Datenschutzquatsch

Die Datenschutzerklärung soll folgende Funktionen und Zwecke erfüllen:

• Rechtliche Funktion: Sie erfüllt gesetzliche Informationspflichten, die in der DSGVO (Datenschutz-Grundverordnung) und anderen Datenschutzgesetzen vorgeschrieben sind. Unternehmen und Webseitenbetreiber sind verpflichtet, transparent über ihre Datenverarbeitung zu informieren.
• Transparenz schaffen: Die Datenschutzerklärung soll Nutzer darüber aufklären, welche personenbezogenen Daten offensichtlich gesammelt werden, wie diese verarbeitet werden, zu welchen Zwecken das geschieht und an wen die Daten möglicherweise weitergegeben werden.
• Vertrauen aufbauen: Durch eine klare und verständliche Datenschutzerklärung zeigt ein Unternehmen oder eine Person, dass es den Datenschutz angeblich ernst nimmt und scheinbar verantwortungsvoll mit den Daten der Nutzer umgeht. Das soll das Vertrauen der Kunden stärken.
• Rechte aufzeigen: Sie informiert die betroffenen Personen über ihre Rechte – etwa das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch gegen die Datenverarbeitung.
• Haftungsschutz: Für Unternehmen soll sie auch als Absicherung dienen. Ohne ordnungsgemäße Datenschutzerklärung drohen erhebliche Bußgelder bei Verstößen gegen die DSGVO.

Die Idee der Datenschutzerklärung war also, ein faires und transparentes Verhältnis zwischen Datenverarbeitern und den betroffenen Personen zu schaffen. Die Nutzer sollten wissen, was mit ihren Daten passiert und selbstbestimmt entscheiden können, ob sie damit einverstanden sind.

Die Grundlage heutiger Netzwerke und des Internets ist das Internetprotokoll (IP, Internet Protocol) mit den hier definierten IP-Adressen. Dieses Protokoll liegt aktuell in der Version 4 (IPv4) und der Version 6 (IPv6) vor, welche zwei unterschiedliche Adressbereiche haben. IPv4 besitzt eine 32-Bit-Adresse (z.B. 8.8.8.8) mit ca. 4 Milliarden möglichen Adressen. Dagegen besitzt IPv6 eine 128-Bit-Adresse (z.B. 2001:4860:4860:0000:0000:0000:0000:8888) mit ca. 340 Sextillionen möglichen Adressen. Aus dem unterschiedlichen Aufbau der Adressen lässt sich erahnen, dass sich diese Bereiche ohne bestimmte Hilfsmittel nicht gegenseitig verbinden können.

Jedes Gerät, das an der Kommunikation im Netzwerk beteiligt sein soll, benötigt eine oder mehrere dieser IP-Adressen. Dabei kann ein Gerät sowohl IPv4-Adressen als auch IPv6-Adressen verwenden. Ohne eine IP-Adresse kann ein Gerät keine Daten im Netzwerk versenden oder empfangen, das heißt auch, dass alle Geräte, die hinter diesem Gerät (z.B. Proxy) geschaltet sind, ebenfalls nicht mehr erreicht werden können.

Das größte Problem besteht nun darin, dass man in der Regel eine URL mit Domain in den Browser eingiebt (www.dalmatiner.de/welpen.html) und nicht direkt eine IP-Adresse (101.101.101.101/welpen.html). Die Verwendung einer IP-Adresse in einer URL funktioniert zudem auch nur, wenn das Gerät nur eine Webseite beherbergt (wie z.B. bei einer FritzBox). In der Regel beherbergen Webserver heutzutage mehrere Webseiten mit unterschiedlichen Domains. Damit der Browser aber nun die richtige IP-Adresse zur entsprechenden Domain erfährt, muss dieser diese bei einem DNS-Server (DNS, Domain Name System) erfragen. Anschließend kann der Browser seine Anfrage an den Webserver stellen, indem er Datenpakete erstellt, diese mit der Ziel-URL, -IP-Adresse und der Absender-IP-Adresse versieht und an die entsprechende IP-Adresse versendet. Der Webserver kann dann die Anfrage verarbeiten und die entsprechende Seite ausliefern.

