Die zum Amazon-Konzern gehörige Videostreamingplattform Twitch hat seit fast einem Jahr die „Nur verifizierte Konten Chat“ Funktion für Menschen auf der Plattform ausgerollt und mir scheint, dass es hier rechtliche Probleme geben könnte, weil die Telefonnummer ja eine personenbezogene Angabe ist.
Es wird dem User folgende Nachricht angezeigt:
" Benutzername benötigt eine Telefonverifizierung, um am Chat teilnehmen zu können. Bitte verifizieren Sie Ihr Konto mit einer Handynummer, um fortzufahren. Sie müssen diesen Schritt nur einmal pro Konto durchführen."
Ist das eine legitime Methode, um den Zweck „Schutz vor Missbrauch“ zu rechtfertigen oder sollte hier Twitch anders handeln müssen?
Hier scheint der Irrtum vorzuherrschen, dass es generell verboten sei, Daten zu speichern. Dem ist aber nicht so. Wenn mit der Speicherung der Daten ein legitimer Zweck (hier: Jugendschutz) verfolgt wird und der Nutzer, um das Angebot wahrzunehmen, einwilligt, ist die Datenerhebung grundsätzlich unproblematisch.
Dazu kommt ja auch, dass der Twitch Chat nun wirklich nicht der Kern der Plattform Twitch ist. Daher: Man kann die Live-Streams auch ohne Teilnahme am Chat vollwertig verfolgen, man kann halt nur nicht mit den anderen Zuschauern (und dem Streamer) interagieren.
Für eine solche Interaktion, die immer die Gefahr der Rechtsverletzung birgt (sei es durch Beleidigung, Grooming und vieles andere), eine persönliche Verifikation in Form einer Telefonnummer zu fordern, um dadurch zumindest die Schwelle für den Missbrauch deutlich anzuheben, ist weder unverhältnismäßig, noch sonst irgendwie unvernünftig.
Selbst wenn Twitch entscheiden würde, bereits für das Nutzen der generellen Funktionen der Plattform (daher: das Anschauen von Live-Streams u.s.w.) eine Anmeldung mit persönlicher Verifikation in Form einer gültigen Telefonnummer zu fordern, wäre das unproblematisch (eine gültige E-Mail-Adresse wird ja aktuell schon gefordert, um generell an Chats und Streams, die angeben, nicht jugendfrei zu sein, teilnehmen zu können - ohne Anmeldung kann man auch aktuell schon nur einen Teil des Angebots wahrnehmen). Der einzige Grund, warum Twitch nicht generell eine Telefonnummer fordert, ist, weil es schlecht für das Geschäftsmodell wäre (Stichwort: erhöhte Einstiegsschwelle). Verboten wäre es aber nicht.
Das scheint mir ein klassischer Fall von Einwilligung zu sein, einer der Bedingungen unter der nach DSGVO die Verarbeitung personenbezogener Daten rechtmäßig ist, siehe hier.
Falls Twitch aber die Telefonnummer noch für andere Zwecke verwenden sollte, in die die NutzerInnen nicht eingewilligt haben, oder wenn sie den NutzerInnen die Zustimmung zu einer Reihe anderer Arten der Verarbeitung der Telefonnummer unterjubeln, dann könnte das problematisch sein.
Aus Sicht der Datenschutz-Grundverordnung (DS-GVO) sind Datenerhebungen grundsätzlich nur zulässig, sofern sie auf einer validen Rechtsgrundlage basieren. GLEICHWOHL muss man festhalten, dass es auch Anforderungen an die Rechtsgrundlagen (Stichwort: Anforderungen an eine Einwilligung) gibt, die es einzuhalten gibt.
Es ist ja schon immer ein Dilemma, dass die Freiwlligkeit an eine Einwilligung (Rechtsgrundlage) auf Webseiten nicht gegeben ist, sobald „Alles akzeptieren“ in einer Eye-catcher Farbe (bspw. rot) und „nur notwendige“ in eine subtile Farbe (grau oder so z.B.) hinterlegt wurde.
