Es kommt nicht alltäglich vor, dass Datenschutzbehörden für Vor-Ort-Kontrollen bei Unternehmen anrücken. Im vergangenen Jahr war es in der Hauptstadt jedoch wieder soweit. Wie im Jahresbericht 2024 der Berliner Datenschutzbehörde steht, führte die Behörde eine Prüfung bei einem Unternehmen durch, „das im Bereich der Onlinewerbung als Datenhändler tätig ist“. Dabei stellte die Behörde weitreichende Datenschutzverstöße bei den „sehr invasiven Verarbeitungen personenbezogener Daten“ fest.

Das Unternehmen biete verschiedene Dienste an, heißt es in dem Bericht ab Seite 94. Ein Teil dieser Dienste beruhe auf Auswertungen, welche Nutzer:innen vermeintlich bestimmte Eigenschaften aufweisen. Die Werbetreibenden und deren Dienstleister könnten betreffenden Nutzer:innen dann gezielt auf diese Zielgruppe zugeschnittene Werbung anzeigen. Ein anderer Teil der Dienste des Unternehmens beruhe darauf, die Aufenthaltsorte von Nutzer:innen auszuwerten und daraus Informationen abzuleiten.

Untersuchung ist Folge unserer Berichterstattung

Um welches Unternehmen es sich dabei handelt, schreibt die Behörde in ihrem Bericht nicht. Die Schilderungen erinnern jedoch stark an ein Berlin Unternehmen, dessen mutmaßliche Datenschutzverstöße netzpolitik.org im Jahr 2023 aufgedeckt hatte: Adsquare.

Die Werbe- und Datenfirma war eines von mehreren deutschen Unternehmen, die als Anbieter umfassender Tracking-Daten in der Angebotsliste des US-Datenhändlers Xandr auftauchten. Werbekund:innen konnten mithilfe von Adsquare offenbar Menschen als Zielgruppe auswählen, die in Kategorien wie „Fragile Senioren“, „Familien in Schwierigkeiten“ und „Glücksspiel“ gesteckt wurden oder mutmaßlich Geldautomaten der Berliner Sparkasse und Luxusgeschäfte besucht hatten. Adsquare betonte damals auf Anfrage, dass es sich dabei teilweise um veraltete Kategorien handelte.

Wir haben aufgrund der Ähnlichkeit der geschilderten Geschäftspraktiken bei der Datenschutzbehörde nachgefragt und die Bestätigung erhalten, dass es sich bei dem im Jahresbericht genannten Unternehmen tatsächlich um Adsquare handelt:

Wir können bestätigen, dass es sich bei der im genannten Jahresberichts-Kapitel genannten Firma um Adsquare handelt und die Untersuchung eine Folge der Berichterstattung von netzpolitik.org ist.

Adsquare selbst antwortete nicht auf eine Presseanfrage von netzpolitik.org.

Erhebliche Mängel bei Einwilligungen

Im Rahmen der Berichterstattung aus dem Jahr 2023 teilte Adsquare gegenüber netzpolitik.org noch mit, sich an datenschutzrechtliche Vorgaben zu halten. Das sieht die Berliner Datenschutzbehörde nach ihrer Kontrolle in den Räumen der Firma offenbar anders.

Schwerpunktmäßig richtet sich die Kritik der Behörde auf Probleme mit der Einwilligung und somit das Fehlen einer gültigen Rechtsgrundlage für die invasive Überwachung von Verbraucher:innen. 2023 teilte Adsquare gegenüber netzpolitik.org mit, dass es in der Verantwortung der Datenlieferanten liege, für die Wirksamkeit der Einwilligungen zu sorgen.

Auch dies sieht die Datenschutzbehörde anders und listet zahlreiche Mängel auf. „Teilweise war bereits aus den Unterlagen des Unternehmens ersichtlich, dass keine oder keine wirksame Einwilligung erteilt worden war, teilweise konnte das Unternehmen wegen struktureller Defizite die Einwilligungen nicht nachweisen.“

Zu den Datenlieferanten gehören dem Bericht zufolge sowohl Unternehmen, die Apps betreiben, als auch andere Datenhändler, die Daten weiterverkaufen. Wie diese eine Einwilligung einholen, habe das Unternehmen zwar geprüft und wegen besonders schwerwiegender Verstöße auch einigen Datenlieferanten gekündigt. „Allerdings arbeitete das Unternehmen weiterhin mit diversen Datenlieferanten zusammen, bei denen es selbst festgestellt hatte, dass datenschutzrechtliche Mängel bestanden.“

Probleme bei der Datenqualität

Weil Adsquare Daten aus sehr vielen unterschiedlichen Quellen zusammenführe, habe man zudem einen interessanten Einblicke in die Qualität der Tracking-Daten erhalten, schreibt die Datenschutzbehörde weiter. Sie habe eine Stichprobe der Datensätze untersucht und dabei festgestellt, dass die „Zuschreibungen von Eigenschaften in erheblichem Umfang widersprüchlich waren.“ Beispielsweise sei derselben Person „praktisch jede Alters- und jede Einkommensklasse zugeschrieben“ worden.

