New episode!

This article in the series What Everybody Knows About You by Andrew Oram explores how major retailers collect and use your private data to personalize marketing campaigns and guide in-store decisions such as product purchases and shelf placement.

Read it here: https://lpi.org/vfci

#datacollection #retailanalytics #customerdata #digitalprivacy #retaildatacollection #privacy #digitalprivacy #onlinetracking

Important post about your privacy. It has instructions linked.

And give @eff a follow if you have not.

https://www.eff.org/deeplinks/2026/03/targeted-advertising-gives-your-location-government-just-ask-cbp

#privacy #onlinetracking

Your browser leaves a hidden trail of data. 👣

Websites can learn about your device, location, and unique settings, and use that info for marketing purposes.

Read the latest Andrew Oram article to learn more: https://lpi.org/7g9a

@LPI #LPI #dataprivacy #privacy #browsertracking #cybersecurity #digitalprivacy #onlinetracking

TikTok kann Nutzer auch ohne App oder Account über Tracking-Pixel erfassen.

Viele Menschen gehen davon aus, ohne TikTok-Account oder installierte App vor Datenerfassung sicher zu sein. Doch genau hier liegt das Problem. Recherchen zeigen, dass die Plattform offenbar auch dann Informationen sammelt, wenn Nutzer nie aktiv bei TikTok angemeldet waren.

https://t1p.de/d7h2a

#TikTok #Datenschutz #TrackingPixel #OnlineTracking #CyberSecurity #Privatsphäre #InternetSicherheit #Datenmissbrauch #Web

How Meta Connected Browsing Activity to Real People on Android

1,747 words, 9 minutes read time.

You think you’re invisible online when you’re in private browsing mode or after clearing cookies, right? I used to think the same thing. But the reality is a little harsher: Meta found ways to keep tabs on Android users even when they were trying to hide. I’m not here to scare you. I’m here to explain exactly how it worked, why it happened, and what you can realistically do about it.

We’ve all had the experience: you browse a few sites, check a couple of things in private, and later see ads that feel almost “too personalized.” You think, How did they know? This Meta case makes it clear that your standard privacy tools — incognito mode, cookie clearing — aren’t always enough. What Meta discovered, and what researchers exposed, is that the ecosystem itself is leaking information, whether you like it or not.

It’s tempting to blame yourself, but you’re not doing anything wrong. In reality, the way apps and browsers interact on Android is complex, and the rules were never designed to make users completely invisible. Meta simply found a way to connect dots that were already there. Understanding how this happened can help you make smarter decisions online — without panicking or quitting your favorite apps.

Tracking Isn’t Just About Cookies

For years, online tracking seemed simple. Websites dropped cookies — little snippets of data that said, “Hello, I recognize you.” Delete them, and the site forgets you. Go incognito, and you think you’re invisible. But modern tracking doesn’t rely solely on cookies. That’s old-school thinking. The industry has gotten smarter, and the methods have evolved to follow you even when you try to hide.

Meta’s approach is a prime example. They didn’t just rely on cookies or logins. Instead, they leveraged patterns of behavior and signals coming from apps and browsers. Think of cookies as leaving a name tag at a party. Take it off, and the host can’t read the name anymore — but they can still notice your face, how you walk, or the drinks you order. Those subtle identifiers are enough for someone skilled to link your behavior back to a real person.

The problem is compounded because these signals are baked into the operating system and how apps communicate. Every tap, every page load, every app interaction produces a tiny “footprint.” When a company like Meta has access to enough footprints, connecting them to accounts becomes almost trivial. In other words, tracking today isn’t about a single cookie — it’s about pattern recognition at scale.

Most people don’t realize how much of this happens behind the scenes. You clear cookies, turn on privacy features, and feel safe. But the ecosystem doesn’t just disappear your digital fingerprints. Understanding that tracking has moved beyond the old tools is the first step toward realistic, practical privacy.

The Android Ecosystem and Its Blind Spots

Android isn’t a sealed system. It’s more like a neighborhood where everyone’s got thin walls, and neighbors sometimes talk over the fences. Apps, browsers, and the operating system constantly exchange small pieces of information — often for legitimate purposes like syncing data or improving app performance. But those same mechanisms can be abused to identify and link users across services.

Think of your apps as apartments in a building. Each apartment is supposed to be private, but thin walls, shared utilities, and building-wide notices mean some information leaks. Meta’s method exploited these subtle leaks — the equivalent of overhearing conversations, noticing repeated patterns, or recognizing footprints in a shared courtyard. These aren’t security flaws in the traditional sense; they’re structural features of how Android is built to allow apps and services to communicate.