Auf der einen Seite hast du natürlich recht, auf der anderen Seite machen viele Menschen, die auf Twitch livestreamen, ihren Chat aber leider eben zu einem Kernbestandteil durch regelmäßige Interaktion. Ich persönliche sähe aber auch die streamenden Menschen auf Twitch neben der Twitch Inc. die Twitch betreibt, in der Verantwortung die User hinreichend zu schulen, wie das Publikum mit seinen persönlichen Angaben (wozu eben auch Telefonnummern zählen) umgehen sollte: Besonders vorsichtig.
Unabhängig von den datenschutzrechtlichen Fragen (Denn es werden Anforderungen an Einwilligungen gestellt, bspw. die Freiwilligkeit. Konkret würde sich die Fragestellung ergeben, inwieweit wäre die Freiwilligkeit gegeben, wenn die Streamenden auf Twitch ihr zumindest -sehr- junges Publikum zur Interaktion im Chat bewegen und damit auch ggf. zur Hinterlegung der Telefonnummer bringen?), muss man leider auch sehen, dass solche Daten auch gerne mal missbraucht werden:
Erst kürzlich musste Twitter eine dreistellige Millionensumme in den USA zahlen, weil Twitter Angaben für die 2FA, bspw. Telefonnummer oder E-Mail-Adresse, nicht für den eigentlichen Zweck der Erhöhung der Accountsicherung, sondern für WERBEZWECKE nutzte.
Dass es hier auch dazu kommen könnte, ist nicht ganz unvorstellbar - leider.
Das zum einen, zum anderen auch sicherlich rechtliche Probleme, die damit kämen.
Schutz vor bspw. Missbrauch ist natürlich wichtig, keine Frage, dennoch stellt sich für mich schlussendlich die Frage, ob dieser nicht mit dem Prinzip der LogIn-Falle (siehe https://d-64.org/login-falle/) effektiver sich bekämpfen ließe als mit der angabe der Telefonnummer?
Die Anforderung der Freiwilligkeit einer rechtmäßigen Einwilligung nach Art. 6 DSGVO ist nach Erwägungsgrund 43 auch nicht gegeben, wenn „zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
Naja, was heißt „leider“ - es ist ja eigentlich auch erwünscht, da gerade diese Interaktion Twitch-Livestreams von z.B. YouTube-LetsPlays unterscheidet.
Der Punkt ist aber halt: In dem Moment, in dem es zu einer Echtzeit-Interaktion kommt, die gegenüber einer unbegrenzt großen Gruppe an Teilnehmern veröffentlicht wird, besteht ohne jeden Zweifel ein Risiko von Rechtsbrüchen (Beleidigung, Doxing, Grooming, Aufruf zu Straftaten, Volksverhetzung).
Das halte ich für kaum umsetzbar.
In der Tat haben die Streamer auf Twitch die Pflicht, Straftaten in ihren Chats zu unterbinden - und dafür im Zweifel auch hinreichend Moderatoren zu bestimmen. Es kam in der Vergangenheit durchaus schon dazu, dass Streamer gesperrt wurden, weil deren Chat zu toxisch war (und der Streamer dagegen nicht vorgegangen ist oder das gar unterstützt hat). Man muss hier beachten, dass es auch zu gruppendynamischen Prozessen kommt, die, wenn sie einmal ausgelöst sind, nur schwer wieder einzufangen sind.
Auf der anderen Seite können Streamer nichts dagegen tun, wenn einzelne Personen plötzlich Straftaten begehen - also man kann von einem Streamer verlangen, dass er dagegen vorgeht, dass sich eine toxische Kultur im Chat bildet, aber das hilft halt nicht bei Einzeltätern. Die kann man nur bannen, nachdem der Schaden angerichtet ist. Die Hemmschwelle, einen solchen Schaden anzurichten, lässt sich durch ein Verifikation der Telefonnummer definitiv reduzieren, insbesondere, wenn es um das Thema Botting geht. Denn tausende Bot-Accounts mit Wegwerf-E-Mail-Adressen zu erstellen ist leider extrem einfach - wenn man für jeden Account eine aktive, bisher nicht verwendete
Telefonnummer bräuchte, würde Botting deutlich erschwert werden. Alleine das wäre meines Erachtens schon eine hinreichende Begründung, wenn Twitch z.B. generell die Verifikation einer Telefonnummer fordern würde, um an Chats teilzunehmen. Und Bots, die rassistische Messages spammen, habe ich auf Twitch tatsächlich schon gesehen.