Die durchwachsene Datenqualität ist in der Branche ein bekanntes Thema. Um ihre Datensätze künstlich aufzublasen, vergeben Datenhändler willkürlich IDs und Zuschreibungen. Das NATO-Forschungszentrum Stratcom schreibt dazu in einer Studie [PDF]: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“

Auch die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk bestätigten Probleme mit der Datenqualität. Gleichzeitig zeigte die Recherche, dass in anderen Fällen äußert akkurate Daten vorliegen, die es ermöglichen, Menschen bis in ihre Intimsphäre hinein auszuspähen.

Behörde empfiehlt gesetzliche Lösung des Einwilligungsproblems

Insgesamt weise der Fall Adsquare weit über die einzelne Firma hinaus, schreibt die Datenschutzbehörde in ihrem Jahresbericht. Er zeige exemplarisch, „welche Schwierigkeiten im Bereich des Trackings (…) bestehen“ – insbesondere im Hinblick auf die Wirksamkeit der Einwilligungen. Denn auch Firmen, die im Dickicht der Datenindustrie versteckt sind und keinen direkten Kontakt zu Betroffenen hätten, müssten wirksame Einwilligungen nachweisen können.

Das sei häufig nicht der Fall, weil „Hunderte Akteur:innen als Datenempfänger:innen aufgeführt werden, die Datenflüsse derart komplex sind, dass diese nicht transparent gemacht werden können und die Zwecke nicht ausreichend und transparent bezeichnet sind.“ Das führe regelmäßig dazu, dass die eingeholten Einwilligungen unwirksam sind.

Adsquare habe sich wie viele Firmen bei den Einwilligungen auf das Transparency & Consent Framework (TCF) der Branchenorganisation IAB Europe verlassen. „Im Rahmen des TCF wird regelmäßig eine Einwilligung für die Verarbeitung von mehreren Hundert Akteur:innen, die in dem Werbenetzwerk von IAB Europe tätig werden, zusammen eingeholt.“ Gerade erst hatte ein beglisches Gericht festgestellt, dass das aktuelle TCF-System in Teilen datenschutzwidrig ist.

Die Datenschutzbehörde verbindet ihren Bericht deshalb auch mit einer politischen Empfehlung: „Angesichts der Schwächen der Einwilligungslösung im Bereich des Onlinewerbetrackings wäre eine (…) klarere gesetzliche Regulierung des Onlinetrackings und -profilings wünschenswert.“

Firma muss mit Bußgeld rechnen

Welche Konsequenzen die festgestellten Datenschutzverstöße für die Firma haben werden, ist derzeit noch unklar. Im Jahresbericht heißt es dazu lediglich, dass ein Bußgeldverfahren „aufgrund der hohen Zahl betroffener Personen“ geprüft werden solle. Der Fall soll dafür an die Sanktionsstelle der Datenschutzbehörde übergeben werden.

Grundsätzlich ermöglicht die Datenschutzgrundverordnung Bußgelder von bis zu 4 Prozent des Jahresumsatzes. Für Adsquare, das laut dem Branchendienst NorthData im Jahr 2023 einen Umsatz von 35 Millionen Euro gemacht hat, könnte es also teuer werden. Denkbar wäre auf dieser Basis ein Bußgeld von bis zu 1,4 Millionen Euro. In den vergangenen Jahren hatten Gerichte jedoch wiederholt Bußgelder von Datenschutzbehörden als zu hoch eingestuft.

