Die heutige Degitalisierung wird sehr tierisch. Denn manchmal lässt sich menschliches Verhalten besser beschreiben, wenn wir es mit tierischen Verhaltensweisen vergleichen. Denn irgendwie sind Menschen ja auch Herdentiere, mit oftmals frappierend ähnlichen Verhaltensweisen.

Bei Herdentieren wie Rindern, Schafen oder Pferden kann es – oftmals unerklärlich – eine unvermittelte Fluchtbewegung geben, die die ganze Herde umfasst. Eine Stampede. Ein paar wenige Mitglieder einer Herde versetzen so mittels einer positiven Rückkopplung die ganze Herde in Bewegung, die dann ziellos in irgendeine Richtung läuft. Die Positivität der Rückkopplung ist dabei weniger als Wertung des Effekts zu verstehen, sondern als eine Beschreibung, ob die Rückkopplung einen Effekt verstärkt. Was genau der Auslöser dieser Rückkopplung ist, ist am Ende gar nicht mehr so klar, am Ende bleibt aber oftmals Chaos und Verwüstung.

Positive Rückkopplung ist aber auch oftmals eine der Triebfedern von digitalen Anwendungen und Geschäftsmodellen. Der Informatiker Luis von Ahn etwa baute 2007 ein System zur Erkennung von Bots namens ReCAPTCHA, bei dem Menschen sich nicht durch bestimmte Handlungen von maschinellen Bots abgrenzen, sondern gleichzeitig auch Teile von Büchern digitalisieren. Wort für Wort, Boterkennung für Boterkennung.

2011 arbeitete von Ahn dann an Duolingo, einer Anwendung zum Erlernen von Sprachen. Duolingo ist dabei vor allem aufgebaut auf dem Prinzip der positiven Rückkopplung mittels Gamification. Das Lernen von Sprachen wird dabei nicht zum bloßen Pauken von Vokabeln und Erlernen von Grammatikregeln. Sondern es wird zum Spiel, bei dem es gilt, möglichst lange dabei zu bleiben, immer höhere Level zu erreichen und seinen Streak, eine möglichst lange Nutzungskontinuität, am Leben zu halten.

Flow und Stop

Psychologisch gesehen hat Duolingo das Prinzip des sogenannten Flow) bestmöglich ausgenutzt. Flow wurde durch Mihály Csíkszentmihályi beschrieben als ein optimaler mentaler Zustand zwischen Unter- und Überforderung, der zur völligen Vertiefung und zum völligen Aufgehen in einer Tätigkeit führen kann, die ansonsten eigentlich eher nicht plausibel scheinen würde. War das Lernen von Sprechen früher vielleicht nerviges Pauken, das Jugendliche widerwillig machen mussten, führt der durch Gamification erzeugte Flow dazu, dass es plötzlich Spaß macht, Sprachen zu lernen.

Wahrscheinlich hätte dieses Prinzip der positiven Rückkopplung für Duolingo noch für Generationen weiter funktioniert und hätte das dahinterstehende Unternehmen lange finanziell erfolgreich gehalten, wäre da nicht ein Bruch im Flow entstanden. Wegen sogenannter künstlicher Intelligenz.

Am 28. April postete von Ahn als CEO von Duolingo die Inhalte einer E-Mail, die er gerade an alle Mitarbeitenden von Duolingo versendet hatte. Duolingo müsse nun eine „AI-first“-Organisation werden. Angekündigt wurden dann Maßnahmen wie Mitarbeiterbewertungen mittels KI, Auslagern von Arbeit an KI, die bisher von Unterauftragnehmern erledigt wurde, und so weiter. Die Reaktion auf diese Pläne folgte sofort: Langjährige Nutzer*innen beendeten ihre mühsam aufrechterhaltenen Streaks öffentlichkeitswirksam in den sozialen Netzwerken, in denen Duolingo eigentlich gut positioniert war. Die kostenpflichtigen Abos gingen zurück und am Ende konnte sich von Ahn gar nicht so genau erklären, wieso dieser Backlash jetzt genau entstand. Der Flow, der zu positiver Rückkopplung führt, kann auch genauso schnell wieder abrupt stoppen und die ganze Herde zum Stillstand bringen.