Eine Login-Falle hilft nur, um schwere Straftaten im Nachhinein zu ahnden. Halt solche Straftaten, mit denen sich die Polizei beschäftigt und bereit ist, Manpower zu investieren.
Bei einer Verifikation des Accounts mittels Telefonnummer geht es gerade darum, Straftaten zu vermeiden, insbesondere Bagatell-Straftaten, indem die Hemmschwelle für Straftaten deutlich erhöht wird, weil der Täter mit permanenter Sperrung seiner Telefonnummer für den Dienst rechnen muss, was zumindest zu realen Kosten (wenn auch nur im Bereich von 5 Euro) und Zeitaufwand für eine neue Telefonnummer führt.
Der einzige Nachteil ist, dass Twitch dann einen großen Bestand an Telefonnummern seiner Nutzer hat, was die Plattform natürlich für Hacker-Angriffe lohnenswerter macht und ein Missbrauchsrisiko birgt. Aber das Interesse an Telefonnummern würde ich hier nicht überschätzen - E-Mail-Adressen in Verbindung mit Passwörtern sind da wesentlich lohnenswertere Beute (was zum Glück heutzutage nicht mehr vorkommt, da mittlerweile selbst die letzte Plattform verstanden hat, dass man Passwörter nicht im Klartext speichert…), denn wenn der Nutzer das gleiche Passwort für die E-Mail nutzt, wie für die Plattform, hat man plötzlich Zugriff auf ganz neue Möglichkeiten. Telefonnummern hingegen verlieren immer mehr an Relevanz, insbesondere, wenn wenig Informationen mit ihnen verknüpft sind.
Ich verstehe, dass man es kritisch sieht, wenn Online-Plattformen wie Twitch, YouTube, Twitter und co. Telefonnummern fordern, um bestimmte Features zu nutzen. Aber insofern es Features sind, die eine öffentliche Kommunikation ermöglichen, denke ich, dass es immer im Rahmen dessen ist, was im Hinblick auf die DSGVO erlaubt ist.
Das ist selbstverständlich, aber halt ein ganz anderes Problem.
Naja, von Seiten der Twitch Inc. könnten entsprechende Hinweise wo dann auf seriöse Informationsseiten verlinkt würde, schon ausreichen. Von Seiten der Streamenden könnte (angeregt durch eine Notification in deren Dashboards), die Themen „Schutz von personenbezogene Daten“ und „Sicherheit im Netz generell“ thematisiert werden. Stichwort Vorbildfunktion.
Gleichwohl sind (ausreichend) Menschen in der Chatmoderation sehr wichtig.
Die Kosten sind nicht das Problem, sondern eher, dass für die Anschaffung einer solchen im Regelfall ein Personalausweis benötigt wird und somit direkt auf einen selbst oder einen Verwandten zurückzuführen ist.
Und dennoch würde es der Polizei enorm helfen, wenn die grundrechtschonende Login-Falle implementiert wäre, um Straftaten im Internet effektiv aufklären zu können.
Bei der 2FA von Twitch ist das auch spannnend. hier wird eine Telefonnummer benötigt, obwohl wie bspw. Mastodon oder Pixelfed zeigen, dass es auch ohne eine Angabe einer solchen wunderbar funktionieren kann.
Außerdem sollte die Möglichkeit grundrechtsschonend sein.
So sehr ich auch gerne sehen würde, dass jede klar volksverhetzende oder massiv beleidigende Nachricht im Internet bestraft würde, für so unrealistisch halte ich das. Unser Justizapparat - einschließlich der Polizei - hat halt nur eine begrenzte Personalstärke zur Verfügung. Vor allem die Gerichte wären mit solchen Dingen völlig überlastet, aber im Idealfall würde man diese Verfahren ohnehin im Rahmen eines Strafbefehls lösen. Aber auch die Staatsanwaltschaften sind schon jetzt massiv überlastet.
