Die Weitergabe „besonders schützenswerter“, personenbezogener Daten an die weltgrößte umfassend trackende Werbedatenkrake, die bekanntermaßen immer wieder gegen einschlägige Gesetze verstößt, ist ein böser Witz auf Kosten der Nutzer, auf Kosten von Demokratie und Menschenwürde.
Welche Informationen erhält die Datenkrake?
A ist Mitglied der IKK.
A benutzt ein Smartphone der Art xy.
A nutzt die App am tt.mm.jjjj hh:mm:ss.
(Weitere Ereignisse, die Firebase an Google meldet.)
Dies könnte ich, wäre ich Google, kombinieren mit:
A ist Geheimrat a.D. Dr. Peter Buhl-Meier, wohnhaft Memelweg 17b, 69312 Heidelberg-Sotzenbach, Handyprovider xyz
A sucht am tt.mm.jjjj hh:mm:ss die Webseite einer Online-Apotheke auf, da er auf Playboy.com auf die Anzeige einer Online-Apotheke geklickt hat.
A hält sich länger auf der Produktseite „Mittel gegen Geschlechtskrankkeiten“ auf und bestellt („Konversion-Tracking“).
Das nur spontan, lässt sich enorm ausbauen … die Datenkraken lassen insoweit an Unis forschen …
Hinzukommt, dass dieses Unternehmen in einem Staat sitzt, der kategorisch von höchster Stelle (US-Verfassung, 4. Verfassungszusatz), US-Ausländern das Recht auf Privatheit nicht kennt.
Dies, während die EU es als MENSCHENrecht (Art. 8 EU-Grundrechtecharta, zuvor schon u.a. unser Grundgesetz) definiert hat, WEIL der Privatheitsschutz so elementar ist für das Funktionieren einer rechtsstaatlichen Demokratie und Menschenwürde.
(Das wiederum ist einigen hier nicht klar, offenbar zu abstrakt. Sie behandeln tatsächlich auch noch 2025 Datenschutz als ‚schön, aber nicht wirklich lebenswichtig‘. Klar, auf Menschenwürde und Demokratie kann man schon mal verzichten, gell?)
Die Weitergabe von personenbezogenen Daten (hier u.a. zugestandenermaßen der IP) zusammen mit irgendwelchen pseudo-anonymisierten IDs ist übler Unsinn, da Google natürlich die Dinge zuordnen kann: Die IP-Adresse ist schon nur ein Pseudonym des Betroffenen, ob ich dem weitere eindeutige Pseudonyme hinzufüge, ist nicht stärker anonymisierend, sondern stärker pseudonymisierend.
Natürlich weiß auch die IKK, dass ein im WLAN scheinbar schlafend herumliegendes Android-Telefon permanent (tausendfach binnen 24 h) mit exakt derselben IP-Adresse Kontakt zu Google aufnimmt. Und Google - u.a. dank PlayStore - selbstverständlich weiß, welche konkrete Person dieser IP zuzuordnen ist. Und leider dürften sich auch auf den meisten iPhones/iPads Apps befinden, wo Firebase = Google rummacht … personenbezogenen Daten in die USA übermittelt.
Es ist ein häufiges Phänomen sehr eigenartiger Dummheit, so zu tun, als wäre dem nicht so.
Längst ist es - dank KI - auch üblich sich zunächst mit „Schatten“ von Personen zu begnügen, d.h. mit einer 90 %tigen Identifizierung, die aber jederzeit mit wenigen Klicks zu einer 100tigen Identifizierung ‚umgeschaltet‘ werden kann, davor aber zu behaupten, man verarbeite ja nur anonymisierte/pseudonymisierte Daten, dazu noch unten.
Einmal ist diese naive Form des Denkens grundlegend dokumentiert durch die Hamburgische Datenschutzaufsichtsbehörde, die ihre Vereinbarung mit Google wegen des invasisven Google Analytics als Erfolg verkaufte und dabei unbeachtet/unberichtet ließ, dass es natürlich absurd ist, wenn ein Google eine Möglichkeit zur Kürzung der IP bezüglich EINES („kostenlosen“ „Services“) anbietet, wenn zugleich in der Regel von demselben Rechner meist/sehr häufig, die volle IP übermittelt wird, bspw. durch DoubleClick, Google Map, Youtube etc. (Es war Google, was den Datenschutz-GAU ca. 2012 verursachte, per AGB-Änderung nun alle Daten aus allen Google-Services zusammenzulegen. Microsoft zog sofort nach.)
Nach Jahrzehnten hat einmal und erstmals eine italienische Behörde diesen Unfug in Worte gefasst, Hervorhebung von mir:
Bei der Feststellung, dass die Verarbeitung rechtswidrig war, wiederholte der italienische Staatsanwalt, dass eine IP-Adresse ein personenbezogenes Datum ist und nicht anonymisiert würde, selbst wenn sie gekürzt würde - angesichts der Möglichkeiten von Google, solche Daten durch zusätzliche Informationen anzureichern, die es besitzt.
Original:
In determining that the processing was unlawful, the Italian SA reiterated that an IP address is a personal data and would not be anonymised even if it were truncated – given Google’s capabilities to enrich such data through additional information it holds.
Quelle:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874#english
Ich empfehle auch euch, sich diese Quelle als Lesezeichen zu speichern, denn es ist das erste Aufblitzen natürlicher Intelligenz nach Jahrzehnten dümmlich-ehrfürchtigen Staunens und Glaubens.
