Connect with us

Datenschutz & Sicherheit

Salesforce untersucht mögliche unbefugte Zugriffe von Gainsight-Apps


Salesforce untersucht derzeit ungewöhnliche Aktivitäten von Gainsight-Applications. Die Apps könnten unbefugten Zugriff auf Daten von Kundinnen und Kunden erlangt haben.

Weiterlesen nach der Anzeige

Das teilt das Salesforce auf seiner Webseite mit. „Salesforce hat ungewöhnliche Aktivitäten im Zusammenhang mit von Gainsight veröffentlichten Anwendungen festgestellt, die mit Salesforce verbunden sind und von Kunden selbst installiert und verwaltet werden. Unsere Untersuchungen deuten darauf hin, dass diese Aktivitäten möglicherweise einen unbefugten Zugriff auf die Salesforce-Daten bestimmter Kunden über die Verbindung der App ermöglicht haben“, schreibt das Unternehmen.


Hinweis auf Salesforce-Seite

Hinweis auf Salesforce-Seite

Auf der Webseite hat Salesforce einen Warnhinweis veröffentlicht.

(Bild: heise medien)

Nach der Entdeckung dieser Aktivitäten habe Salesforce alle aktiven Zugriffe zurückgezogen (revoke). Außerdem hat Salesforce die Erneuerung von Token angestoßen, mit denen die von Gainsight veröffentlichten und mit Salesforce verbundenen Apps Zugriff erlangen. Zudem hat das Unternehmen die Apps temporär aus dem AppExchange rausgeworfen, solange die Untersuchungen andauern.

Keine Hinweise auf Salesforce-Schwachstellen

Salesforce weist darauf hin, dass es keine Hinweise dafür gebe, dass das Problem auf Schwachstellen in der Salesforce-Plattform zurückgehe. Die Aktivitäten scheinen von den externen Verbindungen der Apps zu Salesforce auszugehen.

Kunden, bei denen Salesforce ungewöhnliche Aktivitäten beobachtet hat, will das Unternehmen direkt kontaktieren. Außerdem will Salesforce sie auf dem Laufenden halten.

Weiterlesen nach der Anzeige

Im Sommer hatten Cyberkriminelle es geschafft, mittels Voice-Phishing Mitarbeiter von renommierten Unternehmen zu überzeugen, entweder direkt Zugangsdaten zu deren Salesforce-Instanzen zu übermitteln oder sie dazu zu bringen, bösartige Apps aus dem AppExchange zu installieren. Darüber haben sie dann im großen Stil sensible Daten abgezogen und die betroffenen Unternehmen damit erpresst. Auf der Liste der Unternehmen fanden sich unter anderem Adidas, Asics, Cartier, Chanel, Cisco, Disney/Hulu, FedEx, Fujifilm, Google Adsense, HBO Max, Home Depot, IKEA, KFC, Marriott, McDonalds, Puma, Toyota, Stellantis und UPS, aber auch einige Fluglinien waren darunter.


(dmk)



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Nach großem Cyberangriff: US-Börsenaufsicht lässt Klage gegen Solarwinds fallen


Nach zwei Jahren hat die US-Börsenaufsicht ihre Klage gegen den US-Softwareanbieter Solarwinds und dessen Chief Information Security Officer (CISO) fallen lassen, in der es um einen weitreichenden Cyberangriff gegangen war. Das berichtet die Nachrichtenagentur Reuters unter Berufung auf die Securities and Exchange Commission (SEC). Damit endet ein mit großer Aufmerksamkeit verfolgtes Verfahren, in dem es um den weitreichenden Vorwurf gegangen ist, dass SolarWinds vor dem Angriff mit einer potenten Malware gewusst haben soll, dass die eigene IT mangelhaft war. Man hoffe, dass diese Entscheidung die Sorgen anderer Sicherheitschefs zerstreuen helfe, zitiert Reuters das Unternehmen. Das Vorgehen habe abschreckend gewirkt.

Weiterlesen nach der Anzeige

Erleichterung bei Solarwinds

In der Klage hat die SEC Solarwinds und CISO Timothy G. Brown persönlich vorgeworfen, „Investoren betrogen zu haben“. Die öffentlichen Äußerungen von Solarwinds über die hauseigenen Cybersicherheitspraktiken und -risiken hätten im Widerspruch zu internen Einschätzungen gestanden, der Betrug habe über zwei Jahre angedauert. Brown sei sich der Cybersicherheitsrisiken und -schwachstellen von SolarWinds bewusst gewesen, habe es aber versäumt, die Probleme zu lösen oder sie teilweise auch nur intern anzusprechen. Das Unternehmen hat das entschieden zurückgewiesen und erklärt, dass das Vorgehen die nationale Sicherheit der USA gefährden würde. Die Klage sollte Firmen und Cybersicherheitsexperten alarmieren, warnte Solarwinds damals.