Straftaten im Internet behandelt die Polizei daher nicht anders als z.B. Grafitti in der Stadt - auch hier ist klar, dass jedes Grafitti eindeutig eine Straftat ist, aber die Polizei wird, selbst wenn sie ein neues entdeckt, von sich aus in der Regel nicht tätig - weil sie sonst einfach zu nichts anderem mehr kommen würde. Und am Ende der mit wirtschaftlichen (und daher verhältnismäßigem) Aufwand geführten Ermittlungen würde ohnehin meist eine Einstellung stehen, weil der Täter nicht (mit sinnvollem Aufwand) ermittelt werden kann.
In diesem Sinne macht es schon Sinn, den Plattformen mehr Verantwortung zu übertragen. Aber desto mehr Verantwortung man den Plattformen überträgt, desto mehr müssen wir auch akzeptieren, dass dafür ein Stück Datenschutz oder allgemeine Freiheit verloren geht. Denn es ist doch völlig klar, dass wir den Plattformen nicht einerseits sagen können: „Also für Straftaten auf eurer Plattform seid ihr mindestens zivilrechtlich, möglicherweise sogar strafrechtlich verantwortlich!“ und andererseits sagen können: „Aber zur Verhinderung von Straftaten dürft ihr auch wieder nur Mittel nutzen, die keinerlei Einschränkung im Datenschutz bedeuten!“. Denn das funktioniert nicht.
Wenn man Twitch und Mastodon/Pixelfeld im Hinblick auf die 2FA vergleichen will, muss man für einen fairen Vergleich berücksichtigen, dass der User bei Twitch die Möglichkeit hat, massive Vermögenswerte auszugeben. Subscriptions mit hinterlegter Kreditkarte und gekaufte Bits in unbegrenzter Höhe, daher u.U. im Wert von hunderten oder tausenden Euro (für Nicht-Twitch-User: Bits sind eine Twitch-Interne Währung, die für reales Geld gekauft werden kann und dann auf dem Account zur Verfügung steht, um sie an Streamer zu spenden), sind über den Account direkt verfügbar.
Das bedeutet wiederum, dass Twitch im Vergleich zu kostenlosen Plattformen wie Mastodon und Pixelfeld ein deutlich höheres Interesse an größtmöglicher Account-Sicherheit hat. Und die Sicherheit ist mit einer Telefonnummer ohne Zweifel größer, gerade was die Wiedererlangung eines Accounts betrifft… ein E-Mail-Account kann von einem Angreifer „gekapert“ werden, eine Telefonnummer nicht.
Die generelle Frage ist halt immer, was verhältnismäßig ist. Und da bleibe ich bei meinem ursprünglichen Punkt:
Gerade weil Plattformen für öffentliche Kommunikation möglicherweise haftbar sind, ist es relativ selbstverständlich, dass die Plattformen für die Teilnahme an dieser öffentlichen Kommunikation eine Verifikation des Nutzers fordern dürfen.
Datensparsamkeit ist dabei nur eine Ebene der Prüfung der Verhältnismäßigkeit. Und es ist halt eine reine Abwägung, wie viel Verlust an Datensparsamkeit für wie viel Gewinn an Sicherheit zulässig ist.
Und wie schon zuvor gesagt, haben Plattformen in der Regel gar kein Interesse, zu hohe Hürden an die Teilnahme zu stellen, weil das halt einfach dazu führt, dass potentielle Kunden wegfallen. Daher nutzt auf Twich auch so gut wie kein Kanal - zumindest keiner von den über 100, denen ich folge - das „Chat nur mit Telefonverifizierung“-Feature.
Wie gesagt, um generell auf Twitch chatten zu können, braucht man eh einen Account. Dafür ist eine E-Mail-Adresse Pflicht. Hältst du das auch für übertrieben / nicht DSGVO-konform? Warum ist die Telefonnummer dagegen so ein No-Go? Ich verstehe es ehrlich gesagt nicht…
Wenn die Polizei von einer klar strafbaren Tat erfährt, muss(!) Sie ermitteln, ansonsten macht Sie sich ja eben nach § 258a Strafgesetzbuch (StGB) der Strafvereitelung im Amt (selbst der Versuch) ist strafbar. Das war ja auch der Punkt von Böhmermann in seiner Folge des ZDF Magazin Royale.