Bei jeder DNS- und Webserver-Anfrage werden die Pakete von vielen weiteren Geräten weitergeleitet. Vom Rechner zum Router, unter Umständen durch ein Glasfasermodem, danach durch verschiedene Geräte des Internetanbieters. Ab hier betreten die Pakete die weite Welt des Internets. Hier arbeiten unzählige Unternehmen, die die Infrastruktur unterhalten und das Versenden und Empfangen der Pakete im Internet überhaupt erst ermöglichen (wie die großen Internetknotenbetreiber, z.B. DE-CIX in Frankfurt am Main). Die Geräte dieser Firmen leiten die Pakete weiter oder verwerfen diese, wenn sie zu lange unterwegs sind (TTL überschritten) oder die Route nicht mehr erreichbar ist. Setzt der Webseitenanbieter Dienste ein, die sich vor den eigentlichen Server schalten, werden die Pakete hier ebenfalls verarbeitet und dann weitergeleitet, bis sie letztendlich in der Infrastruktur des Webhosters bzw. des Webseitenanbieters ankommen. Der Webserver verarbeitet die Anfrage und sendet die Webseite als Pakete wieder zurück. Hierbei können die Pakete im Internet durch Geräte anderer Unternehmen laufen als bei der Anfrage.

Wenn die Pakete im Internet unterwegs sind, können diese auch im Ausland landen, selbst wenn man aus Deutschland eine Webseite auf einem in Deutschland stehenden Server aufruft. Das Internet-Routing folgt nicht immer dem geografisch kürzesten Weg. Hierfür kann es verschiedene Gründe geben:

• Provider leiten Daten über Partner-Netze, mit denen sie Peering-Vereinbarungen haben
• Direkte Routen sind überlastet oder ausgefallen (Reparaturen an Überland- oder Seekabeln, Server-Ausfälle etc.)
• Aus Kostengründen werden günstigere Routen bevorzugt, auch wenn sie länger sind
• Große Provider können ihre Knoten nicht überall haben

So kann es vorkommen, dass die Pakete einer Anfrage aus München an einen Server in Hannover über Amsterdam oder sogar London laufen. Wenn ein internationaler bzw. US-amerikanischer Provider beteiligt ist, können die Pakete z.B. auch über New York geleitet werden.

Dieser Ablauf gilt nicht nur für Webseitenanfragen, sondern für alle Datenübertragungen im Internet, wie z.B. E-Mail-Versand oder Streaming.

HTTPS verschlüsselt immer nur den Inhalt, nicht aber Metadaten wie Absender und Empfänger. Je älter die TLS-Version ist, die für eine HTTPS-Verbindung verwendet wird, desto schwächer ist die Verschlüsselung. Die Vorgängerversion SSL wird heute weitgehend nicht mehr akzeptiert. Dazu kommt, dass es verschiedene Möglichkeiten gibt, HTTPS-Verkehr aufzubrechen. Firewalls und Schutzsoftware können per TLS-Inspection/HTTPS-Interception Inhalte prüfen, Geheimdienste können CAs (Zertifizierungsstellen) zur Ausstellung falscher Zertifikate zwingen. Mit verschiedener Software und entsprechenden Ressourcen lässt sich HTTPS-Verkehr unter bestimmten Umständen kompromittieren.

SSL und TLS werden häufig synonym verwendet, obwohl SSL veraltet ist und nicht mehr verwendet werden sollte.

Je nachdem, wo man sich befindet und wo der Zielserver steht, nehmen die Pakete unterschiedliche Routen. Innerhalb einer Region oder Deutschlands nehmen diese in der Regel den kürzesten Weg über lokale Infrastrukturen und kleinere Knoten. Wann immer man Daten an die großen Dienste oder ins Ausland versendet, werden diese den Weg über einen der großen Internetknoten nehmen. An diesen Knoten sind verschiedene Geheimdienste aktiv. Der BND war mit der Operation Eikonal am DE-CIX in Frankfurt tätig und leitete Daten an die NSA weiter. Die NSA hat in San Francisco im AT&T-Gebäude einen Zugang – der bekannte Room 641A. Die Five Eyes Allianz (USA, UK, Kanada, Australien, Neuseeland) teilt sich Zugänge und umgeht so nationale Beschränkungen. Aber nicht nur an den Hauptknoten, sondern auch direkt an den Unterseekabeln wird abgehört. Die NSA zapft diese mit dem UPSTREAM-Programm direkt an. Der GCHQ nutzt das TEMPORA-Programm an Transatlantik-Kabeln und hat direkten Zugriff auf Kabel, die in Cornwall landen. Ähnliche Programme existieren in Russland, China, Frankreich, den Niederlanden und Israel (Unit 8200). Die tatsächliche aktuelle Situation ist wahrscheinlich noch umfangreicher, da die meisten Informationen aus Leaks von vor über 10 Jahren stammen.

