EU-Ministerrat hintertreibt Bekämpfung illegaler Datentransfers

Ein neuer „Kompromiss“ des Rats zur Datenweitergabe in der E-Privacy-Verordnung würden genau jene Praktiken legalisieren, die im Facebook-Skandal gerade zu Tage kommen. Das EU-Parlament verlangt das Gegenteil.

Von Erich Möchel

Die österreichische Ratspräsidentschaft wird im Juli voraussichtlich einen handfesten Konflikt zwischen EU-Parlament und Ministerrat von der bulgarischen Präsidentschaft erben. Der neue „Kompromiss“ des Rats zur E-Privacy-Verordnung sieht erst wieder einen einmaligen Klick der Benutzer für die Datenweitergabe an beliebige Dritte vor. Das widerspricht nicht nur der EU-Datenschutzgrundverordnung (DSGVO), sondern auch einer deutlichenD Mehrheit im EU-Parlament.

Der EU-Datenschutzbeauftrage Giovanni Buttarelli forderte denn auch, angesichts des Facebook-Skandals E-Privacy noch zu verschärfen. Von Facebook erhobene, personenbezogene Daten wurden da ohne Wissen der Benutzer an die Datensammler von Cambridge Analytica weitergegeben, die diese Daten missbräuchlich, nämlich zur Manipulation von Wählern, verwendet hat. Ein Whistleblower schilderte am Dienstag die abenteuerlichen Geschäftspraktiken der Firma im britischen Unterhaus.

EU council

ebsite des österreichischen Nationalrats publiziert]]

Begünstigung digitaler Kriminalität

Hinter Cambridge Analytica und dem Facebook-Skandal steht die auf „Schwarze PR“ und Desinformation spezialisierte britische SCL-Group, die mit Aufträgen aus dem britischen Verteidigungsministerium hochgezogen wurde.

Die bulgarische Ratspräsidentschaft hat den aktuellen Entwurf der E-Privacy-Verordung ѕo geändert, dass krimineller Datenmissbrauch etwa zur Manipulation von Wahlen noch begünstigt wird. Beim grundlegenden Kapitel zur Zustimmung von Benutzern bei Datenweitergaben wurde die Legalität der Ein-Klick-Methode ausdrücklich festgeschrieben. Man stimmt also mit einem Klick sämtlichen Datenweitergaben an alle möglichen Interessenten zu allen denkbaren Verwendungszwecken zu. Das EU-Parlament hatte dies mehrheitlich abgelehnt, da es der europäischen Datenschutzgrundverordnung, die Ende Mai in Kraft tritt, völlig widerspreche. (Mehr dazu weiter unten).

Obendrein wird der Zugriff auf sämtliche Metadaten eines Benutzers - besuchte Websites, Konfiguration des Browsers, Bookmarks und Downloads etc. - vom Ministerrat technisch völlig falsch als „Setzen eines Cookies“ bezeichnet. Das passiert zwar auch, tatsächlich aber lesen Skripts dabei sämtliche Informationen auf dem Rechner oder Smartphone aus, für die sie eben programmiert sind. Das Setzen eines Tracking-Cookies bewirkt, dass Benutzer quer durch das Netz verfolgt werden können und so tagesaktuelle Interessensprofile liefern. Dass diese Daten dann auch noch beliebig weitergegeben werden können, wird vom Ministerrat überhaupt nicht erwähnt.

Andrus Ansip / Twitter

„Psychometrie“ aus Metadaten

Nach einem überfallsartig angesetzten Abstimmungskrimi im EU-Parlament kam E-Privacy im vergangenen Oktober in den Ministerrat

Über solche - nicht-existenten - Weitergaberegeln ohne Beschränkungen wie vom EU-Ministerrat vorgesehen, kommen Cambridge Analytica, die gesamte SCL Group und andere Datensammler dann an die Metadaten, aus denen dann mit „psychometrischen“ Methoden sogenannte „Psychogramme“ einzelner Bevölkerungsgruppen erstellt werden. Dass über 50 Millionen individuelle Datensätze abgegriffen wurden, lag allein an der Politik zur Datenweitergabe von Facebook, die bis 2015 bestand. Allen App-Entwicklern, die über personenbezogene Daten ihrer Nutzer verfügten, wurde auch der Zugriff auf die Profile von deren Facebook-„Freunden“ eingeräumt.

