In den USA kocht gerade ein riesiger Datenschutzskandal hoch. Einige Steuerberatungsfirmen, die US-Amerikaner in Steuerangelegenheiten vertreten, haben die vertraulichen Daten von Steuerpflichtigen mit Meta (Facbook-Mutter) und Google geteilt. Die Unternehmen nutzten diese Informationen für zielgerichtete Werbung. Nun wird das Ganze Ausmaß deutlich, es sind wohl sehr viele US-Amerikaner betroffen und den Firmen drohen Milliardenstrafen.
Anzeige
Die Geschichte schlug vor einigen Tagen in den US-Medien ziemliche Wellen, weil nach sieben Monaten Untersuchung der offizielle Bericht Attacks on Tax Privacy als 54 seitiges PDF-Dokument öffentlich wurde. Ich bin über nachfolgenden Post auf Mastodon auf den Artikel von ArsTechnica aufmerksam geworden – es gibt aber viele US-Medien, die über den Fall berichten.
Steuerberater geben Daten weiter
Im November 2022 wurde durch einen Bericht von The Markup öffentlich, dass die Steuerberatungsfirmen TaxSlayer, H&R Block und TaxAct Daten, die US-Amerikaner in Steuerangelegenheiten vertreten, über ihre Webseiten zur Eingabe der Steuererklärungen die vertraulichen Daten von Steuerpflichtigen mit Meta (Facbook-Mutter) und Google geteilt haben.
Die Unternehmen Meta und Google haben diese, teils sehr brisanten, Informationen für zielgerichtet Werbung genutzt. Daten sind das neue Gold und die USA sind das Land der unbegrenzten Möglichkeiten, speziell, was das Sammeln persönlicher Daten betrifft. Aber an dieser Stelle haben die drei genannten Firmen es wohl "etwas übertrieben".
Anzeige
Untersuchungsbericht des US-Kongresses
Denn das Ganze hat dann zu einer offiziellen Untersuchung des US-Kongresses, geleitet von Senatoren rund um Elizabeth Warren, geführt. Nun ist das ganze Ausmaß des Datenskandals absehbar, es könnte jeden US-Amerikaner betreffen, der sich in steuerlichen Angelegenheiten von einer dieser Firmen unterstützen ließ. Die von US-Senatoren durchgeführte Untersuchung stellte fest, dass H&R Block, TaxAct und TaxSlayer "rücksichtslos" möglicherweise über Jahre Hunderte Millionen sensibler persönlicher und finanzieller Daten von Steuerzahlern mit Google und Meta geteilt haben. Das geht aus einer Pressemitteilung hervor, die sich hier abrufen lässt
Auch wenn die USA wohl das Land der unbegrenzten Möglichkeiten ist, gibt es Gesetze, die es Steuerberatern verbieten, Informationen über Steuererklärungen ohne Zustimmung der Kunden weiterzugeben. Die Untersuchung der US-Senatoren ergab, dass:
- die Steuerberatungsunternehmen Millionen von Daten von Steuerzahlern mit Meta, Google und anderen Big-Tech-Firmen geteilt haben. Die Firmen verwendeten als "Pixel" bekannten Computercode um Daten von Steuerpflichtigen, die die Dienste der Steuerberater nutzten, an Meta und Google zu senden. Während die meisten Websites Pixel verwenden, ist dies für Online-Seiten zur Steuererklärung besonders leichtsinnig. Die Betreiber haben wohl keine weiteren Schritte unternommen, um sicherzustellen, dass die Pixel nicht auf sensible Informationen zugreifen. TaxAct, TaxSlayer und H&R Block bestätigten, dass sie das Meta-Pixel "seit mindestens ein paar Jahren" verwendet haben, und alle drei Unternehmen nutzen Google Analytics (GA) sogar noch länger.
- Die Steuerberatungsunternehmen gaben außerordentlich sensible persönliche und finanzielle Informationen an Meta weiter. Das Unternehmen nutzte die Daten für verschiedene Werbezwecke. TaxAct, H&R Block und TaxSlayer gaben in der Antwort auf die Anfrage des Kongresses zu, dass sie durch die Nutzung des Meta Pixel und der Google-Tools Daten von Steuerzahlern weitergeben. Obwohl die Steuervorbereitungsunternehmen und Big-Tech-Firmen behaupteten, dass alle weitergegebenen Daten anonym seien, haben die FTC und Experten darauf hingewiesen, dass die Daten leicht dazu verwendet werden könnten, Einzelpersonen zu identifizieren oder ein Dossier über sie zu erstellen, das für gezielte Werbung oder andere Zwecke genutzt werden könnte.