Je nachdem, welchen Browser Sie verwenden und wie dieser eingestellt ist, wird die eingegebene Webadresse gegen verschiedene Datenbanken geprüft:

• Während der Eingabe wird der Text in der eingestellten Suchmaschine auf Übereinstimmungen geprüft und Ihnen werden Suchergebnisse angezeigt. Bei Chrome und Firefox ist das meistens Google, beim Edge Bing von Microsoft und bei Safari von Apple meist ebenfalls Google.
• Nach dem Absenden (Enter-Taste) kann die Domain darauf geprüft werden, ob sie in einer oder mehreren Blacklisten gespeichert ist (Safe Browsing). Zudem wird diese Adresse in der Browser-Historie gespeichert, welche bei aktivierter Synchronisation an die jeweilige Benutzerverwaltung des Browser-Herstellers übertragen wird. Bei aktivierter Telemetrie/Nutzungsstatistik können ebenfalls Suchanfragen an den Hersteller gesendet und dort gespeichert werden.

Jedes Betriebssystem kann grundsätzlich alles, was der Browser versendet und empfängt, mitlesen. Es übernimmt in den meisten Fällen die DNS-Anfragen sowie alle Übertragungen und den Empfang über die Netzwerkkarte.

• Windows sendet je nach Einstellungen umfangreiche Telemetriedaten an Microsoft, inklusive besuchter Webseiten
• macOS von Apple sammelt weniger, die Übertragung von bestimmten Daten ist aber nicht ausgeschlossen
• Android/ChromeOS sendet viele Daten an Google
• Die meisten Linux-Distributionen senden standardmäßig keine Daten

Selbst mit verschlüsseltem HTTPS-Verkehr sieht das Betriebssystem noch die Metadaten (wann, wohin, wie viel). Nur der Inhalt der Kommunikation ist verschlüsselt.

Zu den Providern zähle ich hier den Internetanbieter sowie den Provider des Webseitenanbieters. Beide können immer mindestens die Metadaten mitlesen, das heißt, welche Webseite man aufruft, wann und wie oft. Dasselbe gilt für den Provider auf der anderen Seite. Dieser kann ebenfalls sehen, woher die Anfrage kommt, was angefordert wurde und wie oft. Hier kann es vorkommen, dass beide Provider dasselbe Unternehmen sind oder zur selben Unternehmensgruppe gehören.

Genauso wie die beiden Provider können alle Infrastrukturdienstleister, die in dem Moment der Datenübertragung beteiligt sind, immer mindestens die Metadaten auslesen.

Diese setzen in der Regel Linux-Distributionen ein, womit die Gefahr von Datenabfluss an andere Unternehmen eher gering ist. Zudem ist das Produkt die Dienstleistung und nicht Benutzerdaten oder Werbung, womit Unternehmen wie Alphabet/Google oder Meta/Facebook ihr Geld verdienen. Damit ist normalerweise sichergestellt, dass Metadaten nur für den eigentlichen Zweck verarbeitet und nur für Fehlerbehebung in den Fehlerprotokollen gespeichert werden.

Google ist das wohl weitgefächertste Tech-Unternehmen der Welt, es bietet fast alles an, was zur Nutzung des Internets nötig ist. Das beginnt bei den Betriebssystemen Android und ChromeOS, beim Browser Chrome, Gmail, Google Maps, über die vielen Google Cloud-Dienste, bis hin zu DNS-Servern etc. So landet man immer irgendwie bei Google und selbst wenn man das alles umgangen hat, binden Webseiten die man besucht Google Fonts, Google Analytics usw. ein. Man kommt also an „Google’s rabbit hole“ fast nicht vorbei.

Es ist also sehr wahrscheinlich, dass viele Benutzer über ein Google-Betriebssystem oder per Chrome eine Webseite anfordern und die IP-Adresse über einen Google DNS-Server ermitteln. Zuvor haben diese Benutzer sehr wahrscheinlich in der Google-Suchmaschine nach etwas gesucht und den Link zu dieser Seite angeklickt.

Microsoft, Apple und andere große Tech-Konzerne versuchen ähnliches, haben aber nicht diesen Umfang wie Google.

Die Antwort auf diese Frage ist ziemlich ernüchternd: Fast niemand! Die meisten Studien dazu, zeigen, dass nur sehr wenige Menschen Datenschutzerklärungen lesen. Noch viel schlimmer ist, dass viele sogar das Lesen bestätigen ohne sie tatsächlich gelesen zu haben. Dasselbe gilt übrigens für die Cookie-/DSGVO-Banner, dafür gibt es mittlerweile Browser-Plugins, die diese blockieren oder automatisiert beantworten. Meistens mit „alles erlauben“, damit die Webseite auch vernünftig funktioniert und aussieht.