Zusätzlich lieferte die App von Cambridge Analytica hochsensible Daten, denn sie kam als Psychotest getarnt daher. Die Stammdaten von Facebook wurden also noch durch hochsensible Personendaten angereichert, die zusammen ein Stimmungsbild bestimmter Wählersegmente ergaben. Da die von Facebook abgegriffenen 50 Millionen Datensätze Facebook-„Freunde“ und Freundesfreunde usw. betrafen, ließen sich die Detaildaten aus dem „Psychotest“ quasi hochrechnen. Dass diese Daten dann im Verbund mit weiteren zugekauften Datensätzen für sogenanntes Microtargeting im Trump-Wahlkampf gedient hatten, erfuhr die Öffentlichkeit erst nach dem Auffliegen des Skandals.

BBC

Ein Whistleblower packt aus

Mit 31 zu 24 Stimmen im Innenausschuss des EU-Parlaments stimmte eine Mehrheit vor dem Sommer für eine datenschutzgerechte Version von E-Privacy. Die konservative EVP-Fraktion blieb mit ihrer Ablehnung ziemlich allein.

Am Dienstagnachmittag erhob einer der beiden Whistleblower, ein Ex-Angestellter von Cambrige Analytica namens Christopher Wylie, schwere Vorwürfe gegen die Firma. Sie habe nicht nur für die führende „Vote Leave“-Kampagne, sondern für alle vier Brexit-Kampagnen gearbeitet, und dabei die Beschränkung für Wahlkampfkosten in Großbritannien umgangen. Nach dem Muster der Gründung von Cambridge Analytica für Wahlkämpfe in den USA 2014 wurde von der SCL-Group 2015 in Kanada eine Tochterfirma namens AIQ aufgestellt, über die dann Gelder hin- und hergeschoben wurden.

Und auch der Verdacht, dass der mit Geldern des britischen Außenministeriums 1994 gestartete SCL-Konzern noch immer enge Verbindungen zum britischen Auslandsgeheimdienst MI6 unterhält, wurde untermauert. Eine weitere SCL-Tochterfirma hat nämlich bis heuer Aufträge aus dem britischen Außenministerium erhalten, und zwar für Datamining-Services, wie britische Medien berichten. Der jüngste Auftrag wurde erst im Februar terminiert, als der Facebook-Skandal längst ausgebrochen war. Das US-Außenministerium wiederum hatte bereіts im Herbst bestätigt, dass SCL einen Auftrag über eine halben Million Dollar für Datenanalysen hält.

Warum der Ministerrat so agieren kann

Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Verbindungen via TOR-Netz willkommen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Wie die Entwicklung nun im Detail weitergeht, eine Konflikt mit dem Parlament ist aufgrund der Frontalkollision dieses Vorschlags mit der Datenschutzgrundverordnung jedenfalls programmiert. Warum der Ministerrat überhaupt so vorgehen kann, nämlich nämlich das essentielle Kapitel dieses Grundlagengesetzes zu ignorieren hat formaljuristische Gründe. Die E-Privacy-Verordnung ist als „Lex specialis“ eingestuft, das die Datenschutzrichtlinie dort präzisieren bzw. erweitern soll wo die allgemeine gehaltene DSGVO nicht greift. E-Privacy basiert zwar darauf und kann nichts an der DSGVO verändern, allerdings ist es möglich - wie man sieht - dass diese „Erweiterung“ das nachgerade Gegenteil des Basisgesetzes enthält. In der Anfangsphase hatte der Rat sogar geplant, die Vorratsdatewnspeicherung als Möglichkeit ausgerechnet in die E-Privacy-Verordnung einzuschreiben.