Mike Kuketz
24. August 2020 | 11:03 Uhr

Pilotprojekt Grundeinkommen: Äußerst fragwürdiges Datenschutzniveau

Das Pilotprojekt »Grundeinkommen« setzt sich für ein bedingungsloses Grundeinkommen in Deutschland ein. Laut Angaben auf der Webseite gingen bisher über 1,5 Millionen Bewerbungen ein. Finanziert wird das Projekt aktuell von der Zivilgesellschaft.

An den hehren Projektzielen gibt es erstmal nichts auszusetzen. Die technische Umsetzung bzw. die Dienstleister, die das Projekt einsetzt, werfen allerdings einige Fragen auf – gerade im Hinblick auf das Thema Datenschutz. Werfen wir also mal einen Blick in die Datenschutzerklärung:

  • Webserver: Die Bereitstellung und Verarbeitung der Webseite erfolgt über den Dienst SolarWinds Worldwide LLC, 3711 South MoPac Expressway Building Two Austin, TX 78746 United States. Für die »sichere« Bereitstellung wird zudem Cloudflare eingesetzt.
  • User-Tracking bzw. Analyse: Die Analyse bzw. das Tracking von Besuchern erfolgt über den Dienstleiter New Relic mit Sitz in San Francisco, Kalifornien, USA. Die gesetzten Cookies werden dabei als »technisch notwendig« bezeichnet. Man argumentiert das Setzen der Cookies quasi mit dem Verweis auf Art 6. f) DSGVO. Sprich: Hier ist die Seitenbetreiber der Auffassung, dass das User-Tracking so elementar für den Zweck seiner Webseite ist, dass keine explizite Zustimmung der Nutzer notwendig ist.
  • Teilnahmebögen: Die Teilnahmebögen werden vom Dienstleister pollytix strategic research GmbH, Dolziger Straße 7, 10247 Berlin ausgewertet. Überdies werden die Teilnahmebögen offenbar beim Dienstleister Heroku, ein Unternehmen der Salesforce.com, Inc., Salesforce Tower, 415 Mission St. San Francisco, California 94105 in einer Datenbank gespeichert.
  • E-Mail-Dienst: Als E-Mail-Dienst nutzt das Projekt Gmail, Google LLC 1600, Amphitheatre Parkway, Mountain View, California 94043. Zur weiteren »Strukturierung« und »Organisation« werden zudem die Dienste
    • FrontApp, Inc, 525 Brannan St, Suite 300, San Francisco, California 94107 und
    • SendGrid, einen Dienst der Twilio Inc., Legal Department, 375 Beale Street, Suite 300, San Francisco, California 94105 eingesetzt.
  • Erinnerung per SMS: Die Erinnerung an die Umfrage erfolgt per SMS über den Dienstleister sms77 e.K., Willestr. 4–6, 24103 Kiel.
  • Versenden von Einladungen: Zum Versenden der Einladungen zur Onlinebefragungen wird der Dienst der
    • Mailjet SAS, 13 Rue de l’Aubrac, 75012 Paris, Frankreich, des sms77 e.K., Willestr. 4–6, 24103 Kiel
    • sowie der OmniQuest Gesellschaft für Befragungsprojekte mbH, Kennedybrücke 4, 53225 Bonn/Hohenstaufenring 66–70, 50674 Köln verwendet.
  • Newsletter-Versand: Der Versand des Newsletters (inkl. User-Tracking via Zählpixel) erfolgt über diverse Dienstleister:
    • SendGrid der Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105 (nachfolgend: SendGrid)
    • MailChimp der The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA
    • Typeform der TYPEFORM SL, Carrer Bac de Roda, 163, local, 08018 Barcelona, Spanien
    • Meltwater der Meltwater Deutschland GmbH, Rotherstraße 22, 10245 Berlin
  • Videokomponenten: Videos bzw. Infomaterial wird bei YouTube LLC, 901 Cherry Ave., 94066 San Bruno, CA, USA gehostet.
  • Reichweitenmessung: Die Reichweitenmessung erfolgt über den Analysedienst Fathom der Conva Ventures Inc. BOX 37058 Millstream PO, Victoria, BC, V9B 0E8, Kanada.

Wow! Da bleibt einem Datenschützer glatt das Herz stehen – ich muss mich mal eben kurz wiederbeleben. Die Verantwortlichen sollten sich dringend die Frage stellen, ob es tatsächlich notwendig ist, die Daten der Projektteilnehmer derartig weit zu streuen.

Im Dokument wird mehrfach auf sog. Standarddatenschutzklauseln (SDK) verwiesen, die eine alternative Rechtsgrundlage zum transatlantischen Datenverkehr darstellen. Zur Erinnerung: Das Privacy Shield wurde am 16. Juli vom Europäische Gerichtshof für unwirksam erklärt.

Update

02.09.2020: Der Berliner Beauftragten für Datenschutz und Informationsfreiheit liegen bereits einige Beschwerden vor und von Amts wegen werden sie in der Sache nun tätig.

Ich rate Betroffenen (als diejenigen, die sich bei dem Projekt angemeldet haben), eine Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219
10969 Berlin

Weshalb ich zu einer Beschwerde rate? Ganz einfach: Die SDK haben nach meiner Auffassung überhaupt keinen Einfluss auf die übertriebenen Zugriffsmöglichkeiten von US-Behörden und den fehlenden Rechtsschutz. Ein Eingreifen der Berliner Beauftrage für Datenschutz halte ich in diesem Fall für mehr als wahrscheinlich.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
DB Navigator
11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?
SSL
12. September 2013

NSA abhörsichere SSL-Verschlüsselung für Apache und nginx

Mit den richtigen SSL-Cipher-Suites für Apache und nginx hat die NSA derzeit keine Chance verschlüsselte Kommunikation zu dekodieren.
user.js
7. Dezember 2018

Firefox: about:config | user.js – Firefox-Kompendium Teil10

Über die about:config bzw. eine user.js lässt sich Firefox an die eigenen Anforderungen an Sicherheit und Datenschutz anpassen.
Post & DHL App
20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.