Eine Allensbach-Studie von 2019 („Freiwillige und informierte Einwilligung? Die Nutzerperspektive“) im Auftrag des FOCUS zeigt: Von den Nutzern, die wissentlich den AGBs und Datenschutzerklärungen zugestimmt haben, haben nur 22 % die Bedingungen sorgfältig gelesen und DSGVO-Einstellungen verändert. 46 % haben sie nur überflogen und 31 % gar nicht gelesen bzw. geöffnet. Das heißt, 77 % hat es nicht interessiert, was in den AGBs oder Datenschutzbestimmungen steht. Interessant, 77 % sagen „Es ist zwecklos, die Bestimmungen zu lesen, denn man muss auf jeden Fall zustimmen, wenn man den Internetdienst nutzen will“ oder 73 % „Mir ist es zu mühsam, die Texte zu den Bestimmungen wirklich zu lesen“.

Die Gründe dafür sind also vielfältig: Die Texte sind oft zu lang (durchschnittlich würde man 10 Stunden pro Jahr brauchen, um alle Datenschutzerklärungen zu lesen, denen man begegnet), zu komplex formuliert und die Nutzer haben das Gefühl, ohnehin keine echte Wahl zu haben – entweder sie stimmen zu oder können den Dienst nicht nutzen.

Wer sind nun diejenigen welche, die die Datenschutzerklärungen gründlich lesen?

• Überkorrekte Menschen, die alles penibel einhalten, was vorgeschrieben ist, obwohl sie eigentlich nur etwas nachschlagen wollten.
• Menschen, bei denen das Kind bereits in den Brunnen gefallen ist und nun nachlesen wollen, was sie da vergeigt haben, bzw. denen die Daten abhanden gekommen sind und nun den Schuldigen suchen.
• Abmahnanwälte die eine neue Geschäftsidee haben, z.B. mit anderen zwielichtigen Gestalten einen Crawler bauen der automatisch nach DSGVO-Verstößen scannt und dann als Opfer auftreten und massenweise Abmahnungen schreiben.
• Die Datenschutzbeauftragten des Landes natürlich, die dann gerne mal Kleingartenvereine oder anderes Kleinvieh mit einem fetten Bußgeld von mehreren tausend Euro belegen, weil sie vergessen haben, die Verwendung von Nextcloud in ihrer Datenschutzerklärung zu erwähnen, oder weil sie beim Newsletter das Feld CC statt BCC verwendet haben.
• Petzen mit zu viel Zeit und einem verkorksten Leben, die nach Möglichkeiten suchen, anderen einen reinzuwürgen.

Nach den obenstehenden Grundlagen müsste man sich eigentlich fragen: „Warum sehe ich bei einem Webseitenaufruf nur eine Datenschutzerklärung?“ Normalerweise müsste doch jeder, der in diesem Moment an der Datenübertragung beteiligt ist, mir eine Datenschutzerklärung anzeigen oder zumindest per E-Mail zusenden.

Das wäre dann eine riesige Klickerei bzw. Bimmelei im E-Mail-Postfach und würde unser wohlig warmes Internet-Erlebnis erheblich beeinträchtigen. Es wäre aber gesetzlich korrekt und würde alle gleich behandeln. Zudem soll ich doch als „mündiger“ Benutzer darüber Bescheid wissen, wer und warum meine Daten verarbeitet, und ich soll doch selbstbestimmt entscheiden, ob die an der Übertragung beteiligten Unternehmen meine Daten verarbeiten dürfen. Es ist absurd, dass nur der letzte in der Kette darüber informieren muss, dass er durch die grundlegenden Methoden Daten erfasst und verarbeitet, die Mehrheit dazwischen jedoch nicht.

Dazu kommt, dass sich seit der Einführung nichts geändert hat. Google und Co. sammeln weiterhin Daten in großem Umfang, nur dass die Benutzer nun offiziell wissen, dass alles von ihnen gesammelt wird. Sie bekommen weiterhin auf sie zugeschnittene Werbung angezeigt, was aus der Sammelwut und Verarbeitung resultiert. Die Daten werden weiterhin an andere Unternehmen verkauft und an US-Geheimdienste weitergeleitet. Hunderttausende Webseiten verwenden weiterhin Google Analytics und andere Google-Dienste. Alles legitimiert durch die Einbindung einer Datenschutzerklärung, die niemand liest.