Weitergabe/Übermittlung:
Tatsächlich liegt rechtstechnisch dann keine „Übermittlung“ = „Verarbeitung“ (Art. 4 Nr. 2 DSGVO) vor, wenn die Weitergabe im Rahmen einer Auftragsverarbeitung erfolgt.
Man will mit dem Konstrukt der Auftragsverarbeitung absichtlich den Verantwortlichen (IKK) mit seinem Auftragsverarbeiter (Google) als eine Einheit fingieren, um die Datenverarbeitung zu erleichtern.
Gedacht hatte man damals, bei Schaffung dieses Konstruktes (schon in den frühen deutschen Datenschutzgesetzen), vor allem an Rechenzentren der Landesverwaltungen, an Vereinfachung: Der Bürger sollte einen Ansprechpartner = Verantwortlichen haben und nicht (auch) gegen jedes Unternehmen der ganzen, ihm oft unbekannten Verarbeitungskette, jeweils Auskunft fordern und/oder klagen müssen.
Der „Verantwortliche“, hier die IKK, hat deshalb aber auch die volle Verantwortung auch für seine Auftragsverarbeiter zu übernehmen.
Ein häufig zu lesendes „Wenn-sie-wissen-wollen-was-mit-ihren-Daten-passiert-lesen-sie-gefälligst-bei-Google-nach!“ funktioniert hier nicht.
Ich halte die Vorgehensweise auch deshalb für mehr als unrichtig, weil sie unterstellt, der dritte Versuche eines „Safe Harbor“ sei rechtmäßig. Dagegen spricht schon, dass die ersten beiden Versuche illegal waren.
Dagegen spricht offenkundig schon, dass eine Angemessenheit dann nicht vorliegen kann, wenn in der EU generell Freiheitsstrafen auf Datenschutzverletzungen stehen (bspw. Deutschland: § 42 BDSG), in den USA nur in wenigen speziellen Fällen.
Dagegen spricht schon, dass das höchste Recht der USA Datenschutz für Ausländer ablehnt, dazu s.o…
Sich auf den dritten Versuch eines „Privacy Shields“ oder „Privacy Frameworks“ zu verlassen betrachte ich als einen Schlag ins Gesicht der eigenen Versicherten.
Zumal ich den Nutzen von Google = Firebase für vergleichsweise lächerlich einschätze: Eine klare, freundliche, einfache Aufforderung an die Nutzer, Probleme zu melden, machte es schon weitestgehend überflüssig. Der Hype, der um Klicki-Bunti-Google-Anal-üticks getrieben wird, hat sich glücklicherweise langsam gelegt: Ein Großteil der Daten ist uninteressant, aber Webdesigner lieben es natürlich schicke, vorgefertigte Grafiken ihren Auftraggebern als „Erfolgsnachweis“ zu präsentieren.
Art. 28 DSGVO verlangt, Hervorhebung durch mich:
„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Ich sehe hier ein Problem beim Stichwort „hinreichend Garantien“ und „gewährleistet“, d.h. bei der sorgfältigen Auswahl des Dienstleisters.
Erstens halt ich die Auswahl eines US-Dienstleisters aus den og. Gründen - staatlich angeordnete Rechtlosigkeit von Ausländern - für fahrlässig.
Zweitens: Die Auswahl eines Unternehmens, was den absolut überwiegenden Teil seines Umsatzes auf Basis extremen Verhaltenstrackings auf Basis persönlicher Daten seiner Nutzer macht, ist ebenfalls ein Knock-Out-Kriterium sein müssen, meine ich.
Drittens übergebe ich nicht persönliche Daten meiner Kunden im Gesundheitsbereich auf Basis so wackeliger Konstrukte wie dem dritten „Safe Harbor“-Unfug.
Viertens übergebe ich nicht persönliche Gesundheitsdaten meiner Kunden an ein Unternehmen, was wiederholt durch Konflikte mit Recht und Gesetz auffiel, zuletzt vor wenigen Wochen, s.o.
Zum Abschluss noch der Hinweis: Totalüberwachung ist nicht nur eine Menschenrechtsverletzung in industriellem Ausmaß. Deutschland ist auch nicht mehr im innovativ seitdem die USA Deutschland in industriellem Ausmaß vollautomatisch überwachen. Hier war noch einmal ein kurzes Aufbäumen unserer Volksvertreter, dann kam - ach, wie nützlich für den Ausbau der Überwachung! - „9/11“.
Gesundheitsdaten sind für die USA supergeil: Das ist ein Milliardengeschäft, wo noch immer keine US-Marktbeherrschung gelungen ist. Der US-üblichen Marktausforschung zur strategischen Manipulation steht die DSGVO ziemlich entgegen. Ich habe selbst erlebt, wie US-Filialen, die zu dem Zweck in der EU angesiedelt wurden, nach Inkrafttreten der DSGVO wieder dichtgemacht wurden - mangels Erfolgsausicht, dass die Ausforschung lukrativ weiter betrieben werden konnte. Die DSGVO machte das Geschäft ab 2018 zu weitgehend illegal.
Ich bin zuversichtlich, dass man auch harte Argumente findet, nimmt man die DSGVO genauer diesbezüglich unter die Lupe, kann aus Zeitgründen nur eine erste Einschätzung geben …
