Abstract

Consent plays a profound role in nearly all privacy laws. As Professor Heidi Hurd aptly said, consent works “moral magic” – it transforms things that would be illegal and immoral into lawful and legitimate activities. As to privacy, consent authorizes and legitimizes a wide range of data collection and processing.

There are generally two approaches to consent in privacy law. In the United States, the notice-and-choice approach predominates; organizations post a notice of their privacy practices and people are deemed to consent if they continue to do business with the organization or fail to opt out. In the European Union, the General Data Protection Regulation (GDPR) uses the express consent approach, where people must voluntarily and affirmatively consent.

Both approaches fail. The evidence of actual consent is non-existent under the notice-and-choice approach. Individuals are often pressured or manipulated, undermining the validity of their consent. The express consent approach also suffers from these problems – people are ill-equipped to decide about their privacy, and even experts cannot fully understand what algorithms will do with personal data. Express consent also is highly impractical; it inundates individuals with consent requests from thousands of organizations. Express consent cannot scale.

In this Article, I contend that most of the time, privacy consent is fictitious. Privacy law should take a new approach to consent that I call “murky consent.” Traditionally, consent has been binary – an on/off switch – but murky consent exists in the shadowy middle ground between full consent and no consent. Murky consent embraces the fact that consent in privacy is largely a set of fictions and is at best highly dubious.

Because it conceptualizes consent as mostly fictional, murky consent recognizes its lack of legitimacy. To return to Hurd’s analogy, murky consent is consent without magic. Rather than provide extensive legitimacy and power, murky consent should authorize only a very restricted and weak license to use data. Murky consent should be subject to extensive regulatory oversight with an ever-present risk that it could be deemed invalid. Murky consent should rest on shaky ground. Because the law pretends people are consenting, the law’s goal should be to ensure that what people are consenting to is good. Doing so promotes the integrity of the fictions of consent. I propose four duties to achieve this end: (1) duty to obtain consent appropriately; (2) duty to avoid thwarting reasonable expectations; (3) duty of loyalty; and (4) duty to avoid unreasonable risk. The law can’t make the tale of privacy consent less fictional, but with these duties, the law can ensure the story ends well.

Nochmal ein Versuch, da es beim letzten Post wohl Probleme gab?!

Der EuGH machte mit dem Schufa-Urteil deutlich, dass ein Score nur unter bestimmten Voraussetzungen zur automatischen Entscheidung genutzt werden darf und kritisierte die zu lange Speicherung von negativen Einträgen.

Nun hat sich der deutsche Gesetzgeber auf den Weg gemacht, eine Rechtsgrundlage zu erlassen und will mit dem neuen §37a BDSG eine „Lex Schufa“ schaffen, der:

Scoring legalisiert

und

automatische Entscheidungen basierend auf einem Score erlaubt

und dafür einige Do´s und Don´t enthält sowie Transparenzpflichten und Einspruchsmöglichkeiten auferlegt.

Es ist zu befürchten, dass die auf den ersten Blick recht kleinteilige Regelung (Entwurfstext siehe unten) weniger dem Ziel "Verbraucherinnen und Verbraucher zu schützen" dient sondern im Gegenteil neue Möglichkeiten des Scorings ermöglicht werden.

Der Entwurf des §37a sollte deshalb noch einmal auf den Prüfstand, der Versuch der sehr detaillierten Regulierung verbietet zwar einiges explizit, lässt aber darüber hinaus viel Gestaltungsspielraum für Scorings.

Am Rande: Mit der Reform wird die Datenschutzkonferenz der Aufsichtsbehörden institutionalisiert, so dass sie künftig ein stärkeres Gewicht als bislang hat.

Quelle: Karrikatur von Tjeerd Royaards

Eine Wanderung machen und den GPX-Track mit Freunden teilen? Das wird schwierig, wenn ein Referentenentwurf des Bundeswaldgesetzes so verabschiedet wird.

[...]

In der "Forst-Praxis" wurde dies plakativ als "komoot-Paragraf" bezeichnet. Heiko Mittelstädt von der Deutschen Initiative Mountainbike e. V. (DIMB) verdeutlicht die Empörung der Waldnutzer: "Der § 33 enthält Regelungen, die jeden Erholungsnutzer, ob zu Fuß, mit dem Rad oder zu Pferd, betreffen. Wer mit seinem Smartphone seine Route trackt, oder einfach nur ein Foto in den sozialen Medien teilt, der kann bei falscher Voreinstellung schnell mit einem Verbotstatbestand konfrontiert werden."

[...]

Der Entwurf könnte auch das bloße Erfassen der Wege und Wegmerkmale infrage stellen, was die Arbeit der OpenStreetMap-Community unmittelbar gefährden könnte. Weiße Flecken gibt es nur in sehr wenigen Staaten, würden dann aber in Deutschland auftreten, wenn ein Waldbesitzer zum Erfassen der Wegedaten etwa keine Erlaubnis erteilt. Sie einzuholen, ist auch praktisch schwierig, denn Kontaktadressen der Besitzer sind an Ort und Stelle kaum aufzutreiben.

[...]

A friend of mine is a huge portal fan, so I made him this card for his birthday.

• LinkedIn teilte Nutzer:innen auf der Webseite mit, dass auf im Browser eingestellte „Do-Not-Track“-Signale derzeit nicht reagiert wird.
• Voreinstellung zur Sichtbarkeit der Mitgliederprofile auf Partnerseiten des Unternehmens ist unzulässig
• In einem Teilurteil hatte das LG Berlin zuvor bereits den ungebetenen Versand von E-Mails an Nichtmitglieder verboten.

Insbesondere zum ersten Punkt relevant: Art 21 Abs 5 DSGVO lautet

Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.

Müsste das nicht auch bedeuten, dass ich bei allen Cookie Bannern dank dem Header theoretisch auf ablehnen geklickt habe und diese mir nicht mehr angezeigt werden sollten?

Ein ausgezeichnetes Geschäft für westdeutsche Banken: Im Zuge der Wiedervereinigung 1990 erhielten private Banken aus der BRD wie die Deutsche Bank Zugriff auf DDR-Staatsbanken. Sie kauften die Banken, die in der DDR für Zahlungs- und Kreditgeschäfte zuständig waren. Ein ausführlicher Bericht des Bundesrechnungshofs beklagte fünf Jahre später, dass die Kaufsummen Milliarden D-Mark zu niedrig angesetzt waren. Wir veröffentlichen hier erstmals den Bericht, der 28 Jahre lang als geheim eingestuft war. Der Bericht lag „Frontal 21“ schon 2010 vor, das ZDF veröffentlichte ihn aber nicht.