Wie bei der Datenschutzerklärung gilt auch hier: Die Benutzer sind davon genervt bzw. wissen einfach, wenn sie nicht auf „alles erlauben“ klicken, funktioniert die Seite nicht oder sie sieht halt kacke aus. Deshalb gibt es nach Werbeblockern und JavaScript-Blockern mittlerweile auch noch Cookie-Banner-Blocker für jeden Browser. Einige dieser Browser-Plugins blocken die Anzeige, bei anderen kann man die Einstellungen vorauswählen. Standardmäßig ist natürlich „alles erlauben“ aktiviert, was dann auch fast niemand ändert – weil das Ding nicht nerven, aber die Webseite funktionieren soll.

Das Problem mit den Cookie-Bannern: Die Webseite wird fast immer komplett geladen, inklusive externer CSS/JavaScript-Bibliotheken, Google Fonts und Cookies wurden natürlich auch bereits gesetzt. Das Cookie-Banner wurde genau mit diesen externen CSS/JavaScript-Bibliotheken gestaltet; wenn der Besucher noch Glück hat, verwendet selbst das Cookie-Banner die Google Fonts. Die komplette Seite wird also mit allen externen Inhalten und Cookies angezeigt und fragt dann den Besucher, ob er das überhaupt möchte. Im schlimmsten Fall deaktiviert man alles und das Einbinden externer Inhalte und das Setzen von Cookies geht munter weiter. Viele Cookie-Banner informieren nur darüber, dass sie externe Inhalte verwenden und Cookies setzen – abwählen kann man hier meistens nichts. Im Grunde sagen sie dem Besucher nur: „Entweder du lässt hier alles so wie es ist oder du kannst dich verpissen“. Normalerweise müsste zuerst eine Seite ohne externe Inhalte geladen werden, die keine Cookies setzt.

Die beste Idee aller Zeiten ist jedoch, sich das Ablehnen des Setzens von Cookies für einen Besucher zu merken, in dem man ihm doch ein Cookie setzt, dass die Webseite beim nächsten Besuch daran erinnert, dass dieser Benutzer eigentlich keine Cookies wollte.

Um dieses Paradoxon besser zu verstehen, werde ich es hier auf die Spitze treiben. Fakt ist, dass das Google rabbit hole extrem umfassend ist, die verschiedenen Angebote und Dienste allgegenwärtig, und kaum umgehbar sind. Daher ist folgende Konstellation im Ganzen sowie in Teilen sehr wahrscheinlich.

Der Benutzer verwendet ein Chromebook oder ein Android-Mobiltelefon und sucht dort mit dem Google-Browser Chrome nach Inhalten. Er findet eine Seite und klickt auf den Link, der Browser erfragt die IP-Adresse des Zielservers bei einem Google DNS-Server. Auf der Webseite angekommen lädt diese Google Fonts vom Google-Server herunter, führt Google-Analytics-Skripte aus und setzt Cookies. Jetzt wird das Cookie-Banner angezeigt und fragt, ob man externe Inhalte und Cookies überhaupt möchte. Natürlich verweigert der Benutzer die Einbindung von Google Fonts und die Verwendung von Werbe- und Analysesystemen – man will ja nicht, dass Google seine IP-Adresse bekommt.

Zu diesem Zeitpunkt – Klick auf den Button – weiß Google bereits viel mehr über diesen Benutzer als nur seine IP-Adresse:

• Die gesamte Suchhistorie (was er sucht bzw. gesucht hat)
• Den Standort (wo er sich befindet, wo er herkam, wo er hin will)
• Die Browser-Historie (welche Seiten er besucht bzw. welche er besucht hat)

In seinem „Schrems II“-Urteil vom 16. Juli 2020 (Aktenzeichen: C-311/18) erklärte der Europäische Gerichtshof (EuGH) den EU-US-Privacy-Shield für ungültig. Damit wurde die rechtskonforme Übermittlung von Daten in die USA deutlich erschwert. Die Einbindung von US-amerikanischen Diensten war über Nacht rechtswidrig, es gab weder eine Schonfrist noch einen Übergangszeitraum. Die befürchteten Abmahnwellen blieben erstmal aus. Bis das Landgericht München mit seinem Urteil vom 20. Januar 2022 (Aktenzeichen: 3 O 17493/20) entschied, dem Besucher einer Webseite, auf der Google Fonts eingebunden waren, einen Schadensersatz von 100 € zuzusprechen. Diese Gerichtsentscheidung war der Ausgangspunkt mehrerer Abmahnwellen zu Google Fonts und vieler Kontroversen im Internet.