Von dem Cyberangriff auf Solarwinds‘ Software für das IT- und Netzwerkmanagement waren 2019 zahlreiche Regierungsbehörden und Konzerne betroffen. Cyberkriminelle hatten unbemerkt Schadcode in deren Systeme eingeschleust. Die Angreifer mussten keine Code-Signing-Zertifikate oder -Schlüssel stehlen, da sie bösartigen Code bereits während des Build-Prozesses einfügten, die das Unternehmen am Ende der Entwicklung selbst signierte. Die Auswirkungen der Attacke waren gravierend, Microsoft-Präsident Brad Smith etwa sprach vom „größten und raffiniertesten Angriff, den die Welt je gesehen hat“.


(mho)



Source link

Weiterlesen

Datenschutz & Sicherheit

Was plant die EU-Kommission bei KI und Datenschutz?


Drei Personen in formellen Setting sprechen und scherzen miteinander
Offenbar auf einer Linie: Ursula von der Leyen, Emmanuel Macron und Friedrich Merz Ende Oktober in Brüssel. – Alle Rechte vorbehalten IMAGO / Anadolu Agency

Offiziell will die EU-Kommission mit ihrem gestern vorgestellten Omnibus-Paket eine Reihe europäischer Digitalgesetze in Einklang bringen. Das soll nach eigener Aussage vor allem kleinen und mittelständischen Unternehmen sowie europäischen Start-ups helfen.

Durch Bürokratieabbau, Vereinfachung der EU-Rechtsvorschriften und einen besseren Datenzugang „schaffen wir Raum für Innovationen und deren Vermarktung in Europa“, sagt die zuständige Kommissionsvizepräsidentin Henna Virkkunen. „Dies tun wir auf europäische Art und Weise: indem wir sicherstellen, dass die Grundrechte der Nutzer:innen in vollem Umfang geschützt bleiben.“

Vor allem die deutsche und die französische Regierung haben sich jüngst für weitgehende Änderungen und Deregulierung eingesetzt. Aber auch die US-Regierung hat in den vergangenen Monaten den Druck auf die EU und ihre Mitgliedsländer erhöht, die europäischen Standards bei den Datenschutz- und Verbraucherschutzrechten zu senken.

Wir beantworten die zentralen Fragen zum „Digitalen Omnibus“: Welche kritischen Veränderungen strebt die Kommission bei der Regulierung von sogenannter Künstlicher Intelligenz an? Inwiefern will sie den Datenschutz aufweichen? Und verschaffen weniger Cookie-Banner den Nutzer:innen mehr Rechte?

Was plant die EU-Kommission mit Blick auf die KI-Verordnung?

  • Die Kommission will die Umsetzung eines Teils der KI-Verordnung um fast eineinhalb Jahre nach hinten schieben. Das betrifft vor allem die sogenannten Hochrisiko-Systeme. Konkret geht es um zwei Fristen.
  • Erstens beim Einsatz bestimmter KI-Anwendungen, wie sie im Anhang III der KI-Verordnung definiert sind. Das betrifft Systeme, die etwa in Beschäftigungsverhältnissen, bei der Migrationskontrolle oder bei biometrischer Videoüberwachung zum Einsatz kommen.
    • Die ursprüngliche Frist für die Umsetzung dieser Regeln war der 2. August 2026. Nun sollen Unternehmen sechs Monate mehr Zeit erhalten, die hier genannten Anforderungen umzusetzen.
    • Zunächst aber muss die Kommission die hierfür erforderlichen Standards finalisieren. Das muss sie nun bis Juni 2027 tun, damit die Regeln, wie von der Kommission angekündigt, ab Dezember 2027 gelten können.
  • Zweitens verschieben sich die Umsetzungsfristen für hochriskante KI-Systeme etwa im Medizin-, Justiz- oder Maschinenbereich. Deren Vorgaben finden sich in Anhang I der KI-Verordnung. Solche Anbieter sollen die Vorgaben sogar erst ab Dezember 2028 einhalten.
  • In beiden Fällen will die Kommission die Regulierung offenkundig verzögern, damit europäische Anbieter im KI-Wettlauf aufholen können. Ebendies hatten Vertreter:innen der deutschen und der französischen Regierung auch auf dem „Gipfel zur Europäischen Digitalen Souveränität“ betont. Dabei geht die Kommission mit ihrem Vorschlag noch über die Forderungen der deutschen und französischen Regierung hinaus. Sie hatten eine Verzögerung von 12 Monaten gefordert. Als Begründung dafür gab Henna Virkkunen an, dass die Kommission die notwendigen Standards noch nicht ausgearbeitet habe.

