Ich bin Mitglied bei BÜNDNIS 90/DIE GRÜNEN, hadere aber bei einigen Themen ganz massiv mit meiner Partei. Eines dieser Themen ist Datenschutz, bei dem ich oft das Gefühl habe, die Partei predigt zwar Wasser, säuft dann aber Wein.

Dieser Artikel wird ständig erweitert, Hinweise gerne per E-Mail, Chatbegrünung (für Parteimitglieder), Signal oder im Fediverse.

Soziale Netze

Nutzung Sozialer Netze

Im Gegensatz zur Bundestagsfraktion ist die Partei selbst bis heute nicht im Fediverse angekommen. Die Partei bespielt aber Facebook, Instagram und trotz aller Kritik daran auch weiterhin Twitter, und das, obwohl alle Beteiligten natürlich wissen, dass es keinen demokratischen Diskurs auf undemokratischen Plattformen geben kann.

Auch relativ neue Soziale Netze wie TikTok, Bluesky und Threads (komplette Liste), die allesamt deutlich jünger sind als das Fediverse, können mit viel Aufwand (siehe z.B. @diegruenen auf TikTok) bespielt werden. Aber um einfach nur die Posts von Twitter parallel auch noch im Fediverse zu veröffentlichen, dafür fehlt dann die Zeit.

Neben der Partei selbst gilt das leider auch für die meisten Landtags- und Bundestagsabgeordneten. Einige hatten noch Crossposter von Twitter zu Mastodon eingerichtet, seit die API von Twitter aber beschränkt wurde, liegen deren Accounts auf Mastodon brach, mehrfache Hinweise darauf wurden ignoriert. Instagram, Facebook, Twitter & Co. werden natürlich weiterhin bespielt. Das gilt leider auch für viele Politiker*innen, die es eigentlich besser wissen müssten…

Mastodon avatar for @netzbegruenung@gruene.social
Netzbegrünung @netzbegruenung@gruene.social

Fachsimpeln über soziale Netze zwischen @KonstantinNotz und @norbert...

Image 111471095233737932 from toot 111471097026353642 on gruene.social
12:05 PM • November 25, 2023 (UTC)

Konstantin hat am 25. September 2024 seinen Account auf gruene.social reaktiviert und ich freue mich sehr darüber.

Robert Habeck hat seinen Twitter Account 2019 gelöscht und das im Nachgang als “eine der weisesten Entscheidungen, die er in seinem Leben getroffen hat” bezeichnet. Nach dem Ampel-Aus hat er seinen Twitter Account reaktiviert und in seiner Rechtfertigung dafür gleich mal allen, die aus guten Gründen nicht in “Elon Musks rechtsradikaler und menschenfeindlicher Jauchegrube” aktiv sein wollen, vorgeworfen, es sich leicht zu machen…

Mastodon avatar for @LorenzMeyer@mastodon.social
Lorenz Meyer ✅ @LorenzMeyer@mastodon.social

Lieber Robert Habeck, Deine Rückkehr zu Twitter ist Deine Entscheidung. (Ich halte sie für falsch, aber egal) Aber indirekt zu unterstellen, dass alle, die nicht in Elon Musks rechtsradikale und menschenfeindliche Jauchegrube springen wollen, es sich "leicht machen", halte ich für - vorsichtig ausgedrückt - unglücklich.

Image 113443569553087724 from toot 113443576661436157" on mastodon.social
8:33 PM • November 7, 2024 (UTC)

Bei netzpoltik.org heißt es dazu:

Dass der deutsche Vizekanzler Robert Habeck ausgerechnet jetzt zu X und Instagram zurückkehrt, ist deshalb ein fatales Zeichen. Er wolle den Diskurs dort „nicht den Schreihälsen und Populisten überlassen“ schreibt der grüne Kanzlerkandidat in spe. Dabei übersieht er, dass es genau die sind, die vom überwachungskapitalistischen Geschäftsmodell der Plattformen mit noch mehr Reichweite belohnt werden, weil sie ihnen Werbeeinahmen bringen.

Weitere kritische Stimmen zu Roberts Rückkehr zu X habe ich in einem separaten Artikel gesammelt.

Wer auf dem Laufenden bleiben will, kommt also um die Nutzung dieser kapitalistischen, zentralisierten, datensammelnden und rechtsradikalen Sozialen Netze nicht herum.

Bei Diskussionen dazu wird häufig auch mit der Reichweite argumentiert. Es geht aber nicht um Reichweite, sondern um Qualität, wie Heise nach deren ersten Jahr im Fediverse aufgeschrieben hat:

Rund um den Account von heise online hat sich eine große Community gebildet, von der der Newsticker und die Redaktionen längst profitieren. Zwar ist es um Mastodon und vor allem das Fediverse zuletzt wieder etwas ruhiger geworden ist, in dem Netzwerk selbst ist aber weiterhin viel los.