Die Wahrscheinlichkeit, dass der „Geschädigte“ bereits vorher schon „geschädigt“ war, also höchstwahrscheinlich einen Google Chrome Browser verwendete, ist sehr hoch. Dass er hunderte, gar tausende Male vorher bereits mit seinem Android-Mobiltelefon im Internet unterwegs war oder in der Google-Suchmaschine nach Informationen und Webseiten gesucht hat, ist ebenfalls sehr wahrscheinlich. Die angeblichen Schäden sind also bereits weit vorher entstanden.

Ich möchte hier Google nicht verteidigen, aber die Unwissenheit ist immer noch sehr verbreitet, besonders bei Politikern, Anwälten und Richtern. Die grundlegenden Funktionen und Zusammenhänge des Internets sind schlichtweg nicht bekannt. Man ist sich einfach nicht bewusst, dass die IP-Adresse, die Google durch die Einbindung von deren Fonts bekommt, nichts gegen die bereits gesammelten Informationen über den Chrome Browser oder die Google-Suchmaschine ist.

Natürlich! Nicht Facebook bzw. Meta, sondern der Webseitenbetreiber, der Facebook-Dienste in seine Webseite einbindet.

In der Psychologie bezieht sich „Externalisierung" auf die Technik, Probleme oder Gefühle von der eigenen Person zu trennen und als äußere, unabhängige Faktoren zu betrachten. Also kurz gesagt: das Abwälzen von Problemen auf andere.

Meta/Facebook externalisiert ihre Datenschutzverantwortung in ihrem Seitensteuerungszusatz (Page Controller Addendum) auf ihre Benutzer. Damit wollen sie erreichen, dass sie bei Verstößen nicht komplett schuld sind, sondern auch der Webseitenbetreiber eine Mitschuld trägt.

Verschiedene Datenschutzbehörden und Gerichte haben den Facebook-Seitensteuerungszusatz mehrfach kritisiert und festgestellt, dass dieser gegen die DSGVO verstößt. Facebook übernimmt zwar formal viele Pflichten, aber Seitenbetreiber tragen trotzdem das volle Haftungsrisiko als gemeinsame Verantwortliche. Dabei erhalten sie keine ausreichenden Informationen darüber, welche Daten genau verarbeitet werden, zudem können sie die Datenverarbeitung nicht beeinflussen oder kontrollieren – bei vollem Risiko. Facebook agiert hier in einer Grauzone und reagiert immer wieder mit Anpassungen auf Kritik. Die rechtliche Unsicherheit für die Webseitenbetreiber bleibt jedoch bestehen.

In fast jeder Datenschutzerklärung wird darauf hingewiesen, dass HTTPS und TLS schützen und man darauf achten soll, dass die Adresse im Browser mit „https“ beginnt – in den meisten Browsern wird dieser Teil „https://“ oft ausgeblendet. Manchmal wird dann noch erwähnt, dass man auf das Schlosssymbol vor der Adressleiste achten soll – bei Chrome ist das mittlerweile unter einem anderen Symbol versteckt.

Wie in den Grundlagen bereits beschrieben, ist HTTPS mit TLS nicht grundsätzlich sicher. Wenn die Kette zwischen Browser und Webserver unterbrochen ist, also frühzeitig entschlüsselt und dann unverschlüsselt weiterversendet wird, ist HTTPS eben nicht sicher. Z.B. kann der Webseitenbetreiber andere Dienste dazwischenschalten, diese Server tun so, als wären sie der Webserver, sie stellen die Zertifikatsverwaltung bereit und übergeben die Daten zurück, als wären sie der Versender. Tatsächlich leiten sie im Hintergrund die Daten nach der Verarbeitung weiter an den echten Webserver. Wird diese Verbindung dann nicht per HTTPS aufgebaut, laufen die Daten im Klartext durchs Internet.

Ähnlich wie diese Proxy-Dienste funktioniert TLS-Inspection/HTTPS-Interception bei modernen Firewalls. Diese agieren als vertrauenswürdiger Vermittler zwischen Client und Server. Statt einer direkten verschlüsselten Verbindung entstehen zwei separate TLS-Verbindungen: eine zwischen Client und Firewall, eine zwischen Firewall und Zielserver. Die Firewall kann nun den Datenverkehr entschlüsseln, inspizieren und wieder verschlüsseln.

Und genauso wie die Firewall und der Proxy-Server können Geheimdienste und Hacker die Kette aufbrechen und mitlesen. Die Schwierigkeit für Hacker, HTTPS-Verkehr durch Man-in-the-Middle-Angriffe mitzulesen, ist heute zwar erheblich höher als früher, aber es gibt verschiedene Szenarien, die dies dennoch ermöglichen können. Ausschließlich bei direkten Internetverbindungen zwischen modernen, gut konfigurierten Browsern und Servern ist ein Man-in-the-Middle-Angriff jedoch nahezu ausgeschlossen.