Aber vielleicht war „AI-first“ zumindest ja finanziell erfolgreich? Ja und Nein.

Herden marodierender Investments

Aktienmärkte und Investoren sind eine weitere seltsame Herde von Menschen, die oftmals eher impulsiv reagieren. Aktien steigen oft durch positive Rückkopplungseffekte noch weiter. Ist die generelle wirtschaftliche Lage gut, wird auf die vermeintlich richtigen Trends in der Zukunft gesetzt oder gibt es politisch gute Signale, wird der eigene wirtschaftliche Erfolg noch einmal weiter gesteigert. Ist die generelle wirtschaftliche Lage schlecht und erweisen sich die vermeintlich bislang als richtig angenommenen Trends als nicht so profitabel, geht es schnell nach unten.

In den vergangenen Jahren war KI der Indikator für eine gute wirtschaftliche Zukunftsaussicht. Trotz des Kanons von Problemen, in den ich jetzt routinemäßig einstimmen möchte: große Probleme wie Bias, digitaler Kolonialismus, immenser Ressourcen- und Energieverbrauch, hohe Machtkonzentration, ungehemmter Datenkonsum, Wegbereitung des Faschismus, Plagiarismus und Desinformation.

Da der Aktienmarkt aber selten eine besonders hohe Moral oder Bedenken diesbezüglich hat, ist das oftmals einerlei. Herden marodierender Investor-Konsortien oder eine ganze Kaste von Manager*innen, die sich von ihrem eigentlichen Produktsinn und dem damit entstehenden Wert immer weiter entfremden, sehen ihren Erfolg ja oftmals in kurz- bis mittelfristigen Quartalszahlen, nicht in der Schaffung von langfristigen Werten. Der Markt sah es in den letzten Jahren als unabdingbar an, KI in quasi jegliches Produkt zu integrieren, unabhängig davon, ob das irgendwie sinnvoll ist.

Kurzfristige Gefühlswallungen von vermeintlich erwachsenen Menschen, die mit sehr viel Geld die Ausrichtung des Wirtschaftssystems beeinflussen können, führen zu „AI-first“-Entscheidungen, die vor allem Menschen schaden. Einerseits durch Jobabbau, andererseits durch instabile, schädliche digitale Produkte. Chatbots, deren auch wirtschaftlich motivierte, besonders menschliche Anmutung Menschen in Psychosen oder den Suizid treiben. Immer weiter fortschreitende KI‑sierung der Bildung, die letztlich zu weniger kritischem Denken und Hirnaktivität führt.

Weil das aber oftmals wirtschaftlich noch nicht reicht, sich auch über solche moralischen Probleme hinwegzusetzen, braucht KI im Unternehmensumfeld heutzutage teils sehr spezielle Incentivierung. Wenn die Herde nicht von alleine läuft, muss sie getrieben werden. Ethan Marcotte listet in seinem Beitrag über KI als gescheiterte Technologie einige dieser Beispiele auf. Tech-Unternehmen wie Zapier, Shopify oder Microsoft, die KI auf Unternehmensebene mit teils absurden Maßnahmen durchdrücken (müssen).

Plop?

Gegen Ende dieser Kolumne ist es damit Zeit, die von KI-Enthusiasmus angesteckte Herde wieder einzuhegen.

Nun gibt es speziell in Europa immer noch Politiker*innen und Unternehmen, die der Herde von marodierenden Investments hinterherlaufen. Weil sie immer noch das Gefühl haben, den Anschluss zu verpassen. Da ist die Bundesregierung, die in der vergangenen Woche die Hightech-Agenda hyped, ein Digitalminister, der noch von Superintelligenz fabuliert bei der Eröffnung des ersten größeren KI-Rechenzentrums in München.

Dabei sind die Zeichen für ein Platzen der KI-Blase gerade durchaus häufiger zu finden. In Wirtschaftsnachrichten wird schon mal durchgedacht und gerechnet [€], was passiert, wenn. Ehemals angesehene Digitalexperten bringen schon mal die Schäfchen ins Trockene [€]. Parallelen zum Dotcom-Hype werden skizziert. Weil die erhofften immensen Renditen nicht so wirklich zu machen sind.