- Der Kongressausschuss kommt zum Schluss, dass die Steuerberatungsunternehmen und Big-Tech-Firmen in Bezug auf ihre Praktiken der gemeinsamen Datennutzung und ihren Umgang mit sensiblen Steuerzahlerdaten rücksichtslos handelten. Die Steuerberatungsunternehmen gaben an, dass sie die Meta- und Google-Tools auf ihren Websites installiert haben, ohne sich darüber im Klaren zu sein, in welchem Umfang sie Steuerzahlerdaten an diese Technologieunternehmen weitergeben würden, ohne unabhängige Compliance- oder Datenschutzexperten zu konsultieren und ohne vollständige Kenntnis der Verwendung und des Umgangs von Meta mit den Daten.
Die Unternehmen, die Steuererklärungen erstellen, haben durch die Weitergabe von Steuerzahlerdaten an Big-Tech-Firmen möglicherweise gegen Gesetze zum Schutz der Privatsphäre von Steuerzahlern verstoßen, schreibt Senatorin Warren. Nach dem Gesetz darf ein Steuerberater die Daten eines Steuerzahlers ohne schriftliche Zustimmung nicht weitergeben oder verwenden. Bezüglich der Weitergabe an Meta und Google lag diese Zustimmung aber nicht vor. Steuerberatungsunternehmen können zwar Daten an "Hilfsdienstleister im Zusammenhang mit der Erstellung einer Steuererklärung" weitergeben. Meta und Google fallen jedoch (wahrscheinlich) nicht unter die Definition von "Hilfsdienstleistern", und die Weitergabe von Daten an Meta diente Werbezwecken – nicht "in Verbindung mit der Erstellung einer Steuererklärung", schreibt die Senatorin.
Die Senatoren des US-Kongresses fordern nun das Justizministerium, den Internal Revenue Service (IRS, US-Steuerbehörde), die Federal Trade Commission und den Treasury Inspector General for Tax Administration (Generalinspektor des Finanzministeriums für die Steuerverwaltung) auf, "diese Angelegenheit vollständig zu untersuchen und alle Unternehmen oder Einzelpersonen, die gegen das Gesetz verstoßen haben, strafrechtlich zu verfolgen." ArsTechnica zitiert den Bericht der Kongressmitglieder, der besagt, dass jeder Steuerberater, der wissentlich oder leichtfertig Informationen über Steuererklärungen weitergibt, mit einer Geldstrafe von bis zu 1.000 Dollar pro Verstoß und einer Gefängnisstrafe von bis zu einem Jahr belegt werden kann. Angesicht von Millionen an weitergegebenen Daten von Steuerzahlern dürfte dass auf Milliarden schwere Geldstrafen hinauslaufen.
Implikationen für Europa
Kann man in Europa als "Randnotiz" abtun. Aber dieser Vorfall zeigt einmal, dass in den USA kaum ein Bewusstsein für Datenschutz existiert – es wird einfach mal gemacht, vielleicht kommt man ja durch. Wirft natürlich ein besonderes Licht auf Software und Dienstleistungen, die in den USA erstellt bzw. erbracht, aber weltweit vermarktet werden. Erklärt auch, warum Apple, Google, Microsoft, Meta/Facebook etc. so agieren, wie sie agieren. Da werden Daten gesammelt, was das Zeug hält, während in der EU die DSGVO davor steht.
Ich hatte hier im Blog schon mal konstatiert, dass China das fehlende Bewusstsein für Datenschutz auf die Füße fällt, weil dort alles und jedes überwacht wird. Firmen, die Software erstellen und diese international vermarkten, haben dann ein gravierendes Handicap, wenn es um Datenschutz geht. Das Gleiche lässt sich unter obigem Blickwinkel auch für die USA konstatieren. Und hier wird es interessant, wenn wir den Versuch der EU-Kommission betrachten, ein Datentransferabkommen zwischen EU und USA zu etablieren, damit Daten von EU-Bürgern zur Verarbeitung im weiteren Sinne in die USA transferiert werden dürfen (siehe EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework). Möglicherweise führt der obige Vorfall auch dazu, dass die US-Datenschutzgesetze verschärft werden.
