Versuchen Sie heute, ein Google-Konto zu erstellen, und Sie stoßen womöglich gegen eine Mauer, bevor Sie auch nur ein einziges Zeichen Ihres Namens eingegeben haben. Auf dem Bildschirm steht "Verifizieren Sie einige Informationen, bevor Sie ein Konto erstellen", ein QR-Code wird angezeigt, und Sie werden aufgefordert, ihn mit der Kamera Ihres Telefons zu scannen. Es gibt keinen Link zum Anklicken, keine E-Mail-Alternative, keinen "Überspringen"-Pfad. Kein Smartphone mit funktionierender Kamera bedeutet kein Konto. Das ist die gesamte Interaktion, und es lohnt sich, kurz innezuhalten und sie zu betrachten, denn sie macht ein Telefon klammheimlich zur Voraussetzung für die Nutzung des Webs.

Ich lebe in den Niederlanden, innerhalb der EU, und die Formulierung auf diesem Bildschirm ("Google muss einige Informationen über Ihr Gerät oder Ihre Telefonnummer verifizieren") liest sich weniger wie ein Sicherheitsfeature und mehr wie eine verpflichtende Identitätserfassung, die als Missbrauchsschutz verkleidet ist. In diesem Beitrag geht es darum, warum diese Unterscheidung wichtig ist und wo sie mit der DSGVO in Konflikt gerät.

Was der Bildschirm tatsächlich verlangt

Nehmen Sie die Aufforderung wörtlich. Um ein Konto zu erstellen, werden Sie gebeten:

  • Ein Smartphone zu besitzen, mit einer Kamera, die einen QR-Code scannen kann.
  • Den Vorgang an dieses Telefon zu übergeben, das Gerät zu verlassen, mit dem Sie begonnen haben, und Schritte abzuschließen, die Google Ihnen vorab nicht zeigt.
  • Das neue Konto an eine Telefonnummer zu binden, die in den meisten EU-Ländern auf SIM-Ebene selbst an eine verifizierte staatliche Identität gekoppelt ist.
  • Später im selben Funnel ein Geburtsdatum anzugeben sowie weitere persönliche Daten.

Nichts davon ist eine technische Voraussetzung dafür, dass ein E-Mail-Konto funktioniert. Ein Postfach muss weder Ihren Geburtstag noch Ihr Gerätemodell noch Ihren Mobilfunkanbieter kennen. Das sind Erfassungsentscheidungen, keine technischen Zwänge, und sie verdienen es, als Erfassungsentscheidungen beurteilt zu werden.

"Missbrauchsschutz" leistet hier eine Menge Arbeit

Die Rechtfertigung ist die Bot-Abwehr: "Verhinderung von Missbrauch durch Computerprogramme oder Bots." Das ist ein reales Problem, und die Konto-Erstellung zu drosseln ist legitim. Aber achten Sie auf die Form der Kontrolle. Sie verlangt nicht, dass Sie ein Rätsel lösen, das ein Mensch lösen kann und ein Skript nicht. Sie verlangt, dass Sie ein Telefon vorlegen. Was hier verifiziert wird, ist nicht "Sind Sie ein Mensch", sondern "Können Sie ein Gerät und eine Nummer vorweisen, die wir mit einem Fingerabdruck versehen und korrelieren können."

Das sind unterschiedliche Ziele. Das erste ist verhältnismäßig zur Missbrauchsbekämpfung. Das zweite ist Identitätsverknüpfung, und sobald eine Telefonnummer bei der Anmeldung angehängt ist, bleibt sie selten auf den Zweck beschränkt, für den sie erhoben wurde. Nummern, die "aus Sicherheitsgründen" hinzugefügt wurden, haben eine lange Geschichte des Abdriftens in Werbe-Targeting, in soziale Graphen zur Kontowiederherstellung und in dienstübergreifende Korrelation. Sicherheitsteams nennen das Function Creep. Die DSGVO nennt es ein Problem der Zweckbindung.

Wo das mit der DSGVO kollidiert

Ich behaupte nicht, dass ein Gericht diesen konkreten Ablauf für rechtswidrig erklärt hat. Ich verweise auf die Grundsätze, die eine Datenschutzbehörde tatsächlich abwägen würde, denn sie passen schlecht zu "scannen oder gehen."

Datenminimierung, Artikel 5(1)(c)

Personenbezogene Daten müssen "dem Zweck angemessen und erheblich sowie auf das für die Zwecke notwendige Maß beschränkt" sein. Der Zweck ist hier die Erstellung eines E-Mail-Kontos. Eine Telefonnummer und ein Geburtsdatum sind nicht notwendig, um ein Postfach zu betreiben, was bedeutet, dass die Beweislast beim Verantwortlichen liegt, zu zeigen, warum sie überhaupt erhoben werden, nicht beim Nutzer, eine Ablehnung zu rechtfertigen.

Freiwillig erteilte Einwilligung, Artikel 4(11) und 7(4)

Eine Einwilligung ist nur gültig, wenn sie freiwillig erteilt wird, und die Verordnung sagt ausdrücklich, dass man berücksichtigen muss, ob ein Dienst von der Einwilligung abhängig gemacht wird, in eine Verarbeitung, die für diesen Dienst nicht erforderlich ist. "Keine Telefonnummer, kein Konto" ist die Lehrbuchdefinition von abhängig. Wenn die einzige Alternative zur Datenweitergabe der vollständige Ausschluss vom Dienst ist, leistet die "Wahl" sehr wenig.