Entlassungen von AI-first-Unternehmen werden still und leise teilweise wieder zurückgenommen, oftmals aber dann mit neuen Mitarbeitenden zu schlechteren Löhnen anderswo. KI in der heutigen Form ist nichts anderes als eine andere Form der Unterdrückung der Mitarbeitenden, ein Mittel, um niedrigere Löhne durchzusetzen.

Sei ein Esel

Im Umgang mit Technologie, Digitalisierung und vermeintlicher Innovation brauchen wir dabei nicht hinter den anderen aufgescheuchten Innovationsherdentieren ohne eigenen Plan hinterherzulaufen, sondern vielleicht ein besseres Wappentier: den Esel.

Esel werden oftmals als störrisch und stur wahrgenommen, weil sie nicht sofort auf Anweisungen hören. Dabei sind Esel Tiere mit hoher Intelligenz und hohem Bewusstsein. Auch wenn Esel und Pferde beides Fluchttiere sind, reagieren sie in Gefahrensituationen jeweils anders. Im Moment der Gefahr bleibt der Esel erst mal stehen und analysiert die Situation, er läuft nicht einfach wild weg oder hinterher.

Ein einfacher Esel hat damit mehr Bewusstsein als jede noch so komplexe und teure KI, die in der heutigen Form ohnehin nie Bewusstsein erreichen wird. Ein einfacher Esel hat damit mehr Bewusstsein als die geradezu schreckhaft reagierende Geschäfts- und Aktienhandelswelt, die wild der Gefahr von verpassten zweifelhaften Chancen hinterherläuft. Zu gegebener Zeit ist es besser, eher wie ein Esel zu sein und dementsprechend zu handeln.

Was uns Menschen aber vom Esel hoffentlich noch weiter positiv abhebt: dass wir uns als Menschen gemeinsam für etwas Sinnvolles einsetzen können. Zum Schluss möchte ich auf Mike Monteiros Talk How to draw an orange verweisen. In einer zutiefst menschlichen und herzlichen Perspektive erinnert er uns daran, dass KI und technische Veränderungen zum Nachteil der Menschen keine unausweichliche Kraft sind, keine Stampede, bei der wir mitfliehen müssen. Es ist keine Kraft, vor der wir nicht ausweichen können. Wir können uns als Gruppe gegen Strukturen und Technologien gegen Menschen stellen, weil wir das schon mal in der Geschichte der Menschheit getan haben. Auch wenn es manchmal erst einmal schlimmer werden muss, damit Menschen sich aufraffen und sich der Unsinnigkeit des eigenen Handelns bewusst werden.

Manchmal ist es besser, ein Esel zu sein.

Am 19. November will die EU-Kommission einen Vorschlag für eine Generalüberholung ihrer Digitalregulierung vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen. Derzeit verdichten sich die Hinweise, dass in diesem Rahmen auch die Datenschutzgrundverordnung (DSGVO) erheblich aufgebohrt werden könnte.

Freie Fahrt für pseudonymisierte Daten

So berichtet heise online von jüngsten Äußerungen der mächtigen Kommissionsbeamtin Renate Nikolay. Als stellvertretende Generaldirektorin der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG Connect) verantwortet sie den digitalen Omnibus. Bei einer Veranstaltung des Bundesverbands Digitalwirtschaft (BVDW) habe sie unter anderem angekündigt, dass das Thema Online-Tracking künftig nicht mehr in der auch als „Cookie-Richtlinie“ bekannten ePrivacy-Richtlinie, sondern nur noch in der DSGVO geregelt werden soll. Bislang überschneiden sich die Regeln aus beiden Rechtsakten.

[Update am Ende des Textes: Euractiv berichtet, dass die Kommission das „legitime Interesse“ als Rechtsgrundlage für Online-Tracking etablieren will.]

Welche inhaltliche Richtung die Kommission hierbei konkret einschlagen will, sagte Nikolay nicht. Aufhorchen lässt in diesem Zusammenhang jedoch eine zweite Ankündigung: So will die Kommission offenbar die Nutzungsmöglichkeiten pseudonymisierter Daten ausweiten. Der Europäische Gerichtshof habe den Spielraum hierfür in seiner Rechtsprechung kürzlich erweitert, so Nikolay laut heise online.