Even if you’re careful — you only use trusted apps, you clear cookies, you use incognito mode — the system itself can reveal patterns. Android provides some privacy protections, but they aren’t foolproof. Signals like app activity, device identifiers, and browsing behavior can still combine to form a recognizable profile. Meta’s approach took advantage of these natural “communication channels” between apps and browsers.

The lesson here isn’t to panic or quit Android. It’s to understand that privacy is about controlling what you can, not believing you can erase every trace. The Android ecosystem is complex, and awareness is the best tool you have. Knowing where data flows helps you make smarter choices.

Meta’s New Tracking Method

So, what exactly did Meta do? They didn’t hack your phone. They didn’t exploit a vulnerability that required a patch. Instead, they used existing communication pathways — the way apps and browsers naturally interact — to link browsing activity to real accounts. In plain terms, they stitched together patterns that already existed.

Imagine leaving faint footprints in the sand. On their own, each print is meaningless. But if someone tracks the pattern of steps, the gait, and the direction, they can identify the person walking. Meta’s system worked similarly: it looked at how users moved through apps and web pages and matched those patterns to known accounts. This method bypassed cookie protections and even incognito mode because it didn’t rely on those traditional mechanisms.

It’s also worth noting the scale here. Doing this effectively requires processing millions of data points across users and devices. That’s why most small apps don’t have this capability — but big platforms with massive infrastructure, like Meta, can. This isn’t a single exploit; it’s leveraging the architecture of Android itself to achieve tracking that feels invisible to the user.

For everyday users, the takeaway is clear: your actions, even in “private” modes, can leave a pattern that sophisticated systems can recognize. Understanding this doesn’t make you paranoid; it makes you informed. And informed users make smarter choices.

Why Your Privacy Tools Didn’t Stop It

Let’s address the obvious question: why didn’t incognito mode, cookie clearing, or app sandboxing stop this? The short answer is: because these tools aren’t designed to protect against this type of tracking. They protect specific areas — cookies, stored data, or app isolation — but not the broader patterns of behavior.

Analogy: locking your front door is great, but it doesn’t stop someone from watching the windows. Your privacy tools are doors and locks. Meta found ways to look through the windows, study your movement in the yard, and figure out whose house it was. That’s not a failure on your part; it’s a feature of the system.

Android does have protections against inter-app data sharing, but these are partial and often complicated to configure correctly. Even when you do everything “right,” sophisticated trackers can combine signals to make educated guesses about user identities. It’s frustrating, but it’s also a reminder that privacy isn’t binary.

The realistic takeaway is to understand limitations, not to assume invisibility. Privacy tools reduce exposure, slow down trackers, and add friction to data collection. They are your armor, not a magic shield. Understanding how far that armor stretches helps you make smarter decisions.

What This Means for Everyday Users

Here’s the bottom line: complete invisibility online is nearly impossible if you’re using mainstream apps. Platforms are designed to connect behavior to real users. Meta’s method is a case study in how this works, but it’s not unique. Google, Apple, and other companies also have ways to track activity across services and devices.

That doesn’t mean you’re powerless. The key is being aware. Awareness allows you to make deliberate choices about which apps to use, what permissions to grant, and how to navigate the ecosystem. You don’t need to quit Facebook or Instagram, but understanding their incentives and methods can guide smarter habits.

It also means adjusting expectations. Privacy isn’t a switch you flip; it’s a spectrum you navigate. You can reduce exposure and make tracking harder, but expecting perfect invisibility sets you up for disappointment. Instead, think strategically: what do you want to protect, and which tools realistically help?

Finally, this awareness empowers conversation. When companies expose privacy challenges, informed users can ask better questions, demand better policies, and make more conscious decisions about their digital lives.

Practical Steps You Can Take

Let’s get practical. Here are steps that actually help — no snake oil, no miracle fixes:

The goal is realistic protection, not illusionary invisibility. Awareness, restraint, and intentional choices are your best defense.

Bigger Picture Lessons

Meta’s tracking isn’t an isolated incident — it’s representative of how modern tech handles user data. Privacy tools are often playing catch-up with the incentives of platforms that want to link activity to identities.

For users, the lesson is simple: understand the system, don’t assume safety, and act consciously. For the industry, it’s a reminder that structural protections are often more effective than user-facing features alone. Privacy isn’t something you turn on; it’s something you manage.

Knowing this, you can approach the digital world with less anxiety and more strategy. That’s far more effective than panic or avoidance.

Conclusion

Here’s what you need to remember:

• Modern tracking isn’t just about cookies — it’s about behavior patterns and cross-app signals.
• Privacy tools reduce exposure but can’t make you invisible.
• Awareness and informed choices are your best defense.

I’m not telling you to quit your apps or abandon your devices. I’m telling you how the game is played, so you can play smarter. The best armor in today’s ecosystem isn’t fear — it’s knowledge.