Aber HTTPS schützt nicht davor, dass andere wissen, was man liest. HTTPS macht eigentlich nur Sinn, wenn man Daten in ein Formular eingibt und diese Daten dann in einer Datenbank gespeichert und nicht wieder auf der Webseite veröffentlicht werden. Erinnern wir uns daran, dass nur der Inhalt verschlüsselt wird, nicht aber die Metadaten wie Zieldomain und Absender/Empfänger-IP-Adresse. Also jeder, der den Datenverkehr mitliest, kann sehen, dass man gerade eine bestimmte Webseite geöffnet hat. Er kann zwar nicht sehen, was man in ein Suchfeld eingegeben hat, aber er kann die URL der Ergebnisseite sehen. Gleiches gilt für Beiträge in Foren: Die Angreifer können nicht sehen, was man in seinen Eintrag übermittelt hat, aber man kann anhand der Metadaten und der Uhrzeit ermitteln, dass es dieser Benutzer war.

Datenschutz entsteht nicht durch das Einbinden einer Datenschutzerklärung, die mit tausenden Wörtern erklärt, was sowieso passiert. Nicht durch das Schalten eines Cookie-Banners, das nichts ändert, und schon gar nicht durch das Nicht-Einbinden moderner Technologien und Dienste von externen Dienstleistern.

Der Datenschutz entsteht:

• auf Benutzerseite dadurch, wie man seinen Browser einstellt (Datenschutzeinstellungen), für welchen Browser und welches Betriebssystem man sich entscheidet und wie man mit den DSGVO-Einstellungen auf Webseiten umgeht.
• auf Anbieterseite dadurch, dass diese möglichst viel auf FOSS (Free Open Source Software) setzen und diese anständig konfigurieren und absichern. Solange an diesem Punkt nur Daten im Fehlerprotokoll gespeichert und nicht weiter verarbeitet werden, macht es keinen Unterschied, ob hier die volle IP-Adresse oder nur die halbe verwendet wird.
• auf Webseitenbetreiberseite dadurch, dass man ein anständiges CMS verwendet und dieses möglichst aktuell hält – also nicht nur mit aktuellen Inhalten pflegt, sondern auch mal die Update-Funktion des CMS verwendet. Zudem muss man sich mit den grundlegenden Funktionen der IT vertraut machen und gegebenenfalls auch selbst überprüfen, ob die eigene Webseite Cookies setzt oder externe Inhalte einbindet. Es reicht nicht mehr, WordPress mit einem Theme zu installieren und sich dann nur noch um die Inhalte zu kümmern.

Für die Einhaltung des Datenschutzes auf Seiten der kommerziellen Anbieter kann nur die Politik mit anständigen Gesetzen und echten Kontrollen sorgen.

Die meisten Rekordstrafen betrafen US-Technologiekonzerne, insbesondere Meta. Hauptgründe waren illegale Datenübertragungen in die USA, intransparente Datenverarbeitung für Werbezwecke und Verstöße gegen die Prinzipien der Einwilligung. Die irische Datenschutzbehörde spielte hier eine zentrale Rolle, da viele Tech-Konzerne ihren EU-Hauptsitz in Irland haben.

• Meta (Facebook) – 1,2 Milliarden Euro (Mai 2023)
• Meta (Facebook) – 390 Millionen Euro (Januar 2023)
• Google – 90 Millionen Euro (Dezember 2022)
• Meta (Instagram) – 405 Millionen Euro (September 2022)
• Meta (WhatsApp) – 225 Millionen Euro (September 2021)
• Amazon – 746 Millionen Euro (Juli 2021)

1,2 Milliarden Euro hört sich viel an, oder? Metas Nettogewinn belief sich 2023 auf 39,1 Milliarden US-Dollar. Die Strafe vom Mai 2023 entspricht damit etwa 3% des Jahresgewinns. Das läuft jetzt aber nicht wie bei der Eintreibung von überfälligen Rundfunkgebühren oder einem Falschparker-Ticket mit sofortiger Androhung der Existenzvernichtung durch einen Gerichtsvollzieher ab. Nein, solche Unternehmen aktivieren ihre teuren Anwaltskanzleien und verschleppen die Zahlungen so lange durch die Gerichtsinstanzen, bis sie nichts mehr oder einen deutlich geringeren Betrag zahlen müssen. Details über den aktuellen Stand dieser Verfahren sind nicht öffentlich. Die tatsächliche „Erfolgsquote“ bei der Durchsetzung der Milliarden-Strafen wird sich, wenn überhaupt, erst in einigen Jahren zeigen, wenn die Gerichtsverfahren abgeschlossen sind. Von kleineren Zahlungen im Millionenbereich ist bekannt, dass sie geleistet wurden. Google zahlte z.B. die 50-Millionen-Euro-Strafe in Frankreich (2019) nach verlorenem Berufungsverfahren.