Das Thema ist deshalb brisant, weil die Datenindustrie seit langem versucht, pseudonymisierte Daten beispielsweise beim Online-Tracking als harmlos darzustellen. Datenhändler bewerben Datensätze mit pseudonymisierten personenbezogenen Daten irreführend als „anonym“. Pseudonymisierung bedeutet in der Regel jedoch, dass bei der Profilbildung statt eines direkten Identifikationsmerkmales wie eines Namens oder einer Telefonnummer etwa ein Zahlenschlüssel vergeben wird.

Erst in dieser Woche demonstrierte eine Recherche von netzpolitik.org und internationalen Partnermedien, wie leicht sich pseudonymisierte Daten aus der Online-Werbeindustrie nutzen lassen, um auch hochrangiges Personal der EU auszuspionieren. Die EU-Kommission zeigt sich „besorgt“. Sollte sie nun tatsächlich den Schutz für pseudonymisierte Daten einschränken, könnte sie die von uns aufgedeckte illegale Massenüberwachung durch Werbe-Tracking und Datenhandel legalisieren.

Weniger Schutz für sensible Daten

Mehrere Quellen bestätigten netzpolitik.org, dass die Generaldirektion Connect auch plane, den Schutz von sensiblen Daten einzuschränken. Nach Artikel 9 der DSGVO sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will nun offenbar erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, aus denen oben genannte Informationen explizit hervorgehen. Als sensibel würde dann beispielsweise noch die Aussage einer Person gelten, dass sie sich wegen Suchtproblemen in Behandlung befinde. Standortdaten, aus denen Besuche in einer Suchtklinik ersichtlich sind, würden dann vermutlich nicht mehr darunterfallen.

Dies steht im Widerspruch zur Rechtsprechung des Europäischen Gerichtshofes, der in einem Urteil kürzlich eine weite Definition sensibler Daten bestätigt hatte. Explizit sagte das Gericht, dass auch abgeleitete Informationen unter Artikel 9 DSGVO fallen können.

KI-Training: Freifahrtschein für Tech-Konzerne

Auch bei anderen Themen deutet sich an, dass die Kommission Änderungen anstrebt, die einen Kahlschlag beim Datenschutz bedeuten könnten. So plane die EU-Kommission laut dem Nachrichtendienst MLex [hinter Paywall], die Verwendung personenbezogener Daten für das Training von KI-Modellen datenschutzrechtlich grundsätzlich zu erlauben.

Machine-Learning-Systeme, die heute hinter vielen KI-Anwendungen wie Chatbots oder Bildgeneratoren stehen, müssen mit großen Datenmengen trainiert werden. Milliardenschwere Tech-Unternehmen wie Google, Meta oder OpenAI sammeln hierfür massenweise Daten aus dem Internet oder bedienen sich an den Daten ihrer Nutzer:innen. Geht es nach der EU-Kommission, sollen sie Letzteres künftig tun können, ohne ihre Nutzer:innen vorab um Erlaubnis fragen zu müssen.

Erst vor wenigen Monaten hatte der Meta-Konzern für einen öffentlichen Aufschrei gesorgt, als er alle öffentlichen Daten seiner Nutzer:innen für das Training seiner Meta AI verwendet. Eine Widerspruchsmöglichkeit bot er nur versteckt an.

Als Rechtsgrundlage für ihr Vorgehen berufen sich Tech-Konzerne meist auf ihr „legitimes Interesse“. Diese Position ist rechtlich umstritten, wurde im Grundsatz jedoch von Datenschutzbehörden und in einem Eilverfahren auch von einem Verwaltungsgericht bestätigt. Um keinen Interpretationsspielraum mehr zu lassen, will die EU-Kommission nun offenbar gesetzlich festschreiben, dass das legitime Interesse als Rechtsgrundlage ausreicht.