Call to Action

If this breakdown helped you think a little clearer about the threats out there, don’t just click away. Subscribe for more no-nonsense security insights, drop a comment with your thoughts or questions, or reach out if there’s a topic you want me to tackle next. Stay sharp out there.

D. Bryan King

Sources

The New York Times – Meta’s Android Tracking Loophole
CNBC – How Meta Tracked Users on Android
CyberScoop – Meta’s Tracking Method on Android
KrebsOnSecurity – Tracking and Privacy Insights
Schneier on Security – Practical Privacy Analysis
Mandiant Threat Intelligence Reports
MITRE ATT&CK Framework
NIST Publications on Security and Privacy
Verizon Data Breach Investigations Report
Black Hat Conference Materials

Disclaimer:

The views and opinions expressed in this post are solely those of the author. The information provided is based on personal research, experience, and understanding of the subject matter at the time of writing. Readers should consult relevant experts or authorities for specific guidance related to their unique situations.

#AndroidBehaviorTracking #AndroidDataPrivacy #AndroidPrivacy #AndroidPrivacyAwareness #AndroidPrivacyGuide #androidSecurity #AndroidSignalTracking #AndroidSurveillance #AndroidUserPrivacy #appPermissions #appTrackingAndroid #appTrackingPrevention #crossAppTracking #digitalFootprint #digitalFootprintReduction #digitalIdentityAndroid #digitalPrivacyForMen #digitalPrivacyTips #everydayAndroidSecurity #incognitoModeTracking #interAppDataSharing #limitTrackingAndroid #MetaAndroidPrivacy #MetaAndroidTracking #MetaCookiesBypass #MetaDataTracking #MetaPrivacyExplained #MetaPrivacyIssue #MetaPrivacyLoophole #MetaPrivacyRisks #MetaTrackingAndroidUsers #MetaTrackingExplained #MetaTrackingLoophole #MetaTrackingMethod #MetaTrackingSolution #MetaUserTracking #mobilePrivacy #mobileTrackingTips #onlinePrivacyGuide #onlineSafetyAndroid #onlineTracking #privacyAwareness #privacyBestPractices #privacyHabitsAndroid #privacySettingsAndroid #privacyToolsAndroid #protectAndroidData #reduceAppTracking #reduceTrackingAndroid #secureAppUsage #secureBrowsingAndroid #smartphonePrivacy #smartphoneSecurityTips #stopMetaTracking #trackingMethods #trackingPatterns #trackingPrevention #userBehaviorTracking

Falsche Richtung

Interview mit der Bundesdatenschutzbeauftragten: „Die aktuelle Debatte geht in die falsche Richtung“

Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält.

Seit gut einem Jahr ist Louisa Specht-Riemenschneider Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Nicht nur die schwarz-rote Bundesregierung hat sich mittlerweile weitreichende Reformen beim Datenschutz vorgenommen, sondern auch die EU-Kommission will die Datenschutzgrundverordnung erstmalig schleifen.

Wir haben Specht-Riemenschneider in ihrem Berliner Büro getroffen und sie gefragt, wo sie in der hitzig geführten Reformdebatte steht. Sie kritisiert Teile der Pläne der EU-Kommission, spricht sich aber auch selbst entschieden für eine Reform aus. Der datenschutzrechtliche Rahmen erfülle seine Funktion nicht, allerdings laufe die aktuelle Debatte in die falsche Richtung. Vor Veränderungen in der Datenpolitik müsse eine gesellschaftspolitische Zielsetzung stehen, so die Forderung der Datenschutzbeauftragten.

Auch zu den umstrittenen Themen Gesundheitsdigitalisierung und Reform der Datenschutzaufsicht in Deutschland haben wir die Juristin befragt.

„An jeder Ecke fehlen Daten für gemeinwohlorientierte Zwecke“

Sie haben als Rechtswissenschaftlerin immer die Bedeutung von Daten für Innovation betont und einen Ausgleich zwischen Datennutzung und Datenschutz gesucht. Für viele bedeutet das momentan vor allem, den Datenschutz zurückzubauen. Auf dem Digitale-Souveränitäts-Gipfel in Berlin lautete die neue Leitlinie „Product First, Regulation Second“. Ihre Behörde soll den Zusatz „Beauftragte für Datennutzung“ erhalten. Geht die Entwicklung also in die richtige Richtung?

Für mich stand nie zur Debatte, ob Datenschutz und Datennutzung zusammengehen. Die DSGVO soll genau das erreichen. Sie will ja nicht Datennutzung um jeden Preis verhindern, sondern gewährleisten, dass dabei Grundrechte gewahrt bleiben. Gleichzeitig gibt es andere Grundrechte wie den Schutz der Gesundheit, die es notwendig machen, dass Daten verarbeitet werden. Beides muss man in Einklang bringen.