Warum sollen KI-Systeme mit personenbezogenen Daten ohne Einwilligung trainiert werden dürfen?

  • In den vergangenen Jahren gab es wiederholt einen Aufschrei, wenn Unternehmen wie Meta oder LinkedIn entschieden, die Daten ihrer Nutzer:innen für das Training von KI-Modellen zu nutzen, ohne die Einwilligung ihrer Nutzer:innen einzuholen. Die Kommission will klarstellen, dass dies rechtmäßig ist.
  • Die Datenschutzgrundverordnung (DSGVO) sieht unterschiedliche Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten vor. Neben der Einwilligung, die Nutzer:innen den stärksten Schutz bieten soll, gibt es zum Beispiel auch das sogenannte berechtigte Interesse. Datenverarbeiter:innen müssen hierbei in einer Abwägung zu dem Schluss kommen, dass ihre Interessen die der Nutzer:innen überwiegen, müssen diesen aber eine Widerspruchsmöglichkeit anbieten.
  • Genau das haben Meta, LinkedIn und Co. getan – und die Widerspruchsmöglichkeit dabei so umständlich gestaltet, dass sie möglichst wenige Leute nutzen können.
  • Dagegen hatte die Verbraucherzentrale NRW mit einem Eilantrag beim Oberlandesgericht Köln geklagt und verloren. Zuvor hatte bereits der Europäische Datenschutzausschuss den Weg für KI-Training auf Basis des berechtigten Interesses geebnet.
  • Die EU-Kommission will diese Lesart nun gesetzlich festschreiben. Zum Schutz der Nutzer:innen soll es Informations- und Widerspruchsmöglichkeiten geben.
  • Das Problem: Einige Datenschutzexpert:innen kritisieren das „legitime Interesse“ als Rechtsgrundlage schon seit langem, unter anderem, weil die Risiken nicht absehbar seien. KI-Firmen könnten in der Regel nicht sagen, wessen Daten verarbeitet werden und ob dabei besonders geschützte sensible Daten eingeflossen seien, schrieb etwa Jura-Professorin Paulina Jo Pesch in einem Gastbeitrag auf netzpolitik.org.
  • Die EU-Kommission begründet den Freifahrtschein für das Training und den Betrieb von KI-Modellen damit, dass Europa im KI-Wettrennen aufholen soll und europäischen Firmen mehr Innovationen ermöglicht werden müsse. Der KI-Markt wird jedoch von großen Tech-Firmen aus den USA dominiert, sodass vor allem diese von dem Schritt profitieren dürften. Auf Nachfrage bei einer Pressekonferenz am Mittwoch konnte die Kommission nicht erklären, wie die Maßnahme europäischen Unternehmen beim Aufholen helfen soll.

Auf Crash-Kurs mit digitalen Grundrechten

Inwiefern will die Kommission die Datenschutzgrundverordnung einschränken?