„Vom Datenschutz wird nichts mehr übrigbleiben“, kommentiert der ehemalige Kommissionsdirektor Paul Nemitz den Bericht von MLex auf LinkedIn. Er ist einer der Gründerväter der Datenschutzgrundverordnung und lehrt heute Rechtswissenschaften am College of Europe. Das Vorhaben mache „das Leben von Menschen, ausgedrückt in personenbezogenen Daten, zum Gegenstand einer allgemeinen maschinellen Erfassung“ und verstoße gegen die Grundrechte-Charta der EU.

Bundesregierung will Auskunftsrecht einschränken

Laut MLex plant die EU-Kommission auch Betroffenenrechte einzuschränken. So sollen Menschen künftig weniger Möglichkeiten haben, bei Unternehmen oder Behörden zu erfragen, ob und für welche Zwecke diese ihre Daten verarbeiten.

Für die Beschneidung des Rechts auf Datenauskunft hatte sich kürzlich auch die deutsche Regierung ausgesprochen. In einem German Proposal for simplification of the GDPR, schlägt die Bundesregierung der EU-Kommission vor, Schutzmaßnahmen gegen „missbräuchliche Auskunftsersuchen“ einzurichten. So würden Einzelpersonen „ihre Unzufriedenheit mit dem Staat und seinen Institutionen zum Ausdruck bringen, indem sie Auskunftsverfahren nutzen, um künstlich langwierige und ressourcenintensive Streitigkeiten zu schaffen“.

Auch grundsätzliche Reformwünsche, die über den anstehenden digitalen Omnibus hinausgehen, richtet die Bundesregierung an die EU. So soll die Kommission überprüfen, ob die Datenschutzgrundverordnung tatsächlich einen Wettbewerbsvorteil für europäische Unternehmen biete oder ob sie nicht sogar „Chilling Effects“ habe. Damit sind abschreckende Effekte gemeint, die europäische Unternehmen davon abhalten könnten, Prozesse zu digitalisieren.

Bereits in ihrem Koalitionsvertrag hatten Union und SPD den Wunsch festgehalten, Ausnahmen der DSGVO für nicht-kommerzielle Akteure und für Datenverarbeitungen mit geringem Risiko zu schaffen. Diesen Wunsch wiederholt die Bundesregierung in dem Papier.

Gegen Ende des 19-seitigen Dokuments findet sich nur ein einziger Vorschlag, mit dem Schwarz-Rot den Datenschutz stärken will: Die Regierung regt an, auch Hersteller und Vertreiber von Software und Diensten haftbar zu machen, die bislang für Datenschutzverstöße ihrer Produkte keine Verantwortung übernehmen müssen.

Die Reformwelle rollt erst los

Ob und welche Ideen die Kommission tatsächlich zur Umsetzung vorschlagen wird, erfährt die Öffentlichkeit voraussichtlich erst am 19. November. In der Kommission kann die Generaldirektion Connect von Renate Nikolay nicht allein über den digitalen Omnibus entscheiden. Die Datenschutzgrundverordnung obliegt der Generaldirektion Justiz und Verbraucher.

Nach Veröffentlichung der Vorschläge werden das EU-Parlament und der Rat der Mitgliedstaaten dann eigene Positionen zum Gesetzespaket vorlegen. Später in diesem Jahr wird die EU-Kommission ein weiteres Reformvorhaben vorlegen, das sogenannte Digital Package. Auch dieses könnte gravierende Änderungen an der Datenschutzgrundverordnung enthalten.

—
Update, 07.11.2025, 11:30 Uhr: Inzwischen kursiert ein Entwurf der EU-Kommission für den digitalen Omnibus. Euractiv berichtet darüber [hinter Paywall] mit Blick auf den Datenschutz. Demzufolge könnten künftig auch nicht-notwendige Cookies auf Basis der Rechtsgrundlage des legitimen Interesses gesetzt werden. Nutzer:innen müssten dann nicht mehr vorab gefragt werden, bevor sie für Werbezwecke überwacht werden. Tracking-Firmen und Datenhändler dürften sich freuen.

Dieser Text ist Teil der Recherche-Reihe zu den Databroker Files.