In der öffentlichen Debatte wird derzeit allerdings versucht, diese zwei Positionen gegeneinander auszuspielen. Wir sind an einem Punkt, wo wir eine entscheidende Weichenstellung machen können. Und ich würde mir eine viel stärker gesellschaftspolitische Diskussion darüber wünschen, wo wir eigentlich hin wollen.

Also für welche Zwecke Daten genutzt werden sollen und für welche nicht?

Ja, wollen wir als Gesellschaft etwa Daten für verbesserte Krebstherapien nutzen? Oder wollen wir verbesserte Datennutzbarkeit für rein kommerzielle Interessen? Das beantwortet mir momentan politisch niemand.

Wir haben zwar 1.000 Strategien, aber es fehlt ein Leitbild, an dem wir die Datenpolitik und auch die Regulierung ausrichten. Gerade jetzt wäre die Gelegenheit, in der wir in Europa – anders als die USA oder China – eine Datennutzungsagenda entwickeln könnten, die Grundrechte, Demokratie und Freiheit mitdenkt.

Bei der Gesundheitsdigitalisierung heißt es, der Datenschutz gefährde Leben. In der Wirtschaft gefährde er Europas Wettbewerbsfähigkeit. Spüren Sie diesen Gegenwind?

Ja, und ich finde es unheimlich schade, dass die Diskussion in die falsche Richtung geht. Der Rechtsrahmen für Datenschutz und Datennutzung funktioniert offensichtlich nicht so, wie er eigentlich funktionieren sollte. Einerseits haben wir eine unglaubliche Masse an Daten, die rechtswidrig genutzt werden, wie etwa die „Databroker Files“ gezeigt haben. Andererseits fehlen an jeder Ecke Daten für gemeinwohlorientierte Zwecke.

Diese Gemengelage führt dazu, dass der Datenschutz zum Buhmann für alles gemacht wird. Vergangenes Jahr habe ich gelesen, dass in einem Seniorenheim keine Weckmänner verteilt werden konnten, wegen des Datenschutzes. Das ist natürlich großer Quatsch, aber diese Missverständnisse werden unter anderem dadurch hervorgerufen, dass der Rechtsrahmen sehr komplex ist.

„Es gibt im Omnibus auch Aspekte, die ich begrüße“

Mit ihrem „Digitalen Omnibus“ fährt die EU-Kommission aktuell in die andere Richtung. Sie schlägt erstmals weitreichende Änderungen an der DSGVO vor. Verbraucher- und Datenschutzorganisationen sowie Teile des EU-Parlaments sprechen von einem Angriff auf die Grundlagen des europäischen Datenschutzes.

Ich halte nichts davon, die Welt in Schwarz und Weiß einzuteilen. Die Kommission schlägt Regelungen vor, von denen einige datenschutzrechtlich ganz klar kritisch zu werten sind. Wenn ich zum Beispiel meine Betroffenenrechte nur noch für datenschutzrechtliche Zwecke ausüben darf, dann schränkt mich das in meinen Rechten elementar ein. Gegen einen Missbrauchseinwand spricht nichts, aber er muss richtig formuliert sein.

Es gibt im Omnibus jedoch auch Aspekte, die ich begrüße. Die Vereinheitlichung von Digitalrechtsakten zum Beispiel, also die Zusammenfassung von Datennutzungsgesetzen im Data Act. Auch die Vorschläge zu Cookie-Bannern sind in ihrer Grundrichtung zu begrüßen.

Für Kritik sorgt auch der Plan, die Definition personenbezogener Daten deutlich enger zu fassen und pseudonymisierte Daten unter bestimmten Umständen von der DSGVO auszunehmen. Man folge da nur der Rechtsprechung des Europäischen Gerichtshofs, heißt es von der Kommission. Der Jurist und Datenschutzexperte Max Schrems und andere sagen, das geht weit darüber hinaus. Wer hat Recht?

Man kann das Urteil so oder so lesen. Ich frage mich, ob die geplanten Änderungen – wenn man genau hinschaut – tatsächlich eine Abweichung vom derzeitigen Standard darstellen. Dazu berate ich mich gerade noch mit meinen Kolleg:innen in der Datenschutzkonferenz und möchte dem ungern vorgreifen.

Ein weiterer Streitpunkt sind KI-Systeme. Die Kommission will klarstellen, dass diese auch ohne Einwilligung, auf Basis des legitimen Interesses, mit personenbezogenen Daten trainiert und betrieben werden dürfen.

Die Kommission folgt hier einer Empfehlung des Europäischen Datenschutzausschusses, bei der jedoch leider nicht genau ausformuliert wurde, unter welchen Bedingungen KI auf das berechtigte Interesse gestützt werden kann. Der Omnibus unterscheidet hier leider auch nicht zwischen KI-Training zu kommerziellen oder zu gemeinwohlorientierten Zwecken oder zur Ausübung anderer Grundrechte.