Anzeige
Alles was wir wissen ist das es in Europa (bisher?) keiner nachweisen konnte.
Den Satz verstehe ich schlicht nicht. Hab zwar keine aktive IRS-Steuernummer mehr, brauchte aber (wegen Doppelbesteuerungsabkommen) auch keine US-Steuererklärung abzugeben bzw. habe das nie gemacht …
Ich denke er meint das sowas auch andere Steuerberater in der EU bzw. DE gemacht haben.
Guten Morgen zusammen…
Dann hoffen wir, dass Max Schrems und seine Organisation erneut erfolgreich vor dem EuGh klagen….
Habt ein schönes Wochenende!
Da wird der entscheidende Unterschied zwischen USA und Europa wieder offensichtlich.
Kein Datenschutz als organisierter Ringelpietz, aber bei Verstoß saftige Strafen. Wenn US-Bürger betroffen sind.
Heißt für Europa: kein Datenschutzringelpietz vorher, wenn Angemessenheitsbeschluss greift. Daten fließen dann in die USA, aber keine saftigen Strafen bei Verstoß hinterher.
Quasi rechtsfreier Raum.
Kann bitte jemand technisch herleiten wie ein Tracking Pixel Steuerdaten an Dritte weiterleiten kann? Klar ich sehe dass ein Device XY auf Steuerberatungsseite YZ war, von mir aus auch noch dass die Person dort Kunde ist, wenn sie ja auf's Backend zurückgreift, aber wie soll ein TrackingPixel an Steuerdaten kommen?
Ganz lesen:
"[…] die Nutzung des Meta Pixel und der Google-Tools […]"
Sobald Scripte mit ins Spiel kommen (und kein simpler img-Tag), kannst Du alles mögliche damit anstellen. Ansonsten ist Metas Entwicklerseite ein guter Anlauf. Ich erinnere an das "Meta-Tracking-Pixel-Thema" beim Blutspendedienst des roten Kreuzes in Deutschland.
"Ich hatte hier im Blog schon mal konstatiert, dass China das fehlende Bewusstsein für Datenschutz auf die Füße fällt, weil dort alles und jedes überwacht wird. Firmen, die Software erstellen und diese international vermarkten, haben dann ein gravierendes Handicap, wenn es um Datenschutz geht. Das Gleiche lässt sich unter obigem Blickwinkel auch für die USA konstatieren."
Nein, eben nicht! Denn auch in den USA gibt es Datenschutz und das was diese Steuerberater, Google undMeta hier gemacht haben, ist auch in den USA illegal. Sonst wäre das in den USA nicht so ein Skandal. Dass sie es trotzdem gemacht haben, spricht allerdings tatsächlich Bände und diese Strafe hilft jetzt hoffentlich, den Verantwortlichen bei Google und Meta die Augen zu öffnen. Ich hoffe, dass die dafür in den Konzernen verantwortlichen Mitarbeiter auch persönlich bestraft werden, ruhig ein Exempel vor allen anderen Mitarbeitern. Anschauungsunterricht pur.
Übrigens, was bemerkt? Microsoft kommt in der Geschichte garnicht vor?! Waren die für so einen "Deal" nicht schlau oder unverfroren genug, oder nehmen die das mit dem Datenschutz doch ernst?
Zwei, drei kurze Randbemerkungen:
Es kommt in Bezug auf den Steuerdatenskandal keine Zuweisung auf Microsoft vor. Der Name findet sich in einer Auflistung von US-Big-Tech-Firmen, die "sehr viele" Daten von Kunden abziehen.
Der obige Fall ist ein weiteres Beleg dafür, dass der Datentransfer EU – USA für EU-Bürger, die Schutz für ihre Daten möchten, nicht funktioniert. Lies dir einfach die Ausführungen von noyb/Schrems zu den "Rechtsschutz-Konstrukturen" für nicht US-Bürger durch.