  • Die Kommission will pseudonymisierte Daten überwiegend nicht mehr als personenbezogene Daten definieren und vom Schutz durch die DSGVO ausnehmen. Solche Ausnahmen soll es künftig etwa dann geben, wenn es unwahrscheinlich ist, dass der Datenverarbeiter eine betroffene Person über ihre Daten identifizieren kann.
  • Pseudonymisierung meint in der Regel, dass Daten keine direkten Identifikationsmerkmale wie den Namen oder die Telefonnummer einer Person enthalten. Stattdessen werden Pseudonyme vergeben, etwa individuelle IDs.
  • Das Problem: Anders als bei einer Anonymisierung ist es bei der Pseudonymisierung oft leicht möglich, die betroffene Person zu re-identifizieren. Wir haben das erst jüngst in der Databroker-Files-Recherche vorgeführt, bei der wir von Datenhändlern kostenlos Millionen Standortdaten aus Belgien erhielten. Die Daten enthielten keine Namen, sondern waren lediglich pseudonymen Werbe-IDs zugeordnet. So konnten wir die einzelnen Standorte zu Bewegungsprofilen zusammensetzen und mit einfachen Mitteln hochrangiges Personal der Europäischen Union identifizieren und ausspionieren.
  • Die EU-Kommission beruft sich bei ihrem Vorschlag auf ein Urteil des Europäischen Gerichtshofs. Dieser hatte die Definition personenbezogener Daten in der Vergangenheit mehrfach weit ausgelegt. Im September 2025 entschied er erstmalig, dass Pseudonymisierung dazu führen kann, dass diese Definition, was personenbezogene Daten sind, enger gefasst wird.
  • Kritiker:innen wenden ein, dass die Kommission mit ihrem Vorschlag weit über das Urteil des EuGH hinausgeht und zudem vorherige Rechtsprechung zur weiten Auslegung des Personenbezuges ignoriert.
  • Die Datenschutzorganisation noyb kritisiert zudem, dass der vorgeschlagene „subjektive Ansatz“, bei dem von Fall zu Fall entschieden wird, ob pseudonymisierte Daten personenbezogen sind, zu Chaos führen und Datenschutz verhindern werde. Das sei wie ein Waffengesetz, das nur dann gelte, wenn der Besitzer einer Waffe freiwillig sage, dass er damit jemanden erschießen wolle. Es drohten deshalb endlose Debatten darüber, was die tatsächlichen Möglichkeiten und Absichten eines Unternehmens zur Re-Identifikation sein könnten. Die DSGVO wäre dann kaum noch durchsetzbar.
  • Auch die Fraktionen der Sozialdemokraten, Liberalen und Grünen im Europaparlament warnten vor der Änderung. „Diese Definition schafft erhebliche Rechtsunsicherheit und große Lücken für Unternehmen und würde den Anwendungsbereich der Verordnung drastisch einschränken. Es stellt sich die Frage, ob die Verordnung dann überhaupt noch Adressaten hätte“, schrieben etwa führende sozialdemokratische Abgeordnete.

Was schlägt die Kommission zu Cookies vor?

  • Cookie-Banner gelten als Symbol für den gescheiterten Datenschutz im Netz. Unternehmen dürfen das Online-Verhalten von Menschen eigentlich nur tracken, wenn diese freiwillig und informiert zugestimmt haben. Cookie-Banner lassen Nutzer:innen aber oft weder eine freie Wahl, noch informieren sie sie ausreichend über das Tracking. Dabei kann eine Einwilligung hier weitgehende Folgen haben, denn Tracking-Firmen sehen sie als Freifahrtschein, um uns komplett zu durchleuchten, in Kategorien zu stecken und unsere Daten an Databroker zu verschleudern.
  • Die Kommission will der Cookie-Banner-Flut und der „Zustimmungsmüdigkeit“ bei den Nutzenden begegnen und „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter ebnen, sobald entsprechende Standards verfügbar sind“.
  • Konkret bedeutet das: Browser, Apps, Betriebssysteme oder Einwilligungsmanager sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen.
  • Website-Anbieter sollen rechtlich verpflichtet werden, diese Signale zu akzeptieren und maximal alle sechs Monate erneut nachzufragen, ob man nicht doch Tracking-Cookies akzeptieren möchte.
  • Ausgenommen von dieser Regel sollen Medienanbieter (media service providers) sein – „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“.
  • Die Kommission schlägt zudem vor, dass die Mitgliedsstaaten diese Regeln durch nationale Gesetze aushebeln können.

Warum sollen Unternehmen aus Sicherheitsgründen auf unsere Geräte zugreifen dürfen?

  • Technisch gesehen geht es bei Cookies darum, dass andere (kleine) Dateien auf unseren Rechnern und Telefonen speichern und auslesen dürfen. Dieser Zugriff auf den Speicher kann auch anderen Zwecken als Werbe-Tracking dienen. Für einige davon will die EU-Kommission eine Art Freifahrtschein ausstellen, etwa für das Erstellen von Besucherstatistiken, für das Bereitstellen von angefragten Diensten oder für Sicherheitszwecke.
  • Es wäre dann klargestellt, dass es beim Setzen von Cookies oder anderweitigem Zugriff auf den Gerätespeicher für diese Zwecke keine vorherige Einwilligung braucht.
  • Die Datenschutzorganisation noyb sieht vor allem die weitgehenden Befugnisse für Sicherheitszwecke kritisch, weil nicht klar genug definiert ist, was damit gemeint ist und weil Unternehmen Sicherheitsgründe vorschieben könnten: „Während die allgemeine Richtung der Änderungen verständlich ist, ist die Formulierung extrem freizügig und würde auch exzessive „Durchsuchungen“ von Nutzergeräten zu (winzigen) Sicherheitszwecken erlauben.“

Wie sollen Betroffenenrechte eingeschränkt werden?