Sie ist offenbar getrieben von der Sorge, Europa könne im sogenannten KI-Wettrennen verlieren. Gehen Datenschutz und KI einfach nicht zusammen?

Ja, der geltende Datenschutz-Rechtsrahmen und KI gehen ganz schlecht zusammen. Das Hauptproblem ist, dass unklar ist, wie man Betroffenenrechte geltend machen soll, wenn KI-Systeme sich einzelne Daten merken. Wie sollen Löschansprüche ausgeübt werden? Wie soll der Berichtigungsanspruch praktisch umgesetzt werden? Diese Fragen beantwortet auch der Digitale Omnibus nicht. Es wäre klug, wenn sich der europäische Gesetzgeber die Zeit nehmen würde, über diese Frage etwas intensiver nachzudenken.

Da sind wir auch wieder bei der Gretchenfrage: Für welche Zwecke wollen wir als Gesellschaft KI und für welche nicht? Das scheint mir wirklich eine Grundsatzdiskussion zu sein, die wir dringend führen und dann gesetzgeberisch entsprechend handeln müssen. Entwicklung und Einsatz von KI für gemeinwohlorientierte Zwecke oder zur Ausübung von Grundrechten würde ich gern gesetzlich privilegiert sehen, für andere Zwecke ist das meines Erachtens weniger erforderlich. Große Player, die kommerzielle KI-Modelle anbieten, können mit der Rechtsunsicherheit gut umgehen.

Wo eine Reform ansetzen sollte

Viele Datenschützer:innen warnen davor, im aktuellen politischen Klima solche Grundsatzfragen zu stellen und das große Fass DSGVO überhaupt aufzumachen.

Ich möchte eine Grundsatzdebatte sogar vehement einfordern. Der bestehende Rechtsrahmen funktioniert nicht so, wie er funktionieren soll. Natürlich will ich die DSGVO nicht insgesamt nochmal zur Abstimmung stellen. Aber wir sollten über Nachbesserungen im geltenden Rechtsrahmen sprechen. Das Interessante am Omnibus ist ja nicht nur das, was drinsteht, sondern vor allem das, was nicht drin steht.

Was fehlt Ihnen?

Wie bekomme ich zum Beispiel eine Databroker-Regelung in die DSGVO? Wie schaffen wir es, dass Selbstbestimmung nicht nur auf dem Papier existiert?

Das Grundproblem ist die Einwilligung. Wir hatten in den 1960er- und 1970er-Jahren eine ähnliche Diskussion zu Selbstbestimmung im Verbraucherschutzrecht. Schon damals war klar, dass Verbraucher:innen Entscheidungen treffen, die manchmal nicht selbstbestimmt sind, weil es Machtasymmetrien gibt. Also müssen wir dafür sorgen, dass wir die Vertragsparteien auf Augenhöhe bekommen, damit Verbraucher:innen gleichberechtigt entscheiden können.

Warum führen wir diese Diskussion nicht auch bei der DSGVO? Dafür müssen wir deren Grundsätze nicht anfassen, sondern an die Frage der Einwilligung ran. Und wir müssen dafür sorgen, dass die DSGVO besser in der Praxis umgesetzt wird. Das ist nur vordergründig eine Frage des Bürokratieabbaus.

Sondern?

Ich höre oft von Unternehmer:innen, dass sie Datenschutz beachten wollen, aber nicht wissen, wie sie dabei am besten vorgehen. Wenn wir also am Ende mehr Rechtsklarheit in die Verordnung hineinbekommen, dann ist das auch ein Weg, um Betroffene besser zu schützen, weil die Regeln besser umgesetzt können. Auch der risikobasierte Ansatz der DSGVO sollte weiter ausdifferenziert werden. Also dass nicht alle die gleichen Pflichten haben, sondern ähnlich wie bei der KI-Verordnung die Verantwortung größer ist, wenn das Risiko der Datenverarbeitung zunimmt.

Wie man das Problem der Databroker lösen könnte

Erst kürzlich konnten wir mit den gerade schon angesprochenen Databroker-Recherchen zeigen, wie sich selbst hochrangiges EU-Personal ausspionieren lässt – mit Daten aus dem Ökosystem der Online-Werbung, die wir kostenfrei von Databrokern bekommen haben. Wie löst man dieses Problem?

Das ist nicht trivial, weil Werbe-Tracking mit Einwilligung zulässig sein kann, in vielen Fällen wohl aber Zweifel an der Rechtsgültigkeit der Einwilligungen bestehen. Deshalb müssen wir uns zunächst anschauen, wie die Datenströme verlaufen: Ich habe ein Endgerät mit der Werbe-ID, von dem Daten an einen Databroker gehen, der häufig in einem Drittstaat sitzt, beispielsweise in den USA. Und dann habe ich einen Datenankäufer, der etwa in einem anderen europäischen Staat sitzt.