Könnte das Stück Datenschutz oder allgemeine Freiheit nicht behalten werden, wenn Kontrollinstrumente bspw. der Datenschutz- oder Kartellaufsichtsbehörde grundrechtsschonend und dsgvo-konform ausgeweitet / angepasst würden um gegenzusteuern?
Auch kostenlosen Plattformen wie Mastodon ist Account-Sicherheit wichtig - nur eben grundrechtsschonend und dsgvo-konform (und technisch an Standards orientiert (Stichwort: RFC)).
Eine Telefonnummer könnte auch gekapert werden, wenn auch schwieriger als E-Mail (=> umso wichtiger wäre die Sicherheit am Mail-Konto zu gewährleisten und ggf. zu erhöhen).
Dies ist DSGVO-konform sofern wirklich notwendig (Stichwort Gast-Account bei SHops muss laut DSK möglich sein, finde ich es in Ordnung. Mein „Problem“ bei der Telefonnummer im Vergleich zur Mailadresse ist der, dass hier ein direkter Bezug zu einem selbst oder Verwandten gezogen wird, was vor dem Hintergrund des häufigen Missbrauchs solcher Daten eben einen faden Beigeschmack hat.
Wie gesagt, das ist mir klar, aber es ist halt ein Punkt, an dem Recht und Realität manchmal kollidieren. In den im ZDF Magazin Royale gezeigten Fällen ging es eben darum, dass Personen Strafanzeige erstattet haben (oder es zumindest wollten) und die Polizei die Anzeigen teilweise nicht mal aufgenommen hat, teilweise nicht weiterverfolgt hat. Das ist natürlich ein Problem, weil die Polizei hier nicht sagen kann, sie habe von nichts gewusst.
Ich verweise nur darauf, dass unsere Vorstellung, wie die Dinge sein sollten, nicht mit der Realität in Einklang zu bringen sind, daher: In der Realität wird gerne mal „nicht so genau hingeschaut“, wenn es um Bagatellstraftaten mit geringer Aufklärungsmöglichkeit geht. Selbst nur im öffentlichen Teil des deutschsprachigen Internets finden jeden Tag Millionen viele tausende Straftaten statt. Es ist absolut evident, dass die Polizei und die Staatsanwaltschaften nicht das Personal haben, alle diese Straftaten zu katalogisieren und ihnen nachzugehen.
Grundsätzlich kann und darf man nichts „unmögliches“ von der Polizei fordern. Daher wird immer wieder gefordert, die Polizei zu entlasten, indem man die Plattformen in die Verantwortung nimmt.
Wie gesagt, es ist eine Abwägungsfrage. Die Diskussion hier macht sehr deutlich, dass Datenschutz für dich ein extrem hohes Gut ist, während ich bereit bin, ein winziges Stück Datenschutz dafür aufzugeben, um eine bessere Praktikabilität und höhere Sicherheit zu erreichen.
Daher nochmal:
Ja, natürlich könnte man bei der Abwägung Datenschutz immer an die erste Stelle packen und alles andere dem Datenschutz unterordnen. Aber das hat halt Konsequenzen. Und die Frage ist, ob man diese Konsequenzen akzeptabel findet. Und da gehen unsere Meinungen schlicht auseinander.
Wir sind beide der Meinung, dass der Datenschutz nicht unverhältnismäßig stark zur Zielerreichung eingeschränkt werden darf - der Unterschied ist nur, dass, weil du den Datenschutz grundsätzlich wesentlich höher bewertest, du viel schneller zu einer Unverhältnismäßigkeit kommst und damit quasi keinen Raum für Optionen mehr offen lässt (dh. nach dir müsste immer die Option gewählt werden, die den Datenschutz am wenigsten beeinträchtigt). Und da gehe ich halt nicht mit.