  • Auch eine zentrale Errungenschaft der DSGVO kommt unter Druck: die Betroffenenrechte. Anträge auf Auskunft, Berichtigung oder Löschung von Daten sollen künftig abgelehnt werden können, wenn sie „missbräuchlich“ seien. Die Ausübung dieser Rechte soll nur noch gestattet sein, wenn sie „Datenschutzzwecken“ dient.

Kehrtwende für die „Innovationsführerschaft“

Wie fallen die Reaktionen aus?

  • European Digital Rights (EDRi), die Dachorganisation europäischer Digital-NGOs, lässt kein gutes Haar am Vorschlag der EU-Kommission. Dieser berge die Gefahr, ein „über Jahrzehnte hinweg mühsam aufgebautes regelbasiertes System zu zerstören“. Dadurch würden „die Grundlagen von Menschenrechten und der Digitalpolitik in der EU gefährdet“.
  • Auch der Datenschutzexperte Max Schrems und seine Organisation noyb bekräftigen ihre Kritik an den Plänen. Sie warnen: Die EU-Kommission wolle „Kernprinzipien der DSGVO zerstören“.
  • Vom deutschen Verbraucherzentrale Bundesverband kommt ebenfalls Kritik. „Statt unter dem Deckmantel von Entbürokratisierung Verbraucherschutz und Grundrechte abzubauen, muss die EU für klare Regeln sorgen und gleichzeitig das bestehende Schutzniveau erhalten“, sagt Verbandsvorständin Ramona Pop. „Mit ihren Plänen setzt die EU jedoch das Vertrauen der Verbraucherinnen und Verbraucher aufs Spiel.“
  • Industrieverbände zeigen sich hingegen eher erfreut – sowohl über den deutsch-französischen Vorstoß in dieser Woche als auch über die Gesetzesvorschläge der Kommission. Der Bundesverband Digitale Wirtschaft etwa befürchtet allerdings auch neue Komplexität statt Vereinfachung.
  • Und der Branchenverband Bitkom e. V. verlangt, „mehr Mut, Bürokratie und Überregulierung drastisch zu reduzieren“. Zugleich fordern Bitkom und der Verband der Automobilwirtschaft, die DSGVO grundsätzlich zu überarbeiten.

Was hat die Kommission auf den letzten Metern gestrichen?

  • Nicht mehr enthalten ist ein Vorschlag, Online-Tracking auf Basis anderer Rechtsgrundlagen als der Einwilligung zu ermöglichen. Dies hätte bedeutet, dass Tracking-Firmen das Online-Verhalten von Menschen auch ohne Einwilligung auf Basis ihres „berechtigten Interesses“ hätten rechtfertigen können.
  • Der geleakte Zwischenentwurf sah vor, dass die Vorgaben des Artikel 9 der Datenschutzgrundverordnung aufgeweicht werden. Durch diesen Artikel sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. Diese sensiblen Daten hätten enger definiert werden sollen. Besonders geschützt wären dann nur noch jene Daten gewesen, die die genannten Informationen explizit offenbaren. Das ist nun offenbar erst einmal vom Tisch.

Wie geht’s jetzt weiter?

  • Der Omnibus nimmt nun den normalen Weg der EU-Gesetzgebung. Die Vorschläge der Kommission werden also unter den 27 EU-Staaten im Rat sowie im Europäischen Parlament diskutiert. Die einzelnen Institutionen kommen zu eigenen Positionen und müssen sich im Anschluss im sogenannten Trilog-Verfahren einigen.
  • Die EU-Kommission macht bei ihren Vereinfachungsvorhaben allerdings ordentlich Druck. Statt wie üblich Jahre soll die Beratung am besten nur wenige Monate in Anspruch nehmen.
  • Im Parlament wird bereits Kritik am digitalen Omnibus laut. So haben Sozialdemokraten und Grüne bereits angekündigt, gegen die Aushöhlung des Datenschutzes zu stimmen. Nach der gestrigen Vorstellung der Vorschläge positionierte sich auch die Linke dagegen.
  • Allerdings könnte die konservative EVP-Fraktion erneut mit Stimmen der extremen Rechten wie bereits beim ersten Omnibus-Paket am 13. November eine Mehrheit bilden und auch dieses Gesetzespaket durchwinken.