Den Databroker in den USA kriegt man aufsichtsrechtlich sehr schwer zu fassen, da bräuchte man Amtshilfe von US-Behörden. Beim Datenankäufer ist es einfacher, wenn er in einem EU-Mitgliedstaat sitzt. Er ist aber das letzte Glied in der Kette. Selbst wenn wir nachweisen können, dass er sich datenschutzwidrig verhält, beendet das noch nicht den Datenhandel.

Daher wäre es am sinnvollsten, die Apps ins Visier zu nehmen, die die Werbe-ID weitergeben. Wir sollten darüber nachdenken, ob die Ausleitung der Werbe-ID grundsätzlich beschränkt werden sollte – auch wenn Nutzer:innen „einwilligen“. Das könnte man übrigens auch in einem Omnibus regeln.

Um die Komplexität noch zu erhöhen, gibt es auch noch das Teilproblem der Datenmarktplätze. Das sind die Plattformen, auf denen Interessierte und Anbieter von Daten zusammenkommen. Der größte Marktplatz hat seinen Sitz in Berlin, die Berliner Datenschutzaufsicht kam zu dem Schluss, dass die DSGVO nicht anwendbar ist, weil er nur Kontakte vermittelt und selbst die Datensätze nicht verarbeitet.

Wir hatten eine ähnliche Situation schon mal beim geistigen Eigentum. Filesharing-Clients hatten einst auch argumentiert, dass sie nur den Kontakt zwischen Person A und Person B herstellen, die dann Musikstücke austauschen. Damals haben die Gerichte die Vermittlungsplattform mit dem Täter quasi gleichgestellt. Eine solche Störerhaftung könnte man auch im Datenschutzrecht vorsehen.

Ich weiß, dass es die Rechtsauffassung gibt, dass die Tätigkeiten von Datenmarktplätzen heute schon eine Verarbeitungstätigkeit sind. Aber selbst dann wäre es hilfreich, dies explizit ins Gesetz zu schreiben, um Rechtsklarheit zu schaffen. Das könnte man gegebenenfalls sogar auf nationaler Ebene lösen, ohne den Weg über die EU.

„Eine Verpflichtung wäre eine großer Schritt“

Überraschenderweise hat die EU-Kommission auch einen neuen Rechtsrahmen für Consent-Manager für Cookies in den Omnibus aufgenommen, obwohl dieser ja eigentlich nur eine technische Anpassung sein sollte. In Deutschland gibt es die Möglichkeit schon länger, Ihre Behörde hat neulich den ersten Cookie-Manager für Deutschland anerkannt. Würde das das Databroker-Problem lösen?

Nein, aber es löst ein anderes Problem.

Wenn ich das Ziel verfolge, Cookie-Banner zu reduzieren, dann habe ich dafür verschiedene Möglichkeiten. Eine besteht darin, den Verbraucher:innen die Möglichkeit zu geben, vorab generell zu erklären, für welche Zwecke Cookies bei ihnen gesetzt werden dürfen und für welche nicht. Und die Website-Betreiber zugleich dazu zu verpflichten, diese Entscheidung auch zu akzeptieren.

Das ist auch der Punkt, den ich beim Omnibus einigermaßen positiv sehe. Da steht drin, dass Website-Betreiber die Cookie-Einstellung akzeptieren sollten. Wenn die Vorgabe so zu lesen ist, dass sie dazu verpflichtet sind, dann wäre das ein großer Schritt. Denn diese Pflicht sieht die deutsche Rechtslage derzeit nicht vor. Das ist ja der große Kritikpunkt an den Einwilligungsmanagementsystemen, wie sie in Deutschland gegenwärtig vorgesehen sind.

„Hundertprozentige Sicherheit gibt es nicht“

Sie sprachen eingangs das Grundrecht auf Schutz der Gesundheit an. Die elektronische Patientenakte hat ein ereignisreiches Jahr hinter sich. Auf Sicherheitslücken in der ePA angesprochen, haben Sie mal den Vergleich gezogen, dass in ein Haus auch eingebrochen werden kann – „ganz gleich, wie gut die Alarmanlage ist“. Ist das nicht eine schräge Analogie?

Was ich damit sagen wollte, ist, dass wir nie eine hundertprozentige Sicherheit im technischen System haben können. Eine solche Sicherheit gibt es nicht.

Wir müssen allerdings alles tun, um Sicherheitslücken so früh wie möglich zu erkennen, zu schließen und deren Zahl so gering wie möglich zu halten. Das sind die drei Dinge, die wahnsinnig wichtig sind.