Handy-Standortdaten bedrohen nicht nur die Privatsphäre, sondern auch die Sicherheit der Europäischen Union. Angeblich ausschließlich für Werbezwecke erhoben, fließen sie über Smartphone-Apps in die Hände von Databrokern und von dort an alle, die sich dafür interessieren. Anhand von zwei kostenlosen Vorschau-Datensätzen mit 278 Millionen Handy-Ortungen konnte ein Recherche-Team um netzpolitik.org demonstrieren, wie leicht sich solche Daten für Spionage nutzen lassen.

Gemeinsam mit dem Bayerischen Rundfunk, Le Monde aus Frankreich, L’Echo aus Belgien und BNR aus den Niederlanden fanden wir Bewegungsprofile von teils hochrangigem EU-Personal in den Daten. So konnte das Team etwa die Bewegungen einer Person verfolgen, die in einem Kommissionspräsidentin Ursula von der Leyen (CDU) unterstellten Bereich tätig ist – vom Arbeitsplatz bis zur Privatadresse.

Die EU-Kommission teilte mit: „Wir sind besorgt.“ Abgeordnete des EU-Parlaments forderten mit Nachdruck Konsequenzen, gerade mit Blick auf eine militärische Bedrohung durch Russland. In Reaktion auf unsere Presseanfragen zur Recherche habe die Kommission ihren Mitarbeitenden am 23. Oktober neue Richtlinien für Werbe-Tracking auf Dienst- und Privatgeräten vorgelegt. Außerdem habe sie weitere Einrichtungen der EU informiert.

Eine zentrale Anlaufstelle für Fragen der IT-Sicherheit in der EU ist der Cybersicherheitsdienst CERT-EU. Er soll dazu beitragen, die IT „aller Organe, Einrichtungen und sonstigen Stellen der EU“ sicherer zu machen. Am 4. November, einige Stunden nach Veröffentlichung der Recherchen, erhielten mindestens Angestellte des EU-Parlaments eine Rundmail mit Empfehlungen des CERT-EU auf Englisch und Französisch. Thema: „Bewährte Verfahren für die Sicherheit mobiler Geräte“.

Die Empfehlungen handeln davon, wie sich Werbe-Tracking und Standortzugriffe am Handy einschränken lassen. Ausdrücklich werden auch private Geräte erwähnt. Hier veröffentlichten wir die E-Mail im Volltext.

Alle sollen personalisierte Werbung abschalten

Die Empfehlungen des Cybersicherheitsdiensts enthalten keine Hinweise auf die jüngsten Recherchen von netzpolitik.org und Partnermedien. Sie gehen nicht darauf ein, welche konkreten Gefahren hinter Standort-Tracking stecken – etwa, dass sich mit Handy-Standortdaten metergenaue Bewegungsprofile erstellen lassen. Aus solchen Profilen lassen sich oftmals mühelos Arbeitsplatz und Privatadressen ablesen, ebenso private Ausflüge sowie Besuche in Arztpraxen, Kitas, Restaurants oder gar Bordellen. Entsprechend hoch sind die Gefahren für Spionage sowie die Privatsphäre.

Stattdessen weist die E-Mail unscheinbar darauf hin, die Empfehlungen wurden „zur Unterstützung der IT-Sicherheit“ herausgegeben. Unsere Fragen zum Zusammenhang der E-Mail des CERT-EU mit den Databroker Files ließ die EU-Kommission unbeantwortet. Sie wollte auch nicht offenlegen, welche Rundmail zuvor Angestellte der EU-Kommission erhalten haben.

Sieben Wege, um deinen Standort vor Databrokern zu schützen

Im Wesentlichen decken sich die Empfehlungen des CERT-EU mit denen, die etwa netzpolitik.org im Zuge der Recherchen zu den Databroker Files veröffentlicht hat. Es geht darum, so wenigen Apps wie möglich Zugriff auf Standortdaten zu gewähren, und das nur, wenn es nötig ist. Mit wenigen Klicks sollen EU-Mitarbeitende zudem personalisierte Werbung abschalten, indem sie ihre Werbe-ID tilgen.

Diese sogenannte Mobile Advertising ID (MAID) ist wie ein Nummernschild fürs Handy. Von Databrokern verbreitete Handy-Standortdaten sind oftmals mit einer solchen Werbe-ID versehen, wodurch sich Geräte – und ihre Besitzer*innen – einfach ausspionieren lassen. Von der ursprünglich für Werbetreibende gedachten Kennung profitieren also auch Überwachungsfirmen. Google und Apple sind dafür verantwortlich, dass die verräterischen Werbe-IDs ab Werk aktiv sind.