Die gemeinnützige, internationale Organisation „Save the Children“ hat einen kostenfreien Leitfaden für öffentliche Einrichtungen wie Schulen, Kindergärten oder auch Vereine herausgegeben, um stärker dafür zu sensibilisieren, wie Pädokriminelle im Internet veröffentlichte Fotos und Videos von Kindern für ihre Zwecke missbrauchen. Er klärt darüber auf, wie Einrichtungen ihre eigene Medienarbeit so verändern können, dass Kinder und Jugendliche im Netz besser geschützt werden. Dafür enthält er auch konkrete Beispiele, wie Pädokriminelle vorgehen, welches Material sie gerne suchen, kommentieren und weiterverarbeiten. Jugendschutz.net ist als Kooperationspartner am Leitfaden beteiligt.

Das ist doch nur ein schönes Foto!

Abwehrende Sätze, wie diese, hat vermutlich schon jeder Mensch einmal gehört, der die Veröffentlichung von einem Kinderfoto im Netz beispielsweise im Bekanntenkreis kritisiert hat: „Das ist doch nur ein schönes Foto!“; „Das macht gute Laune!“, „Das ist doch total harmlos!“. Genau hier setzt der Leitfaden von Save the Children an. Was für die einen völlig harmlos erscheint, sogar als geteilte Freude gilt, ist für die anderen neues Material für ihre Missbrauchsfantasien.

Wie Save the Children klarmacht, werden sogenannte Alltagsaufnahmen von Kindern und Jugendlichen gezielt aus sozialen Netzwerken und von Webseiten gestohlen und in speziellen Internetforen von Pädokriminellen hochgeladen. Dort werden sie „milliardenfach aufgerufen, getauscht und kommentiert. Das geschieht etwa mit sexualisierenden Texten, sexuellen Lauten oder bestimmten Hashtags und Emojis.“ In Zeiten von leicht zugänglichen KI-Tools gehen Pädokriminelle aber auch noch einen Schritt weiter. Sie können mittels KI-Tools existierende Aufnahmen täuschend echt verändern. Mit Deepnude-Generatoren oder auch Nudifiern können dadurch auch Bilder von bekleideten Kindern mit wenigen Klicks zu Nacktaufnahmen werden.

Jasmin Wahl, Leiterin des Bereichs Sexualisierte Gewalt bei jugendschutz.net, erklärt hierzu: „Die Sexualisierung von Aufnahmen, die Kinder und Jugendliche in alltäglichen Situationen zeigen, ist ein Phänomen, welches wir seit Jahren bei der Bearbeitung von Hinweisen und Recherchen beobachten – in zum Teil drastischen Ausprägungen. Neue technologische Entwicklungen, die eine Manipulation von Bildern und Videos ermöglichen, verstärken das Problem. Das Bewusstsein für Risiken auch in Institutionen und Organisationen zu schärfen, ist deshalb von großer Relevanz“. Jugendschutz.net ist das gemeinsame Kompetenzzentrum von Bund, Ländern und Landesmedienanstalten für den Schutz von Kindern und Jugendlichen im Internet, das unter anderem in seinem jüngsten Jahresbericht schon auf die Deep-Nude-Problematik aufmerksam machte.

Einmal mehr über Internetauftritte nachdenken

Normalweise wurden in den vergangenen Jahren insbesondere Eltern immer wieder auf die Gefahren von Kinderfotos im Internet hingewiesen. Britt Kalla, Expertin für institutionellen Kinderschutz bei Save the Children Deutschland und Autorin des Leitfadens, unterstreicht allerdings, dass Pädokriminelle überall dort nach Material suchen, wo es zur Verfügung gestellt wird. Da mittlerweile auch Kindergärten, Schulen, Horte, Sport- und Musikvereine und andere Organisationen über Internetauftritte oder Social-Media-Profile verfügen und dort gerne auch werbliche Fotos hochladen, richtet sich der Leitfaden (PDF) nun an diese Einrichtungen – er soll eine publizistische Lücke schließen. „Wir möchten Verantwortlichen in Institutionen und Organisationen Wissen an die Hand geben, um informiert zu entscheiden, welche Bilder sie teilen und welche besser nicht. Dabei schauen wir auch kritisch auf unsere eigenen Veröffentlichungen – immer mit dem Ziel, Kinder und ihre Rechte bestmöglich zu schützen.“

Eins macht der Leitfaden zu Beginn sehr deutlich: Jede Aufnahme kann zweckentfremdet werden, egal wie harmlos sie aus eigener Perspektive zu sein scheint. Zudem zählt er auf, welche Rechte der Kinder und Jugendlichen durch Aufnahmen und deren Verbreitung und dann auch den Missbrauch verletzt werden können: Hierzu zählen die Menschenwürde, das Allgemeine Persönlichkeitsrecht, das Recht auf ungestörte Persönlichkeitsentwicklung oder auch das Recht auf Schutz der Privatsphäre und Ehre. Außerdem verfügen auch Kinder und Jugendliche über das Recht am eigenen Bild, das Recht auf informationelle Selbstbestimmung und Schutz personenbezogener Daten, sowie das Recht auf Schutz der psychischen Gesundheit und Schutz vor Missbrauch und Ausbeutung.

