahr für die Verwendung einer trendigen Technologie ihr Fett weg und zwar "für die unsinnige Verwendung und Beförderung von Blockchain-Technik, welche nicht nur energiefressend ist, sondern auch Konsequenzen für den Datenschutz haben kann". Die Blockchain, eine Art digitale Buchführung für Kryptotransaktionen, wird meist im Zusammenhang mit sogenannten Kryptowährungen wie Bitcoin genannt. Der Big-Brother-Jury missfällt jedoch ein Projekt der Bundesdruckerei, "die Authentizität von Schulzeugnissen mit Hilfe von Blockchain zu belegen".
Laut einem Sprecher der Bundesdruckerei handelt es sich beim "Projekt Digitales Schulzeugnis" um einen Test in drei Bundesländern. Die verwendete Blockchain werde ausschließlich in zertifizierten Rechenzentren der öffentlichen Hand betrieben. Das System verbrauche nur einen Bruchteil der Energie anderer Blockchain-Systeme. Der Schutz der Schülerdaten sei gewährleistet: "In der Blockchain werden keine Zeugnisse, sondern nur Prüfsummen, sogenannte Hash-Werte, für die spätere Prüfung der Echtheit der Zeugnisse hinterlegt."
Oase für Überwachungskapitalismus
Eigentlich sind Digitalcourage und die irische Datenschutzaufsichtsbehörde DPC (Data Protection Commission) im gleichen Geschäft. Aber der als notorisch unterfinanzierten und lax verschrienen Behörde mit Helen Dixon an der Spitze verleiht die Big-Brother-Jury einen besonderen "Lebenswerk"-Preis "für ihre dauerhafte Sabotage von Bemühungen, europäisches Datenschutzrecht durchzusetzen". Irland habe sich "unter der Obhut der Behörde zur Oase für Geschäftsmodelle des Überwachungskapitalismus von Facebook, Google, Apple, Microsoft, Oracle und Salesforce entwickelt".
Auf verschiedene Weise komme die Aufsichtsbehörde ihrer Aufgabe nicht nach: Beschwerden gegen große Digitalkonzerne würden einfach liegen gelassen oder Beschwerdeführer:innen würden vom Verfahren ausgeschlossen. Aus gutem Grund habe im Januar 2021 der LIBE-Ausschuss des Europäischen Parlaments (zuständig für bürgerliche Freiheiten, Justiz und Inneres), ein EU-Vertragsverletzungsverfahren gegen Irland eröffnet. Die DPC ließ die Gelegenheit zu einem Kommentar ungenutzt verstreichen.