Und jetzt kommen wir zur Kernaussage: Ein Entwickler, dem Datenschutz in Fleisch und Blut eingegangen ist, wird gänzlich anders agieren, als jemand, der in einem Umfeld "alles geht, solange keiner drauf kommt" entwickelt. Der hat schlicht kein Gespür für, wenn was schief läuft. Hat man bei MS diverse Male gesehen, als die nach einem Versuchsballon sehr fix zurückrudern mussten, weil es Nutzerkritik gab.
Die jetzt anlaufenden Prozesse zu OpenAI & Co. wegen Data-Scraping sind doch das beste Beispiel. Daher tun sich US-Firmen auch mit der EU recht schwer. Threads von Meta wurde in den USA eingeführt, weil dort zig Informationen durch Meta per AGB gesammelt werden dürfen. In der EU scheint der Digital Markets Act Meta davon abgehalten zu haben, sofort loszustürmen.
Ich sehe das bei uns, wir haben auch Entwickler. Die programmieren nicht einfach drauf los, sondern die bekommen genaue Vorgaben, "Pflichtenheft", auch wenn es kein "Heft" mehr ist, und Datenschutz-relevantern Code wird auch vom internen Datenschutz anhand der Dokumentation abgeglichen. Da kommt kein "Entwickler" auf die Idee, die Daten nochmal mit einer Steuerkanzlei abzugleichen. Diese Arbeitsweise dürfte international Standard sein, auch in den USA, gerade in Großkonzernen. Denn an solch einer Funktion hängen ja auch Arbeitszeit und andere Ressourcen, die der jeweilige Entwicklungschef mit seinem Auftraggeber abrechnen muss. Spätestens wenn auf solch einer Abrechnung eine Funktion auftaucht, die vorher nicht beauftragt wurde, würde der (intern natürlich) Sturm laufen. Eine solche Funktion wurde also an einer größeren Glocke aufgehängt, als bei dem Coder der es letztlich umsetzt.
Wer Kundendaten heimlich aber legal verhökern will, packt das einfach in seine 200 Seiten lange AGB – das lesen dann sicher nur ganz wenige… Paypal macht ja vor wie das geht – mit Richterlichem Segen.
Ob eine Webseite solche Facebook-Pixel enthält, kann man mit der Browser-Erweiterung "Meta Pixel Helper" anzeigen lassen.
Mit der Erweiterung AdGuard kann man Facebook und Co blockieren.
Noch besser ist es, wenn man bereits in der hosts-Datei alle facebook-Adressen wegfiltert. Das sind mindestens 2103 Zeilen, die man da in die hosts Datei einfügen muss und das ist der alte Stand, als es nur facebook und noch kein META gab.
Facebook Sperrliste für die hosts mit 2103 Zeilen:
https://pastebin.com/UFm7gUE1
diese Liste ist auch kompatibel mit Blokada, NetGuard auf dem Smartphone.
Wenn ein Konzern buchstäblich mehrere tausend Adressen benutzt, um Daten abzuschnorcheln, dann sollte man äußerst misstrauisch sein und am besten alles von diesem Konzern blockieren.
Nochmal zur Erinnerung:
facebook ist das umbenannte "Livelog-Project" des DARPA.
Wired gab am 4.2.2004 (dem Erscheinungstag von Facebook) den Wink mit dem Zaunpfahl:
"The Pentagon canceled its so-called LifeLog project, an ambitious effort to build a database tracking a person's entire existence. Run by Darpa, the Defense Department's research arm, LifeLog aimed to gather in a single place just about everything an individual says, sees or does:"
www[.]wired[.]com/2004/02/pentagon-kills-lifelog-project
"Online 4. Feb. 2004"
de[.]wikipedia[.]org/wiki/Facebook
Marc Zuckerberg st nur der scheinbar private Frontmann für die staatliche Schnüffelei.
Genauso wie auch Elon Musk nur ein scheinbar privater Frontmann ist, denn bei einer Untersuchung kam heraus, dass Musk zu 95 Prozent aus öffentlichen Geldern finanziert wird.
In den 1968ern war der Milliardär Howard Hughes so ein scheinbar privater Frontmann für das "Project Azorian" der CIA, das keine Manganknollen vom Meeresboden hob, sondern ein russisches Atom-U-Boot.
