BigBrother Awards 2024 – Die Oscars für Datenkraken

Digitalcourage und andere Bürgerrechtsorganisationen haben zum 24. Mal die BigBrother Awards verliehen. Die Preise sind quasi die Oscars für Überwachung.



Prominentester Preisträger ist in diesem Jahr Bundesgesundheitsminister Karl Lauterbach. Er hielt den Preis für die nationale Umsetzung des European Health Data Space (EHDS) in Form des Gesundheitsdatennutzungsgesetzes. Das europäische EHDS-Gesetz sieht die Digitalisierung des Gesundheitswesens in allen EU-Staaten vor.



Bye bye Arztgeheimnis?



In seiner Laudatio kritisierte Thilo Weichert, der ehemalige Datenschutzbeauftragte des Landes Schleswig-Holstein, dass die Gesundheitsdaten nicht nur dafür eingesetzt werden, um Diagnose und Therapie zu verbessern (also für sogenannte primäre Zwecke). Hauptziel sei vielmehr die Nutzung der Gesundheitsdaten für sogenannte sekundäre Zwecke.


Thilo Weichert verkündet den Preisträger in der Kategorie „Gesundheit“ der diesjährigen BigBrother Awards: Bundesgesundheitsminister Karl Lauterbach.
Julian Weil CC-BY-SA 4.0



Dabei sei nicht ausreichend geklärt, wer Zugriff auf diese Daten erhalte. Ferner fehlten ausreichende Schutzmaßnahmen, um einen Missbrauch zu verhindern.



Verfassungswidrige Nutzung?



Damit, so Weichert werde ein zentraler Grundsatz der Medizin in Frage gestellt: Die ärztliche Schweigepflicht. Habe bisher gegolten, dass Behandlungsdaten grundsätzlich vertraulich zu behandeln sind, so gelte künftig, dass diese Daten Dritten grundsätzlich zur Verfügung gestellt werden können.



„Das Gesundheitsdatennutzungsgesetz zur Umsetzung des EHDS, das Ende März 2024 in Kraft getreten ist, macht unsere Gesundheitsdaten zur Beute kommerzieller und politischer Interessen“, zeigt sich Weichert verärgert, „das Gesundheitsministerium weiß selbst genau, dass die Umsetzung des EHDS verfassungswidrig ist.“



Gruselige Überwachung


Der BigBrother Award 2024 in der Kategorie „Behörden und Verwaltung“ geht an die Polizei Sachsen, vertreten durch den sächsischen Innenminister Armin Schuster.
Julian Weil CC-BY-SA 4.0



In der Kategorie „Behörden und Verwaltung“ geht der Oscar für Datenkraken an die Polizei Sachsen Sie erhielt ihn für ihr „videogestütztes Personen-Identifikations-System“ (PerIS), mit dem Tatverdächtige in Ermittlungsverfahren ausfindig gemacht werden sollen.



Dabei kommen stationäre und mobile Kameras zum Einsatz, die auch eine Vielzahl von Unbeteiligten biometrisch erfassen. Das System steht nach Meinung von Laudator Frank Rosengart, Chaos Computer Club (CCC), auf wackeliger Rechtsgrundlage und gibt einen gruseligen Vorgeschmack auf neue Überwachungsmöglichkeiten der Polizei.



Denn im Januar hatte der Verfassungsgerichtshof des Freistaat Sachen in einem Normenkontrollantrag Teile des Polizeirechts des Freistaates Sachsen für verfassungswidrig erklärt. Mit zahlreichen Verfahrenstricks werde das System aber dennoch in rechtlichen Grauzonen eingesetzt.



Datenkrake Deutsche Bahn



Prominenter Preisträger in der Kategorie „Mobilität“ ist dieses Jahr die Deutsche Bahn. Der Vorwurf. Mit ihrem Digitalisierungszwang setze die Deutsche Bahn alles daran, unüberwachtes Bahnfahren unmöglich zu machen.


Schnüffel-App DB-Navigator.
Deutsche Bahn AG



So biete die Bahn immer mehr Fahrkarten nur noch digital und personalisiert an. Als Konsequenz müsse beim Kauf eines Sparpreis- oder Supersparpreis-Tickets im Reisezentrum jetzt zwingend eine Mobilfunknummer oder eine Mailadresse angegeben werden.



Schnüffel-App DB-Navigator



Kein gutes Haar lässt Künstler und Digitalcourage-Mitbegründer padeluun an der Bahn-App DB-Navigator in seiner Rede. Mit der App schnüffele das Unternehmen die Nutzer aus und gebe eine Menge Daten über sie weiter.