Da es immer wieder Menschen gibt, die glauben, dass vermeintlich „harmlose“ Bilder für Pädokriminelle uninteressant sind, listet der Leitfaden beispielhaft auf, wie auch solche Bilder missbraucht, kommentiert und aus dem Kontext gerissen werden. Für diese Beschreibungen gibt es im Leitfaden auch eine Content-Warnung. Illustrationen von im Netz gängigen Fotomotiven werden exemplarisch darauf abgeklopft, was Pädokriminelle an ihnen reizen könnte. Zwei Listen mit einmal vier und einmal zwölf Tipps fassen dann Empfehlungen zusammen, worauf Einrichtungen bei Kinderfotos achten sollten (Seite 25). Eine weitere Reihe von Illustrationen zeigt, wie Fotos und Videos gestaltet werden können, damit sie für Pädokriminelle uninteressanter sind.

Kinder nicht unsichtbar machen, aber schützen

Laut Save the Children und Jugendschutz.net soll der Leitfaden nicht dazu führen, Kinder und Jugendliche im Internet unsichtbar zu machen, sondern eine Hilfestellung bieten, ihre Schutz- und Freiheitsrechte gegeneinander abzuwiegen. In der Gesellschaft gebe es recht unterschiedliche Betrachtungsweisen „zur Notwendigkeit der Darstellung von Kindern in der Öffentlichkeit“. Drei Positionen stellt der Bericht stellvertretend vor. So vertrete etwa das Bundeskriminalamt auf seiner Webseite die Position: „Kinderbilder gehören nicht ins Netz.“ Einige Institutionen und Organisationen möchten allerdings Fotos und Videos von und mit Minderjährigen erstellen, weil sie „Kinder als einen wichtigen Teil der Gesellschaft [sehen,] und möchten, dass sie Beachtung und Wertschätzung erfahren.“ Für sie gelinge das am besten, wenn Kinder „als Rechteinhaber:innen und Expert:innen ihrer Lebenswelt sicht- und hörbar bleiben.“ Kinderbilder und -videos würden zudem dazu beitragen, für Anliegen der Kinder oder sie vertretende Organisationen zu werben.

Die dritte Position sei eine, die sich zwischen den ersten beiden verorte, heißt es im Leitfaden: Die Veröffentlichung von Fotos und Videos von Heranwachsenden wird nicht rundheraus abgelehnt, sondern nach Schutzbedürfnis gestaffelt betrachtet. Bei jüngeren Kindern stehe der Schutzgedanke im Vordergrund. Bei älteren Kindern und Jugendlichen gehe man davon aus, dass bereits Selbstschutzkompetenzen entwickelt wurden, um mit möglichen Risiken umzugehen. Hierfür formuliere man Empfehlungen, wie sie sich auch im Leitfaden wiederfinden.

(kbe)

Die Diskussionskultur im Internet hat sich in den letzten 25 Jahren verändert, nicht immer zum Guten. Kai-Uwe Lassowski, zuständig für das heise-Forum, das es seit über 25 Jahren gibt, beobachtet, dass das Internet „immer mehr zu einem Abbild der Gesellschaft wurde und dementsprechend auch ähnliche Probleme mit sich gebracht hat“. War es früher ein „kleiner Haufen Nerds, die da sich freundlich und interessiert ausgetauscht haben“, ist es heute eine „viel, viel breitere Masse“, die „ein anderes Empfinden hat an die Standards, die da herrschen sollten“.

Um einen freundlichen Umgangston zu gewährleisten, gibt es Nutzungsbedingungen, die Beleidigungen, diskriminierende Äußerungen oder Aufrufe zu Straftaten verbieten. Beiträge, die dagegen verstoßen, können gemeldet und gesperrt werden. Kai-Uwe Lassowski erklärt, dass im heise-Forum nur „zwei, drei Prozent aller Beiträge“ gesperrt werden. Die Moderation erfolgt anlassbezogen durch User-Meldungen oder durch ein System mit Schlagwörtern. Dabei muss der Kontext genau geprüft werden, denn manche Begriffe wie „Goldstück“ sind, obwohl auf den ersten Blick harmlos, im Kontext von Diskussionen über Flüchtlinge eine „rassistische Bezeichnung“.