Allerdings ist bei der Sicherheit der ePA das Bundesamt für Sicherheit in der Informationstechnik (BSI) der primäre Ansprechpartner. Wir als Datenschutzaufsicht schauen uns vor allem die Datenverarbeitung an, die in der ePA stattfindet. Das BSI ist dafür zuständig, im Dialog mit dem Bundesgesundheitsministerium und der Gematik, die Sicherheitslücken zu schließen. Wir werden dann darüber informiert und dürfen uns dazu äußern.

Das war ja mal anders.

Früher mussten Spezifikation der Gematik von uns „freigeben“ werden, sie musste also Einvernehmen mit uns herstellen. Jetzt muss sie uns nur noch ins Benehmen setzen. Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören.

In ihren Vorversionen verfügte die ePA noch über zahlreiche Möglichkeiten, mit denen Versicherte genauer einstellen konnten, welche Dokumente Behandelnde sehen dürfen und welche nicht. Davon ist heute nicht mehr viel übrig. Ist das Versprechen einer patientenzenterierten ePA überhaupt noch zu halten?

Es kommt darauf an, was man als patientenzentriert definiert. Die Einstellungen in der ePA 2.0 waren dokumentengenauer. Das wurde ein Stück weit zurückgeschraubt. Wir werden allerdings mit dem Europäischen Gesundheitsdatenraum (EHDS) bald eine Rechtslage bekommen, die möglicherweise wieder feinere Einstellungen vorsieht. Die Details dazu werden derzeit noch ausgearbeitet.

Ein großes Problem in der ePA war, dass Leistungserbringer immer auch die Abrechnungsdaten zu sehen bekamen, die die Krankenkasse in die Patientenakte einstellt. Selbst wenn ich eingestellt hatte, dass bestimmte Leistungserbringer Dokumente nicht sehen sollen. Ärzte hätten dann trotzdem sehen können, dass man schon bei einem anderen Arzt war und wie die Diagnose lautete. Das ist zumindest abgestellt worden und das ist ein Fortschritt.

„Für eine patientenztentrierte ePA ist es noch nicht zu spät“

Dennoch bleibt die Frage, ob die Chance vertan wurde, ein großes Digitalisierungsprojekt datenschutzorientiert auf die Beine zu stellen?

Ich muss selbst entscheiden können, welche Daten in meine ePA hineinkommen. Das kann ich aber nur tun, wenn ich vernünftig informiert werde. Bislang wird äußerst wenig dafür getan, dass Informationen auch bei den Menschen ankommen.

Und das vor allem deswegen, weil das Gesetz überall Informationserteilungspflichten vorsieht, aber nicht fordert, dass die Information von den Patient:innen auch wahrgenommen wird. Erst jetzt startet eine breit angelegte Werbekampagne des BMG. Insgesamt wurde aus meiner Sicht viel zu spät und mit viel zu geringer Priorität informiert. Wir haben dazu gerade eine große Umfrage durchgeführt und veröffentlichen die Ergebnisse bald in unserem Datenschutzbarometer.

Wir haben unzählige Beratungsschreiben an die Krankenkassen geschrieben, damit die Informationen möglichst gut verstanden werden. Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist. Ich sehe die Verantwortung aber hier wie gesagt auch beim Gesetzgeber.

Ist die Chance vertan, dass die ePA dem Anspruch an Information und Selbstbestimmung gerecht wird? Ich glaube nicht. Aber es ist verdammt spät.

„Das würde meine Behörde und mich sehr schmerzen“

Lassen Sie uns zum Schluss über eine weitere Datenschutz-Baustelle sprechen: die Verteilung der Aufsichtskompetenz in Deutschland. Ihre Behörde könnte die Aufsicht über die Geheimdienste verlieren.

Das ist für mich eine ganz schwierige Situation. Der Verlust der Aufsicht über die Nachrichtendienste würde meine Behörde und mich sehr schmerzen. Nicht weil wir dann zwanzig Mitarbeiter weniger hätten. Sondern weil wir die einzige Stelle sind, die eine komplette Übersicht über die Sicherheitsbehörden insgesamt hat und darüber, wie sie Daten von Bürgerinnen und Bürgern nutzen.

Die aktuelle politische Diskussion geht klar in die Richtung, dass Nachrichtendienste mehr Befugnisse erhalten sollen. Ein solcher Machtzuwachs lässt sich aber nur dann rechtfertigen, wenn gleichzeitig ein vernünftiges Aufsichtsregime gewährleistet wird.

Die Pläne kämen einer Entmachtung Ihrer Behörde gleich.

Teile der Aufsicht, die wir bisher ausgeübt haben, sollen in einen unabhängigen Kontrollrat verlagert werden. Das wäre eine Zerfaserung der Aufsicht, die Gesamtübersicht über die Sicherheitsbehörden wäre nicht mehr gegeben. Das finde ich bedenklich. Wir sind nämlich auch die einzige Stelle, die die Gesamtheit des Überwachungsdrucks im Blick behalten kann.