Der Trick dabei ist laut padeluun: „Die Bahn deklariert alle Tracker, die sie unbedingt haben will, einfach als erforderlich. Bei der neuen Version der App sind es insgesamt sechs Unternehmen – unter anderem Adobe und Google, deren Mitwirkung laut Bahn angeblich zwingend erforderlich ist und an die deshalb Daten abfließen.“





Abschied vom anonymen Reisen



Dabei räume die Bahn keine Möglichkeit ein, das abzuschalten. Technisch sind diese Tracker nach Erkenntnissen von Digitalcourage aber kein bisschen „notwendig“. Deshalb verklagte die Organisation bereits vor zwei Jahren die Bahn – ein Verhandlungstermin steht noch immer aus. Unter dem Strich kommt padeluun zu dem Schluss: „Ihr werdet alle digitalisiert – Widerstand ist zwecklos”, scheint das Motto der DB zu sein, die zunehmend anonymes Reisen unmöglich macht.



Temu und Shein



In der Kategorie „Verbraucherschutz“ wurden die Handelsplattformen Temu und Shein und deren Niederlassungen in Irland geehrt. Mit dem Award würdigen die Bürgerrechtsorganisationen, dass beide Anbieter die Rechte von Nutzern und Kunden durch ihre Datenschutzgrundsätze und Allgemeinen Geschäftsbedingungen maximal begrenzen oder ganz ausschließen.


Peter Wedde bei seiner Laudatio für die Kategorie „Verbraucherschutz“. Der BigBrother Award geht an die chinesischen Unternehmen Temu und Shein.
Inflac CC-BY-SA 4.0



Sieht man einmal davon ab, dass die Käufer mit Bestellungen bei Temu und Shein in China versteckt zu „Importeuren“ werden, offenbart sich ein Gau an Datenschutzverstößen. So ist die Liste an Regelungen in den Datenschutzschutzrichtlinien und AGBs von Shein oder Temu, die im Widerspruch zur DSGVO stehen, lang.



DSGVO scheint nicht zu interessieren



Das fängt für Professor Peter Wedde, Frankfurt University of Applied Science, damit an, dass die Datenschutzregeln bei Shein und Temu gegen die Transparenzvorgaben in der Datenschutz-Grundverordnung (DSGVO) verstoßen. Die Datenschutzregeln und die AGBs von Temu und Shein seien von ähnlich schlechter Qualität wie die angebotenen Produkte, meint er zynisch.



In den AGB von Shein heißt es: „Vertragssprache ist Deutschland“ oder „Für alle Streitigkeiten (…) sind ausschließlich die Gerichte von Deutsche zuständig“. Bei Temu findet sich die Feststellung, dass nur solche personenbezogenen Daten verarbeitet werden, die „wir über unsere digitalen Eigenschaften erfassen.“



Volatiler Datenschutz



Und die Kritik des Professors geht weiter. So behalten sich beide Unternehmen außerdem vor, ihre Datenschutzregeln jederzeit einseitig zu ändern. So musste Wedde feststellen, dass bei Shein innerhalb von nur 48 Stunden ein ganzer Absatz in den Datenschutzregeln neu war. Und bei Temu ist zu lesen: „Wir empfehlen Ihnen, die Datenschutzrichtlinie jedes Mal zu lesen, wenn Sie unseren Dienst besuchen, um über unsere Datenschutzpraktiken auf dem Laufenden zu bleiben“.



Auch der Umgang mit den erforderlichen Einwilligungserklärungen ist schlimm. Auf der deutschen Startseite von Shein erschien der Text zum Zeitpunkt der Recherche laut Wedde vollständig in italienischer Sprache, zusammen mit den Antwortmöglichkeiten „Gestione dei cookie“, „Alle ablehnen“ oder „Annehmen“.



Keine Reaktion auf Do Not Track



Wer „Alle ablehnen“ klickt und glaubt, damit die umfassende Datenverarbeitung auszuschließen, irrt Wedde zufolge: Die AGB und Datenschutzrichtlinien beider Firmen lassen auch ohne Einwilligung eine fast grenzenlose Verarbeitung von Kundendaten zu.



Auch die bei vielen Usern beliebte Funktion Do not Track, scheint die beiden Preisträger nicht weiter zu stören. Bei Temu heißt es hierzu kurz und knapp: „Wir reagieren derzeit nicht auf ‚Do Not Track‘ oder ähnliche Signale.“ Bei Shein gibt man sich zumindest die Mühe, dies etwa ausführlicher zu erläutern: „Einige Internetbrowser wie Internet Explorer, Firefox und Safari bieten die Möglichkeit, ‚Do Not Track‘- oder ‚DNT‘-Signale zu übertragen. Da keine einheitlichen Standards für ‚DNT‘-Signale eingeführt wurden, verarbeitet oder reagiert unsere Website derzeit nicht auf ‚DNT‘-Signale.“



Angesichts dieser Beispiele kommt der Experte in seiner Laudatio zu dem wenig rühmlichen Fazit: „Die Datenschutzregeln und die AGB von Temu und Shein sind von ähnlich schlechter Qualität wie die angebotenen Produkte.“