Zahl der Hasspostings steigt massiv

Jutta Brennauer von den Neuen Deutschen Medienmacher*innen sieht einen Zusammenhang zwischen Hass im Netz und rechtsextremer Gewalt im analogen Raum. Zahlen des BKA belegen, dass die „große Mehrheit von digitaler Gewalt aus dem rechtsextremen Spektrum stammt“. Hasspostings verzeichneten 2024 einen Anstieg von 34 %. Die Studie „Lauter Hass, leiser Rückzug“ zeigt, dass fast jede zweite Person online beleidigt wurde und ein Viertel mit körperlicher Gewalt bedroht wurde. Jutta Brennauer betont: „Hass im Netz kann zwar alle treffen, aber er trifft nicht alle gleich.“ Besonders betroffen sind „junge Frauen, Menschen mit Rassismuserfahrung, queere Menschen, Menschen mit sichtbarem Migrationshintergrund“.

Digitale Gewalt hat ernste Folgen, die oft unterschätzt werden. „Nur weil er online erlebt wird, auf sozialen Medien zum Beispiel, hat er aber auch Auswirkungen auf die Offline-Welt“, erklärt Brennauer. Betroffene leiden unter „körperlichen, psychischen Folgen, aber auch beruflichen Folgen“, wie Depressionen oder Schlafstörungen. Journalist*innen ziehen sich aufgrund dieser Erfahrungen aus ihrem Beruf zurück. Die Verharmlosung digitaler Gewalt wird der Schwere des Themas nicht gerecht.

Frauen wird schnell die Kompetenz abgesprochen

Tabea Hartwich, Social-Media-Managerin bei der Heise Gruppe, berichtet, dass auf Unternehmensaccounts meist positive Resonanz herrscht. Anders ist es bei Videos, die Personen zeigen. „Da ist der Ton dann schon rauer geworden“. Frauen im technischen Bereich erleben häufig, dass ihnen „das Fachwissen abgesprochen wird“. Sie werden auch schnell aufgrund ihres Aussehens angegriffen, während bei Männern das Aussehen „überhaupt gar kein Thema“ ist. Sie führt das darauf zurück, dass Frauen mit Technik-Wissen „von der Norm abweichen, von dem, was die Menschen quasi sich vorstellen, wie jemand auszusehen hat“. Eine Kollegin zog sich nach „harschen Beleidigungen“ von der Kamera zurück. Das ist problematisch, da Frauen im MINT-Bereich unterrepräsentiert sind und der heranwachsenden Generation weibliche Vorbilder fehlen.

Die Moderation auf verschiedenen Plattformen unterscheidet sich. Tabea Hartwich beschreibt Facebook als die „kritischste Plattform“, auf der „die schlimmsten Kommentare geschrieben werden“ und sich Unterdiskussionen entwickeln. Hier hilft die Funktion, Kommentare zu verbergen. TikTok sei zumindest bei den von ihr betreuten Unternehmensaccounts „insgesamt ruhiger“. Aber wenn dort ein „Hate-Train losgefahren ist, dann kann man den nicht mehr aufhalten“. Social-Media-Manager*innen müssen Postings „sehr lange beobachten“, da Algorithmen alte Beiträge jederzeit wieder pushen können. Wenn der Hass sich nicht eindämmen lässt, muss ein Beitrag sogar offline genommen oder die Kommentarfunktion eingeschränkt werden.

Die Meldewege auf Plattformen sind oft nicht optimal, auch wenn der Digital Services Act (DSA) eine Standardisierung bringt. Jutta Brennauer und die Neuen deutschen Medienmacher*innen fordern „einfache und schnelle Meldewege“ sowie „sensibilisierte, besser geschulte Strafverfolgungsbehörden“. Nur fünf Prozent der Betroffenen entscheiden sich, Anzeige zu erstatten, da die Hürden zu hoch sind und Verfahren lange dauern und Kosten verursachen. Bislang brauchen Menschen, die sich öffentlich engagieren, ein dickes Fell. Doch Widerstand lohnt sich: Beleidigungen sind strafbar und können vor Gericht kommen.

„Bits & Böses“ erscheint alle zwei Wochen überall, wo es Podcasts gibt. Wenn Sie keine Folge verpassen wollen, können Sie „Bits & Böses“ hier abonnieren.

(igr)