BigBrotherAwards 2023: Die Datenkraken sind gekrönt

Eine liebgewordene Tradition ereignete sich kürzlich wieder: Die alljährliche Verleihung der BigBrotherAwards. Auch im Jahr 2023 und damit zum 23. Mal wurden wieder fünf besonders auffällige Unternehmen und Behörden mit den sog. „Oscars für Datenkraken“ bedacht.

Wie bereits in den vergangenen Jahren, stellen wir Ihnen die „Gewinner“ kurz vor. Wer mehr über diesen Preis, der vom Verein Digitalcourage organisiert wird, erfahren möchte, sei auf die offizielle Website verwiesen: https://bigbrotherawards.de.

Bundesfinanzministerium

Zum 1. Januar ein Gesetz erlassen und direkt Preisträger in der Kategorie Behörden und Verwaltung geworden: Das Bundesfinanzministerium (BMF) erhält den Preis für das neue Plattformen-Steuertransparenzgesetz (PStTG). Das Gesetz betrifft alle Verkäufer, die über Onlineplattformen wie etwa eBay oder eBay-Kleinanzeigen private Verkäufe abwickeln, nachdem sie richtig ausgemistet haben. Stellen die Plattformbetreiber fest, dass jemand innerhalb eines Kalenderjahres mindestens dreißig Verkäufe und mehr als 2.000 Euro Gesamtumsatz erzielt hat, müssen sie die entsprechenden Daten automatisch an das Bundeszentralamt für Steuern (BZSt) übermitteln. Außerdem müssen diese Informationen nach der Übermittlung für zehn Jahre vorgehalten werden, sowohl von den Plattformbetreibern als auch von der Finanzverwaltung. Und wie rechtfertigt das Ministerium das Vorgehen? Natürlich um mehr Steuergerechtigkeit herzustellen (mit Verweis auf Bundestagsdrucksache 20/3436, Seite 38). Und dass, obwohl für die meisten Privatverkäufe keine Steuerpflicht besteht, selbst wenn sie die willkürlich gesetzte Mitteilungsschwelle überschreiten.

Eine enge und klare Bezeichnung der beabsichtigten Verarbeitungszwecke dieser Vorratsdatenspeicherung, die datenschutzrechtlichen Vorgaben entsprechen würde, ist nicht erkennbar. Zusätzlich müssen die Plattformbetreiber nach § 18 Abs. 1 PStTG eine Plausibilitätsprüfung zu den Verkäufen vornehmen – anhand aller ihnen legal zur Verfügung stehenden Quellen. Was unter dem Begriff „Plausibilitätsprüfung“ zu verstehen ist, lässt der Gesetzgeber allerdings völlig offen.

finleap connect GmbH

In der Kategorie Finanzen setzte sich die finleap connect GmbH an die Spitze. Eine kurze historische Einleitung: Zu Beginn des Onlineshoppings gab es nur wenige Möglichkeiten, Onlinekäufe so zu bezahlen, dass dem Händler garantiert wurde, das Geld auch wirklich zeitnah zu erhalten. So entstand der Anbieter „Sofortüberweisung“. Der Käufer hat diesem Anbieter die Zugangsdaten für sein Onlinebanking anvertraut und „Sofortüberweisung“ hat dann die Zahlung organisiert und den erfolgreichen Zahlungseingang bestätigt. Auf diese Weise konnten die Händler sicher gehen, das Geld auch gutgeschrieben zu bekommen. Die ehemalige Firma „Sofortüberweisung“ gehört übrigens jetzt zu Klarna, dem Preisträger aus dem letzten Jahr. Man hätte also etwas ahnen können.

Wenn man sein Girokonto kündigt und zu einer anderen Bank wechselt, ist die Vorgängerbank verpflichtet, dabei zu unterstützen. Für Banken ist das naturgemäß eine lästige Angelegenheit und daher bietet es sich an, diese Verpflichtung bzw. den Vorgang durch andere Dritte durchführen zu lassen. Und hier kommt jetzt die finleap connect GmbH ins Spiel: Wenn finleap von der ehemaligen Bank mit dem Kontowechselservice beauftragt wird, ruft das Unternehmen über eine Schnittstelle die alten Kontoumsätze ab und filtert aus diesen die regelmäßigen Abbuchungen heraus. Aus den Informationen über Abbuchungen versucht finleap dann den entsprechenden Lastschriftempfänger herauszufinden und ihm die neue Bankverbindung mitzuteilen. Leider spielte da die IT nicht mit. Etliche Briefe mit Namen, Anschriften, Kontodaten, eingescannten Unterschriften etc. wurden quasi willen- und orientierungslos hin und her geschickt. Solche detaillierten Informationen aus den Irrläufern sind Gold wert in der Hand von Kriminellen. Warenbestellbetrug, gezielte Phishing-Attacken und Ähnliches sind jetzt ein Leichtes – und brachten finleap den unrühmlichen Sieg in dieser Kategorie ein.

Zoom Video Communications, Inc.