Quelle: Heise Online

Die Liste für die Europawahl wurde nach meinem Hinweis kurz nach der Aufstellung auf der BDK 2023 noch um die Mastodon-Profile erweitert. Von den dort aufgeführten 40 Politiker*innen haben nur neun einen Account im Fediverse, aber nur Eine(!) ist auch im Fediverse aktiv: Corinna Balkow:

Mastodon avatar for @coba@gruene.social
Corinna Balkow @coba@gruene.social

am besten mit
@netzbegruenung

Image 111461416709105120 from toot 111461419042452174 on gruene.social
7:04 PM • November 23, 2023 (UTC)

Danke Corinna! 💚

Das Grüne Netz

Im Grünen Netz gibt es die Möglichkeit, ein eigenes Profil anzulegen. Bei diesem Profil lassen sich Accounts in Sozialen Netzen hinterlegen, allerdings nur für Facebook, Twitter und Instagram. Als einer der Betreibenden der Mastodon-, Pixelfed- und PeerTube-Instanzen der Netzbegrünung werde ich regelmäßig gefragt, warum es nicht möglich ist, im Grünen Netz auch Accounts im Fediverse zu hinterlegen.

Gruenes Netz

Ich habe die Partei dazu im November 2021 das erste Mal angeschrieben und darum gebeten, dass die Felder erweitert werden, damit z.B. auch Profile im Fediverse hinterlegt werden können. Damals hieß es dazu:

Eine Ergänzung der Felder steht auf der Featureliste für kommendes Jahr. Umsetzung Q1/2022.

Zwei weitere Anfragen dazu von mir im April und August 2022 wurden ignoriert, im November 2023 habe ich nochmal bei einem größeren Empfängerkreis nachgehakt. Die Antwort darauf:

Die Umstellungsarbeiten sind wegen anderer Projekte in den Hintergrund getreten, laufen aber nach wie vor. Ich bitte um etwas Geduld.

Im Februar 2024 habe ich dann nochmal angefragt und die Information erhalten, dass jetzt das komplette Grüne Netz umgebaut wird und daher keine Ressourcen mehr in die Veränderung des bestehenden Systems gesteckt werden.

Baustelle

Seit Anfang Oktober 2024 ist das neue Grüne Netz online, in dem es jetzt endlich die Möglichkeit gibt, auch einen Mastodon Account zu hinterlegen.

Neues Gruenes Netz

Leider gilt das nur für Mastodon, andere Accounts im Fediverse wie z.B. Pixelfed oder PeerTube sind nicht möglich, aber es ist ein Anfang.

Microsoft 365

Die Bundesgeschäftsstelle plant offenbar eine nicht unerhebliche Menge an Microsoft 365 Lizenzen anzuschaffen und versucht derzeit, auch die Landesverbände mit ins Boot zu holen. Und das, nachdem die EU-Kommission vor kurzem erst dazu verdonnert wurde, ihre Nutzung von Microsoft 365 einzustellen. Microsofts Cloud-Services stehen seit Monaten wegen massiver Sicherheitsvorfälle in der Kritik und auch die Datenschutzkonferenz der Länder bezweifelt, dass Microsoft 365 datenschutzkonform betrieben werden kann. Zu diesem Schluss kommt auch der Wissenschaftliche Dienst des Deutschen Bundestages und sogar für die US-Regierung scheint Microsoft aufgrund seiner Sicherheitspraktiken inzwischen ein ernst zu nehmendes Sicherheitsrisiko darzustellen.

Die Open Source Business Alliance warnt in einem offenen Brief davor, Microsoft allzu sehr zu vertrauen, da der Quellcode von Microsofts Software nicht offen sei und sich nicht unabhängig prüfen lasse, um etwa Hintertüren in den Programmen auszuschließen.

Die BAG Digitales und Medien hat auf ihrer letzten Sitzung am 22. Juni einen Beschluss zu dem Thema gefasst, in dem sie die Partei aufgefordert hat, aus den bereits genannten Gründen und mit Verweis auf unser Grundsatzprogramm keine Verträge für Microsoft 365 mehr abzuschließen und bestehende Verträge zu kündigen.

Die Gesellschaft für Informatik, die nun wirklich nicht im Verdacht steht, irgendwie linksgrün versifft zu sein, schlägt ebenfalls Alarm und warnt vor dem “goldenen Microsoft-Käfig”.