Berechtigungen nach jedem Update prüfen

Geht es nach dem Cybersicherheitsdienst der EU, sollten sich EU-Mitarbeitende zudem kontinuierlich und regelmäßig der IT-Sicherheit ihrer Handys widmen. Insgesamt sieben Empfehlungen handeln davon, etwas zu blockieren oder abzulehnen („disable“, „block“, „deny“, „turn off“). Nutzende sollten „monatlich und möglichst nach jedem Update“ die Zugriffsberechtigungen von Apps prüfen.

Nach eigenen Angaben arbeiten für die EU rund 60.000 Beamt*innen und sonstige Angestellte. Wie realistisch ist es, dass die meisten diesen Empfehlungen folgen?

Doch nicht nur EU-Personal ist von der Massenüberwachung durch Handy-Standortdaten betroffen, sondern potenziell alle, die ein Smartphone nutzen. Insgesamt leben in der Europäischen Union rund 450 Millionen Menschen. Sollten nicht auch sie „monatlich und möglichst nach jedem Update“ die Zugriffsberechtigungen ihrer Apps prüfen?

Fachleute aus Politik und Zivilgesellschaft fordern seit Jahren ein Verbot von Tracking und Profilbildung für Werbezwecke. Auf diese Weise würde Databrokern der Nachschub an Daten ausgehen und Nutzer*innen müssten nicht zu Expert*innen für digitale Selbstverteidigung werden, um ihr Grundrecht auf Privatsphäre zu schützen.

In Deutschland setzt sich etwa der Verbraucherzentrale Bundesverband für ein solches Verbot ein und verlangt entsprechende Regeln im kommenden Digital Fairness Act. In der Vergangenheit hatten sich Bestrebungen zur wirksameren Eindämmung von Tracking in der EU-Gesetzgebung nicht durchsetzen können. Nach wie vor sprechen sich EU-Abgeordnete vehement für ein Tracking-Verbot aus, zuletzt Alexandra Geese (Greens/EFA) gegenüber netzpolitik.org.

EU-Kommission will Datenschutz eher schwächen als stärken

Die EU-Kommission sieht mit Blick auf unsere Recherchen jedoch keinen Bedarf für strengere Gesetze. Vielmehr droht, dass die Kommission im Rahmen der Vereinfachung von Digitalgesetzen den europäischen Datenschutz weiter schwächt. Wenn es um den illegalen Handel mit Standortdaten geht, sollen Mitgliedstaaten die Datenschutzgrundverordnung über ihre Aufsichtsbehörden durchsetzen, wie die Kommission mitteilt.

Das Wichtigste zur Spionage-Gefahr durch Handy-Standortdaten in der EU

Unsere Recherchen zeigen jedoch, wie Datenschutzbehörden mit ihren bisherigen Bemühungen zum Datenhandel allenfalls an der Oberfläche kratzen. Im Ökosystem der Werbeindustrie können Daten auf so vielen Wegen abfließen, dass Behörden und Nutzer*innen wie vor einem dichten Dschungel stehen. Selbst auf Privatsphäre bedachte Nutzer*innen können sich nur bedingt schützen, wenn sie nicht auf einen Großteil populärer Dienste verzichten wollen.

Ein Verbot von Tracking und Profilbildung für Werbezwecke würde auch EU-Mitarbeitende vor Spionage schützen. Stattdessen haben sie eine Rundmail bekommen. Sie und andere Nutzer*innen müssen sich demnach selbst helfen – „monatlich und möglichst nach jedem Update“.

Rundmail: „Mobile device security good practice“

Dear colleague,

Mobile devices are now the main way in which we communicate, shop, bank, or check out social media. Increasingly, EU entities rely on services that staff can access from their personal devices. This complicates the enforcement of cybersecurity best practices and allows for the possibility of staff exposing personal data or accidentally leaking corporate data.