Wir haben derzeit eine Haushaltssituation, wo alle sparen sollen. Ich frage mich, wieso da eine neue Stelle geschaffen werden soll, die Aufgaben übernimmt, für die eine andere Behörde jahrelang Kompetenz aufgebaut hat. Haben wir vielleicht zu genau hingeschaut in den vergangenen Jahren?

An anderer Stelle könnte Ihre Behörde an Bedeutung gewinnen. Der Koalitionsvertrag sieht eine Bündelung der Zuständigkeiten und Kompetenzen bei der Aufsicht über Wirtschaft und Vereine bei Ihnen vor. Dafür kursieren unterschiedliche Modelle.

Auch diese Situation ist für mich persönlich nicht ganz leicht, weil ich meine Kolleg:innen aus der Datenschutzkonferenz (DSK) sehr schätze. Die Landesdatenschutzaufsichtsbehörden machen hervorragende Arbeit.

Gleichwohl glaube ich, dass 18 Aufsichtsbehörden zwangsläufig auch mal unterschiedliche Rechtsauffassungen vertreten. Wir können nicht alles auf DSK-Ebene diskutieren und gemeinsam entscheiden. Es gibt daher gute Argumente für eine Bündelung. Ich glaube auch, dass man Aufsicht und Beratung dann besser skalieren könnte.

Unabhängig davon, welches Modell es am Ende wird, muss die Datenschutzkonferenz für die Aufsicht über öffentliche Stellen eine eigene Geschäftsstelle bekommen, weil durch den wechselnden Vorsitz zu viele Kapazitäten in Organisationsfragen gebunden werden.

Zum Abschluss die Preisfrage: Wie viele neue Stellen bräuchten Sie, wenn es zu einer Zentralisierung kommen sollte, also einer vollständigen Verlagerung der Wirtschaftsaufsicht von den Länderbehörden zu Ihnen?

Wir gehen je nach Ausgestaltung von einer hohen zweistelligen bis niedrigen dreistelligen Zahl aus.

Ihre Länderkolleg:innen rechnen mit deutlich höheren Zahlen.

Wir haben das intern durchgerechnet und gehen von Skalierungseffekten aus. Insofern kommen wir mit deutlich weniger Stellen aus, als derzeit in der öffentlichen Diskussion angenommen wird.

Ingo  Dachwitz ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Er schreibt häufig über Datenmissbrauch und Datenschutz, Big Tech, Plattformregulierung, Transparenz, Lobbyismus, Online-Werbung, Wahlkämpfe und die Polizei. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet. Ingo ist Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. Seit 02/2025 ist sein Buch erhältlich: “Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen”. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat

Daniel Leisegang ist Politikwissenschaftler und Co-Chefredakteur bei netzpolitik.org. Zu seinen Schwerpunkten zählen die Gesundheitsdigitalisierung, Digital Public Infrastructure und die sogenannte Künstliche Intelligenz. Daniel war einst Redakteur bei den »Blättern für deutsche und internationale Politik«. 2014 erschien von ihm das Buch »Amazon – Das Buch als Beute«; 2016 erhielt er den Alternativen Medienpreis in der Rubrik »Medienkritik«. Er gehört dem Board of Trustees von Eurozine an. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Threema ENU3SC7K, Telefon: +49-‭30-5771482-28‬ (Montag bis Freitag, jeweils 8 bis 18 Uhr). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

#DoNotTrack in Kalifornien:

#Gesetz566 verpflichtet #Browser-Anbieter ab 2027 zu einer Opt-out-Funktion, "die Websites automatisch darüber informiert, dass persönliche Daten nicht an Dritte weitergegeben werden dürfen."

https://www.heise.de/news/Kalifornien-staerkt-Datenschutz-Das-Ende-des-Cookies-wie-wir-ihn-kennen-11069439.html

#CookieBanner #Cookies #Tracking #Werbetracking #OnlineTracking #DSGVO #Datenschutz

Your Phone Isn’t Spying on You to Show You Ads (It’s Worse Than That).

An excellent article that explains how adcetisere and data broker companies are knowing all about you without listening to your microphone.

https://lifehacker.com/what-people-are-getting-wrong-this-week-phone-surveill-1850658089

#privacy #android #ios #windows #google #amazon #facebook #ads #onlinetracking #onlineprivacy

Wolfie Christl (2017) Corporate Surveillance in Everyday Life (Englisch) https://infodienst-makeit.social/wolfie-christl-2017-corporate-surveillance-in-everyday-life-englisch/

#Digitalisierung #SocialMedia #Datenschutz #BigData #Onlinetracking #MetaDaten ##unplugTrump