Videokonferenzen

Die Partei nutzt nach wie vor primär Zoom für interne Veranstaltungen. Das führt immer wieder zu Kritik und Diskussionen, zuletzt auf dem Landesparteitag Schleswig-Holstein. Es gibt zwar seit kurzem mit Meet GRÜNE eine eigene Open Source Lösung, diese wird aber nur von einigen wenigen Gliederungen, Bundes- und Landesarbeitsgemeinschaften genutzt, meist solche mit digitalpolitischen Hintergrund, die bereits in der Verangenheit Zoom gemieden haben.

Veranstaltungen von Bundesverband und Landesverbänden finden nach wie vor ausschließlich über Zoom statt und schließen damit alle Menschen aus, die ihr Recht auf informationelle Selbstbestimmung wahrnehmen wollen.

WhatsApp

Seit einiger Zeit werden Neuigkeiten über WhatsApp verbreitet. Statt datenschutz-freundliche Messenger wie Signal oder Threema zu nutzen, werden die Daten der Mitglieder und Interessenten also an Meta weitergegeben. Das Argument der Partei dazu lautet:

Wir gehen dorthin, wo die Menschen längst sind.

Fun Facts am Rande: Es gab vor einigen Jahren bereits einen Kanal bei Threema, der dann aber eingestellt wurde. Der parteieigene Messenger namens Chatbegrünung auf Basis von Rocket.Chat wird von der Partei gar nicht zur Kommunikation genutzt.

Slack

Mehrfach bestätigt wurde inzwischen auch, dass die Bundesgeschäftsstelle für die interne Kommunikation seit mehreren Jahren Slack verwendet. Meine Anfrage dazu, wie dabei sichergestellt werden kann, dass keine personenbezogenen Daten von Mitgliedern der Partei an Dritte übertragen werden, vor allem nachdem jetzt bekannt wurde, dass Slack sämtliche Inhalte zum Training von LLMs verwendet, blieb leider bisher unbeantwortet.

Nach einer erneuten Anfrage per E-Mail hat jetzt auch die Bundesgeschäftsstelle selbst die Nutzung von Slack bestätigt:

Wir nutzen Slack ausschließlich für die interne Kommunikation in der Bundesgeschäftsstelle. Wir haben die dafür notwendigen Datenschutzvorkehrungen getroffen wie auch technisch-organisatorische Maßnahmen festgelegt, um sicherzustellen, dass bspw. Mitgliedsdaten nicht über diesen Kanal versendet werden.

Wie genau sie das sicherstellen wurde leider nicht mitgeteilt, auch meine Frage, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO existiert, wurde ignoriert.

Zum Thema LLMs schreibt die Bundesgeschäftsstelle:

Die Verwendung unserer Daten im Training der globalen KI-Modelle von Slack ist deaktiviert. Das gilt auch für historische Daten.

Laut der Privacy Principles von Slack hilft das aber nur bedingt:

If you want to exclude your Customer Data from helping to train Slack global models, you can opt out. If you opt out, Customer Data on your workspace will only be used to improve the experience on your own workspace and you will still enjoy all of the benefits of our globally trained AI/ML models without contributing to the underlying models.

Es lässt sich bei Verwendung von Slack also gar nicht verhindern, dass die darüber laufende Kommunikation für das Training der Slack LLMs verwendet wird.

Google reCAPTCHA

Auf einigen Webseiten der Partei, z.B. der zur Verwaltung der Mailinglisten, wird Google reCAPTCHA eingesetzt und direkt ohne Einwilligung geladen:

Google reCAPTCHA

In der Vergangenheit wurden bereits Strafen in sechsstelliger Höhe wegen der Einbindung von reCAPTCHA ohne Einwilligung verhängt.

Seit Jahren gibt es datensparsame Alternativen zu reCAPTCHA, es ist absolut nicht nachvollziehbar, warum hier ein Dienst von Google verwendet und dabei auch noch auf die nötige Einwilligung verzichtet wird. Mehrere Anfragen von mir dazu wurden von der Partei und deren Datenschutzbeauftragten leider nicht beantwortet.

Typeform

Umfragen werden von der Partei über das bei Amazon gehostete Typeform durchgeführt:

$ host gruenede.typeform.com
gruenede.typeform.com is an alias for proxyv3-public-prod-425379236.us-east-1.elb.amazonaws.com.
proxyv3-public-prod-425379236.us-east-1.elb.amazonaws.com has address 52.202.233.117
proxyv3-public-prod-425379236.us-east-1.elb.amazonaws.com has address 107.21.106.148
proxyv3-public-prod-425379236.us-east-1.elb.amazonaws.com has address 3.227.130.3

Unbegreiflich, warum für solche Umfragen nicht wenigstens ein DSGVO-konformer Dienst wie LamaPoll verwendet wird, wenn es schon keine selbstgehostete Lösung wie Nextcloud Forms sein soll…

In der Datenschutzerklärung wird Typeform gar nicht erwähnt.