Verhältnismäßigkeit und Erforderlichkeit

Selbst auf Grundlage eines berechtigten Interesses statt einer Einwilligung muss die Verarbeitung einen Erforderlichkeits- und Abwägungstest bestehen. Jeden potenziellen Nutzer durch Hardware zu zwingen, die er womöglich nicht besitzt, um Bots abzuwehren, die nur einen Bruchteil der Anmeldungen ausmachen, lässt sich kaum als die am wenigsten eingreifende Option bezeichnen, wenn CAPTCHA, E-Mail-Bestätigung und Verhaltenssignale bereits existieren und keine Kamera erfordern.

Der Ausschluss, für den niemand entwirft

Unter dem Datenschutzproblem liegt ein leiseres Problem. Ein QR-und-Kamera-Tor setzt einen bestimmten Nutzer voraus: jemanden, der ein aktuelles Smartphone besitzt, einen Code physisch sehen und scannen kann und damit einverstanden ist, einen Kontoerstellungsvorgang auf ein Handgerät zu verlagern. Diese Annahme schließt Menschen aus, die nur einen Desktop nutzen, Menschen mit Sehbeeinträchtigungen, Menschen mit einfachen Mobiltelefonen, Menschen, die bewusst einen minimalen Geräte-Footprint pflegen, und alle, die schlicht nicht möchten, dass ein persönliches Telefon mit jedem Login verdrahtet ist.

"Nutze einfach ein Telefon" ist kein neutraler Standard. Es ist eine Designentscheidung, die die Kosten von Googles Missbrauchsproblem auf die Nutzer abwälzt, einschließlich der Nutzer, für die ein Smartphone keine Selbstverständlichkeit ist. Barrierefreiheit und Datenschutz weisen hier in dieselbe Richtung: ein so zentraler Dienst sollte einen Pfad haben, der nicht den Besitz bestimmter Hardware voraussetzt.

Was die EU tatsächlich dagegen tun könnte

Die DSGVO-Mechanik, um das anzufechten, existiert bereits. Sie braucht kein neues Gesetz, sie braucht die Durchsetzung der oben genannten Grundsätze:

  • Telefonnummer und Geburtsdatum bei der Anmeldung standardmäßig als nicht erforderlich behandeln und vom Verantwortlichen verlangen, die Erforderlichkeit zu beweisen, statt sie zu behaupten.
  • Einen echten alternativen Pfad zur Kontoerstellung vorschreiben, der weder ein Smartphone noch eine Nummer erfordert, gestützt auf die Abhängigkeitslogik von Artikel 7(4).
  • Den Zweck überprüfen: Wenn eine zum Missbrauchsschutz erhobene Nummer später für Werbung oder Korrelation verwendet wird, ist das ein Verstoß gegen die Zweckbindung, unabhängig davon, wie der Anmeldebildschirm formuliert war.

Eine abgestimmte Position des EDPB, oder eine einzige entschlossene DPA, reicht aus, um eine Neugestaltung zu erzwingen. Genau dieses Muster haben wir bei Cookie-Walls gesehen, wo Aufsichtsbehörden schließlich entschieden, dass "Einwilligung oder gehen" keine echte Einwilligung ist. Eine Hardware-Mauer ist dasselbe Argument, nur mit einer Kamera dran.

Was Sie heute tun können

Nichts von alledem hilft Ihnen in den fünf Minuten, in denen Sie tatsächlich ein Konto brauchen, also praktisch:

  • Nutzen Sie einen Anbieter, der kein Telefon verlangt, für die Konten, die Sie kontrollieren. Mehrere in der EU ansässige Mail-Anbieter behandeln eine Nummer als optional statt als verpflichtend.
  • Halten Sie Identität und Bequemlichkeit getrennt. Wenn Sie irgendwo eine Nummer anhängen müssen, verwenden Sie nicht dieselbe, die Ihre Bank- und staatliche Identität verankert.
  • Nehmen Sie Ihre Rechte wahr. Ein Auskunftsersuchen, und wo angebracht eine Beschwerde bei Ihrer nationalen Datenschutzbehörde, sind nicht symbolisch. Sie sind der Mechanismus, der die obigen Grundsätze in Druck verwandelt.

Das Fazit

Eine QR-und-Telefon-Mauer bei der Kontoerstellung wird als Sicherheit verkauft, doch die Daten, die sie tatsächlich sichert, sind Ihre, abgegeben als Eintrittspreis. In der EU hat dieser Preis einen rechtlichen Rahmen: Daten müssen minimiert werden, die Einwilligung muss freiwillig sein, und ein Dienst darf sich nicht klammheimlich von der Preisgabe von Informationen abhängig machen, die er zum Funktionieren nicht benötigt. "Scannen Sie das, oder Sie bekommen kein Konto" scheitert an allen drei Punkten auf den ersten Blick. Ob eine Aufsichtsbehörde das laut ausspricht, ist an diesem Punkt eine Frage des Willens und nicht des Rechts.

Lesen Sie als Nächstes

Denken Sie darüber nach, wie KI-Assistenten mit den Identitäts- und Einwilligungsdaten umgehen, die ihnen übergeben werden? Die Feldnotizen auf ercan.ai behandeln das. Für Beratung zu Cloud, Sicherheit und Compliance-geprägter Plattformarbeit beginnen Sie bei ercanermis.com.