Die vielen kleinen DSGVO-Strafen gegenüber mittelständischen Unternehmen, Arztpraxen und Vereinen werden viel härter verfolgt, aber auch viel schneller bezahlt:

• Einzelhändler mit unzulässiger Videoüberwachung: 10.000–50.000 Euro
• Arztpraxen mit Datenpannen: 5.000–20.000 Euro
• KMUs mit fehlenden technischen Schutzmaßnahmen: 20.000–100.000 Euro
• Unrechtmäßige Datenverarbeitung durch Vereine: 1.000–5.000 Euro

Auch wenn die Behörden Faktoren wie Unternehmensgröße, Schwere des Verstoßes, Vorsatz und Kooperationsbereitschaft berücksichtigen können und sollen, sind die Strafen gegenüber großen Konzernen nicht verhältnismäßig. Strafen im höheren zweistelligen Prozentbereich des Nettogewinns bei KMUs gegen einstellige Strafen bei Großkonzernen stehen in keinem Verhältnis. Zudem ist die Eintreibung der Strafen deutlich aggressiver. KMUs verzichten deutlich häufiger auf Berufungen aus Kostengründen und aus Angst am Ende noch mehr Strafe zahlen zu müssen.

Im ausschließlich privaten Bereich findet die DSGVO keine Anwendung, weshalb Privatpersonen grundsätzlich für Verstöße gegen den Datenschutz im privaten bzw. familiären Bereich nicht haften können. Das bezieht sich aber nur auf rein private Webseiten und Dienste, also eine Webseite für Ihren verstorbenen Hund oder Opa, eine Webseite zur Hochzeit usw., sowie eine Nextcloud, auf die nur Ihre Familie Zugriff hat.

Eine Webseite wie diese, die zur Anbahnung eines Arbeitsverhältnisses und/oder der Werbung für öffentliche Projekte dient, fällt nicht mehr unter rein privat. Insbesondere wenn man noch einen Blog oder einen Newsletter betreibt – hier verarbeitet man eindeutig personenbezogene Daten von Benutzern.

Die Fälle von Privatpersonen, die tatsächlich mit DSGVO-Bußgeldern belegt wurden, sind selten und betreffen meist Situationen, in denen die private Nutzung in einen quasi-öffentlichen oder gewerblichen Bereich übergeht (wie Massenmails an hunderte Empfänger).

• 2018 wurde eine Person in Sachsen-Anhalt zu einem Bußgeld in Höhe von 2.628,50 Euro verurteilt, weil sie wiederholt hunderte E-Mails mit personenbezogenen Daten an einen offenen Verteiler versendet hatte.
• 2021 erhielt eine Person vom Landesdatenschutzbeauftragten von Sachsen-Anhalt einen Bußgeldbescheid in Höhe von 2.000 Euro. Diese verschickte mehrfach E-Mails an über 100 Empfänger und setzte dabei die Empfängeradressen in das Feld CC (Carbon Copy – sichtbar für alle; richtig wäre BCC – Blind Carbon Copy – gewesen). Somit waren die E-Mail-Adressen aller anderen Empfänger ersichtlich.

Die großen Abmahnwellen und vor allem die erwartete Häufigkeit dieser blieb jedoch gering.

2022/2023 entwickelten der Berliner Anwalt Lennard und der Informatiker Ismail einen Crawler, der automatisiert Webseiten nach Google-Fonts-Einbindungen durchsuchte. Für die Aktion wurde vermutlich die Organisation „IG Datenschutz“ gegründet. Anschließend mahnten sie mindestens 100.000 Webseitenbetreiber im Namen der IG Datenschutz ab und forderten jeweils 170 Euro „Vergleichssumme“. Von den Abgemahnten sollen etwa 2.000 gezahlt haben.

Das Landgericht München entschied am 30. März 2023, dass diese Massenabmahnungen rechtsmissbräuchlich waren (Urteil vom 30.03.2023, Az. 4 O 13063/22). Ironischerweise war ihr eigenes Urteil vom 20.01.2022 der Auslöser für diese Abmahnwelle.