To help with IT security, the Cybersecurity Service for the Union institutions, bodies, offices and agencies (CERT-EU) has issued advice to staff for protecting their data and privacy. Therefore, we would like to bring to your attention the following recommendations addressing tracking prevention on mobile devices.

Location permissions and metadata

• Disable location services when not needed and limit location tracking, including options like Significant Locations and Precise Location on iOS or Location accuracy on Android
• Review app permissions regularly and cancel unnecessary permissions. Only allow location access for apps that need it to function, like maps or traffic apps, and only while using the app
• Use Allow Once function: audit monthly and, if possible, after every update
• Block all location requests to browsers
• Block unnecessary notification requests from websites
• Disable location history and geotagging. Clear your existing location history
• Disable geotagging on your photos and videos to prevent apps from storing or sharing your location data. If geotagging is needed for personal use, then read the vendor’s documentation on how to clean GPS metadata from photos before sharing

Ad-tracking limiters

• Turn off personalised ads. For iOS: Settings > Privacy & Security > Tracking. For Android: Setting > Security and privacy > More privacy settings > Ads (some versions or models may differ)

Fitness/social apps

• Deny location to running, cycling or social apps if possible. Set exercise routes to private
• Be cautious about social-media posts: avoid real-time location or check-ins and check the picture for any unintended background detail before you share

Bonnes pratiques en matière de sécurité des appareils mobiles

Cher collègue,

Les appareils mobiles sont désormais le principal moyen que nous utilisons pour communiquer, faire des achats, effectuer des opérations bancaires ou consulter les réseaux sociaux. Les entités de l’UE s’appuient de plus en plus sur des services auxquels le personnel peut accéder à partir de ses appareils personnels. Cela complique l’application des bonnes pratiques en matière de cybersécurité et augmente le risque que le personnel expose des données à caractère personnel ou divulgue accidentellement des données d’entreprise.

Afin de contribuer à la sécurité informatique, le service de cybersécurité des institutions, organes et organismes de l’Union (CERT-EU) a émis des conseils à l’intention du personnel pour protéger leurs données et leur vie privée. Nous souhaitons donc attirer votre attention sur les recommandations suivantes concernant la prévention du suivi sur les appareils mobiles.

Autorisations de localisation et métadonnées

• Désactivez les services de localisation lorsque vous n’en avez pas besoin et limitez le suivi de localisation, notamment les options telles que «Lieux importants» et «Localisation précise» sur iOS ou «Précision de la localisation» sur Android.
• Vérifiez régulièrement les autorisations des applications et supprimez celles qui ne sont pas nécessaires. N’autorisez l’accès à la localisation qu’aux applications qui en ont besoin pour fonctionner, comme les applications de cartographie ou de trafic, et uniquement pendant l’utilisation de l’application.
• Utilisez la fonction «Autoriser une fois»: vérifiez-la tous les mois et, si possible, après chaque mise à jour
• Bloquez toutes les demandes de localisation adressées aux navigateurs.
• Bloquez les demandes de notification inutiles provenant de sites web.
• Désactivez l’historique de localisation et la géolocalisation. Effacez votre historique de localisation existant.
• Désactivez la géolocalisation sur vos photos et vidéos afin d’empêcher les applications de stocker ou de partager vos données de localisation. Si la géolocalisation est nécessaire pour un usage personnel, lisez la documentation du vendeur sur la manière de nettoyer les métadonnées GPS des photos avant de les partager.

Limiteurs de suivi publicitaire

• Désactivez les annonces personnalisées. Pour iOS: Paramètres > Confidentialité et sécurité > Suivi. Pour Android: Paramètres > Sécurité et confidentialité > Plus de paramètres de confidentialité > Publicités (certaines versions ou certains modèles peuvent différer)

Applications de fitness/réseaux sociaux

• Si possible, refusez de partager votre position avec les applications de course à pied, de cyclisme ou les réseaux sociaux. Définissez vos itinéraires d’entraînement comme privés.
• Soyez prudent lorsque vous publiez sur les réseaux sociaux: évitez de partager votre position en temps réel ou de vous enregistrer à un endroit, et vérifiez qu’il n’y a pas de détail d’arrière-plan involontaire sur les photos avant de les partager.