Source link

Weiterlesen

Datenschutz & Sicherheit

Wie Medien aus Angst vor Komplexität eine Debatte verzerren


Das Digitalpaket der EU, auch digitaler Omnibus genannt, verschlechtert die Rechte von Bürger:innen auf verschiedenen Ebenen. Es beschneidet Auskunftsansprüche, schiebt dringend erforderliche KI-Regulierung auf, schränkt den Anwendungsbereich der Datenschutzgrundverordnung ein und baut gleichzeitig aus, was Unternehmen als „berechtigtes Interesse“ bei der Datennutzung erklären können. Zum Beispiel die Nutzung unserer persönlichen Daten für KI-Systeme ohne Einwilligung.

Und ja, die Kommission will auch die nervigen Cookie-Banner weniger nervig machen. Wer sich gestern in deutschen Medien zu dem Thema informieren wollte, konnte oftmals den Eindruck bekommen, dass es bei diesem großen Paket nur um diese eine Sache geht. Die Tagesschau etwa titelte: „EU will Cookie-Klicks im Internet reduzieren“.

Das ist ja toll, die EU hilft uns, wie beim Mobilfunk-Roaming. Super! Toller, schöner Omnibus!

Grob verzerrt dank dpa

Ursprung dieses positiven Framings des Gesetzespaketes scheint eine Agenturmeldung der dpa zu sein, denn Aufmachung, Aufbau und Einordnung ähneln sich in vielen Artikeln zum Thema, unter anderem beim Spiegel, MDR, der Zeit, Bild.de, Web.de oder 20min.ch.

In einem dpa-Video zum Thema wird gar suggeriert, dass sich die Kritik der Datenschützer gegen die neuen Cookie-Regeln richte. Diese seien ein Einknicken vor der Tech-Lobby, heißt es dort. Hier wird die Gesamtkritik an zahlreichen Maßnahmen des Digitalpaketes als ausgerechnet gegen den von Bürgern positiv wahrgenommenen Teil des Pakets gerichtet dargestellt. Eine grobe Verzerrung der Kritik, ausgelöst durch Verkürzung und Komplexitätsreduktion.

Die dpa und mit ihr alle Medien, die die Meldung wenig bearbeitet übernommen haben, sind damit auch einem Spin der EU-Kommission auf den Leim gegangen: Die hatte in den vergangenen Tagen stets behauptet, ihre Pläne würden die eigene KI- und Datenschutzregulierung gar nicht schwächen. Gleichzeitig stellt sie in ihrer Kommunikation ziemlich klug die Vorschläge zu Cookie-Bannern nach vorne.

Traut den Menschen doch mal etwas zu!

Nun sind die Cookie-Banner tatsächlich Teil des Gesetzespaketes, und sicherlich könnte man die neuen Cookie-Regeln als nicht weit genug gehend kritisieren. Oder nachfragen, warum ausgerechnet Medien als große Treiber der Cookie-Flut von der neuen Regel ausgenommen werden sollen.

Der Fokus der Kritik von Daten- und Verbraucherschützern am Digitalen Omnibus war aber ein komplett anderer. Sie sehen Grundprinzipien des Datenschutzes in Gefahr. Cookies fanden dort nur am Rande statt. Doch das ist bei dieser Art der Berichterstattung egal, denn die Cookie-Banner sind eben der Inhalt des Omnibusses, der den Leser:innen am bekanntesten ist. Und dann bekommt der Bauer eben genau das, was er immer schon frisst.

So eine Herangehensweise täuscht über das gesamte Paket und dessen Gefahren hinweg. An diesem Beispiel zeigt sich auch, dass viele Medien den Leser:innen einfach zu wenig Komplexität, Details und Erklärungen zutrauen. Alles muss easy peasy widerstandslos reinballern statt konkret und komplex im Kopf anzukommen. Der Leser darf nicht ins Nachdenken kommen oder herausgefordert werden, sondern wird seicht bespielt. Schade!

Den Leser:innen hilft das natürlich nicht, dass ihnen kaum mehr als der Cookie-Banner zugetraut wird – mal ganz abgesehen davon, dass bei dieser Darstellung fälschlicherweise in den Köpfen hängen bleibt, dass das EU-Paket eigentlich doch ganz gut sei und die nervigen Datenschützer das irgendwie bremsen wollen. Und das ist dann eben grob daneben.



Source link

Weiterlesen

Beliebt