Der BigBrotherAward 2023 in der Kategorie Kommunikation geht an das Videokonferenzsystem Zoom und an die Menschen, die Zoom verwenden. Die Laudatoren begründeten diese Entscheidung u. a. wie folgt: Zwar liegt der Firmensitz in den USA, aber Teile der Programmierung und das technische Know-how stammen aus China und werden dort verarbeitet. Dort sitzt ein 700 Personen starkes Team in der Entwicklungsabteilung. Ursprünglich war dort auch die Abteilung zur Erzeugung kryptographischer Schlüssel ansässig und es ist bekannt, dass Zoom-Videokonferenzen zum Teil über den Umweg China geroutet wurden. Außerdem sind Konferenzen aktiv zensiert worden, wenn in ihnen z. B. „Tian’anmen-Platz“ (Platz des Himmlischen Friedens) angesprochen wurde. Für extra zahlende Geschäftskunden gibt es die Variante Zoom X, die einen sichereren Umgang mit Daten verspricht. Der Privatkunde zahlt aber weiterhin mit seinen privaten Daten und werde durch die Datenschutzerklärung in die Irre geführt: „Wir sammeln diese Daten, um Ihnen die beste Erfahrung mit unseren Produkten zu bieten. Meistens erheben wir personenbezogene Daten direkt von Ihnen, direkt von Ihren Geräten oder direkt von jemandem, der mit Ihnen über Zoom-Dienste kommuniziert, wie z. B. ein Meeting-Gastgeber, Teilnehmer oder Anrufer. Einige unserer Erfassungen erfolgen auf automatisierter Basis – das heißt, sie werden automatisch erfasst, wenn Sie mit unseren Produkten interagieren.“

Microsoft

Das Unternehmen Microsoft erhält den Preis in der Kategorie „Lebenswerk“ für die hervorragende Leistung, quasi durch die seit Jahren innewohnende Marktmacht eine Vielzahl von Menschen, Unternehmen und Behörden dazu zu zwingen, „dass sie bei ihren digitalen Aktivitäten dauernd Daten übermitteln und sich dadurch in Echtzeit überwachbar machen.“

Obwohl der Software-Riese nicht immer in einem Atemzug mit Google, Meta oder Amazon erwähnt wird, sammelt das Unternehmen auf weniger erkennbare Weise mit seinen Diensten massenhaft Daten von Personen und führt diese in eine Abhängigkeit. Daran ändert auch das (neue) Preismodell von Microsoft nichts. Bei seinen Produkten setzt Microsoft nicht nur auf immer komplexere Software, sondern auch mittlerweile auf KI, die diese intelligenter macht. Und dann wäre da noch die neue Strategie des Cloudangebots, also dem Bestreben, die ganze Software immer mehr in die weltweit vernetzte Cloud zu überführen – und damit auch die Nutzer.

Zwar ist das Vorhaben, immer mehr europäische Rechenzentren zu bauen, einerseits zu begrüßen, andererseits ist das über allem schwebende Risiko des Zugriffs von US-Behörden auf diese Daten nach wie vor gegeben. Datenschutz, Datensicherheit und digitale Souveränität kollidieren hier mitunter. Das wird auch in den nächsten Jahren nicht anders sein.

DHL

Der diesjährige Preisträger in der Kategorie Verbraucherschutz ist die Deutsche Post DHL Group. Dies erreichte das namhafte Transportunternehmen u. a. durch die verbindliche Einführung einer App, die für die Abholung von Sendungen bei den neuen Packstationen der DHL erforderlich ist. Konnte man früher das Paket noch beim freundlichen Bäcker um die Ecke abholen, sehen die modernen „lean“ Packstationen für die Bedienung mangels Displays eine Bluetooth-Verbindung nebst Nutzung der App vor. Ohne Internetverbindung oder gar ohne Smartphone wird dann die Packstation bzw. die jeweilige Tür, hinter der sich das Paket befindet, nicht mehr geöffnet.

Bei Nutzung der App wird nicht nur eine Verbindung zu den Servern von DHL hergestellt, sondern es erfolgt auch ein Tracking. Dafür bedarf es gemeinhin eines rechtskonformen Cookie-Consent-Banners. Die App der DHL wurde von anderen Experten bereits datenschutzrechtlich bewertet und dabei für rechtswidrig erachtet. So wurde hierbei u. a. festgestellt, dass eine Datenübermittlung bereits vor Abgabe der Einwilligung mittels Consent-Banners erfolgte.

Trotz oder gerade wegen der (zwangsweisen) Digitalisierung hierzulande kommen immer mehr Tracking-Dienste und Überwachungsmethoden zum Einsatz. Sehr zum Leidwesen der betroffenen Personen, die in diesem Fall ja nur ihr Paket abholen wollen.

Fazit

Was lernen wir aus diesen, wenn auch humorvoll geschriebenen, Begründungen für die Preisvergabe bei den BigBrotherAwards 2023? Die Digitalisierung schreitet voran und Datenverarbeitungsvorgänge werden immer komplexer – dies mag für viele Personen zu einer Beschleunigung und Vereinfachung führen, birgt aber erhebliche Abhängigkeiten und vor allem datenschutzrechtliche Risiken. Bei Neuerungen kommen meistens auch weniger vorteilhafte Erweiterungen hinzu. Wo ist die Grenze zwischen „Sicherheit“ und „Überwachung“?

Dieser Wandel ist umso brisanter, wenn es um Vorgänge der Grundversorgung geht. Muss wirklich alles über Apps und Clouds laufen? Und was passiert mit Menschen, die dieser Entwicklung nicht folgen können oder wollen?

Das Thema dürfte in den nächsten Jahren weiter an Bedeutung zunehmen, wenn bspw. Tickets für den Nahverkehr nur noch per App gekauft werden können, Kommunikation nur noch über internationale Server möglich ist oder der Autoschlüssel durch eine App ersetzt wird. Dabei darf dann auch ein integriertes Analysetool nicht fehlen.

Daher freuen wir uns schon jetzt auf die sicherlich auch im kommenden Jahr wieder sehr interessanten BigBrotherAwards.

Conrad S. Conrad | 15. Mai 2023 | Allgemein | Behörden, BigBrotherAwards, Bundesfinanzministerium, Datenkraken, Datenschutz, Datensicherheit, DHL, Digitalcourage e.V., Digitalisierung, finleap, Microsoft, Verbraucherschutz, Zoom