Personio

Die Partei nutzt Personio zur Organisation ihrer Jobangebote und damit möglicherweise auch zur Verwaltung der Mitarbeitenden. Hosting bei Amazon und E-Mails über Google sind bei Personio nur die Spitze des Eisbergs, ich hatte mich in einem anderen Zusammenhang schon mal mit denen auseinander gesetzt, dazu veröffentliche ich bei Gelegenheit noch einen separaten Artikel.

Webseite gruene.de

Nach einem Hinweis im Fediverse habe ich mal einen Blick auf unsere Webseite und deren Datenschutzerklärung geworfen…

Eingebundene Dienste

Beim Aufruf der Webseite werden ohne Einwilligung Inhalte von folgenden Domains eingebunden:

  • actionnetwork.org
  • etracker.com
  • instagram.com
  • vercel-insights.com

gruene.de

Die Einbindung von Instagram kann grundsätzlich nur auf Basis einer freiwilligen Einwilligung durchgeführt werden, da

a) andere Rechtsgrundlagen nicht geeignet sind und
b) die Einbindung von Instagram nicht für den Betrieb der Website nötig ist.

Das macht dank Embed Privacy Plugin für Wordpress selbst mein eigener kleiner Kreisverband auf seiner Webseite besser.

Meine ersten beiden Anfragen zu dem Thema von Anfang bzw. Mitte Oktober bei der Partei und deren Datenschutzbeauftragte*n wurden ignoriert, nach der dritten Anfrage Anfang November kam dann eine knappe Antwort, man sei dran.

Schauen wir mal…

Datenschutzerklärung

Ich bin kein Jurist, kann die Datenschutzerklärung daher nicht juristisch prüfen, nach einem kurzen Überfliegen habe ich schon zwei Stellen gefunden, die sich widersprechen.

Im Abschnitt über Web-Analyse und Verwendung von Cookies steht:

Eine andere Verwendung, Zusammenführung mit anderen Daten oder eine Weitergabe an Dritte erfolgt nicht.

Ein Abschnitt weiter dann:

Zu diesem Zweck werden die durch den Cookie erzeugten Nutzungsinformationen (einschließlich Deiner gekürzten IP-Adresse) an Action Network übertragen und unter Einhaltung des Datenschutzniveaus in Europa gemäß Datenschutz-Grundverordnung (DSGVO) gehostet.

Da wurden offenbar blind Inhalte ergänzt, ohne sich danach mal anzusehen, ob der Rest des vorhandenen Texts überhaupt dazu passt.

Inhalte von Google

Im Wahlkampf ist offenbar alles erlaubt…

$ host teilen.gruene.de
teilen.gruene.de is an alias for app.sosha.ai.
app.sosha.ai has address 35.192.106.161
$ host 35.192.106.161
161.106.192.35.in-addr.arpa domain name pointer 161.106.192.35.bc.googleusercontent.com.

Hier werden Parteimitglieder und Interessent*innen auf Server von Google geleitet, die dann ganz genau sehen können, welche politischen Interessenen existieren. Mit diesen Informationen kann Google seine (Werbe-)Profile verfeinern und noch gezielter Werbung gegen Geld ausspielen.

Fazit

Unser Grundsatzprogramm macht große Ansagen zum Thema Datenschutz:

Offenheit muss ein Leitprinzip für den digitalen Wandel sein. Die Verfügbarkeit von Daten ist durch europäische, datenschutzkonforme, dezentrale und kooperative Datenökosysteme zu ermöglichen und zu fördern.
[…]
Offene Daten, offene Software, offene Standards und offene Schnittstellen müssen politisch gefördert werden und Standard sein, wenn öffentliche Gelder aufgewendet werden.
[…]
Open Source, Open Data und höchste Daten- und Verbrau­cher*innen-Schutz-Standards sind die europäische Antwort, um einer unkontrollierten Datenmacht von Staaten wie von Unternehmen entgegenzuwirken.
[…]
Diskursräume müssen transparent, grundrechtskonform und nach rechtsstaatlichen Grundsätzen gestaltet werden. Dies gilt gerade auch für die Funktionsweise digitaler Plattformen.

Quelle: Grundsatzprogramm (Seiten 49 und 73)

Ich frage mich aber ernsthaft, wie wir das alles umsetzen wollen, wenn wir bei den genannten Themen intern schon an so vielen Stellen versagen und gegen unser eigenes Grundsatzprogramm verstoßen…

Kommentare gerne im Fediverse.