Heutzutage werden eben Daten erhoben von möglichst sämtlichen Menschen weltweit und damit Profile und Akten angelegt.
Die Kombination aus google (was sucht die Person) plus facebook (welche Beiträge schaut er sich an oder liked sie gar) plus Tesla (Bewegeungsprofile, Kameraaufzeichnungen, Gesprächsaufzeichnungen im auto), ist verheerend für die Privatsphäre.
Zitat :"Die Kombination aus google (was sucht die Person) plus facebook (welche Beiträge schaut er sich an oder liked sie gar) plus Tesla (Bewegeungsprofile, Kameraaufzeichnungen, Gesprächsaufzeichnungen im auto), ist verheerend für die Privatsphäre."
Das ist genau mein Problem.
Ich müsste Google & Co noch viel mehr aussperren.
Trotzdem bin ich immer wieder über Bekannte verwundert, die mich milde belächeln und denken, dass "Die" sowieso alles über uns wüssten oder es keinen interessiert.
Die "dass es keinen interessiert"-Nummer höre ich ja auch immer wieder – brauche ich nur meine Frau anzusehen … "Du bist immer so krass, wen kennst Du, dem Bankkonten geplündert wurden? wen interessiert, was über mich an Daten vorhanden ist?" – und "wir können doch sowieso nichts machen".
Gut, sie ist nicht auf Facebook oder (un-)sozialen Netzwerken, macht nur etwas Mail und mal im Messenger. Aber wehe, es passiert was "unvorhergesehenes". "Kannst mal schnell kucken, ob was schlimmes passiert ist" – das Briefing funktioniert also irgendwie …
Und für alle Zeitgenossen, die zur "ich habe doch nichts zu verbergen"-Fraktion gehören, habe ich eine Abend-Lektüre Wer nichts zu verbergen hatte, wurde erschossen aus dem Jahr 2015 von Andreas Ditze.
Ist schon tragisch, was da aus "gesammelten Daten" für Konsequenzen resultierten. Und ohne den im Thread hier in die Diskussion geworfenen Aluhut herauszuzerren – es braucht nicht viel Phantasie, sondern nur einen Blick in die Weltgeschichte der letzten 4-5 Jahre, um zu erkennen, dass sich politische Systeme binnen kurzer Zeit ändern. Daten, die gesammelt wurden, wecken Begehrlichkeiten, und Orwells 1984 ist ein Kinderbuch gegen das, was heute geht.
Ich hab natürlich auch was zu verbergen, aber solange ich das nirgends reinschreibe, kanns auch keiner klauen.
Es gibt da ein schönes Lied, kennt jeder:
"Die Gedanken sind frei"
Und fortgeführt wird das Lied dann auch noch von Wolfgang Niedecken (BAP) mit "Sinntflut" und "3 Wünsche frei" anhand konkreter Beispiele, die Texte sollte man mal lesen, sind online (bap.de und bap-fan.de).
Würde das jeder beherzigen, hätten wir nicht den Auftsand der blauen Dorftrottel.
Grundsteuererklärung 2022 … Mikrozensus 2022 mit allen Fragen … jede Gemeinde meint eine Parking-App benötigen zu müssen … SIM-Karten-Registrierung … Bankkonten-Registrierung … Elektronische Patientenakte (ePA) als Opt-out (was, sie haben was zu verbergen, ohne ePA kann ich sie nicht behandeln). Lässt sich beliebig fortsetzen
Gut, ich stehe ja auch morgens mit Alu-Hut auf … und Snowden ist halt ein Märchenonkel, der zum "pösen Großväterchen nach Russland" gezogen ist. Bei etwas Zeit, mal auf YouTube nach David Kriesel vom ccc und seinen Big Data-Vorträgen suchen.
An manchen Tagen könnte ich glatt verzweifeln, wie blauäugig die Masse da agiert und auch noch freudig mit "was soll schon passieren" auf bestimmte Lösungen setzt – und gleichzeitig von Einzelnen sogar noyb und Schrems ein "Geschäftsmodell" unterstellt wird, weil diese wenigstens Mindeststandards an Datenschutz reklamieren. Aber an dieser Stelle erinnere ich mich an den weisen Albert Einstein und dessen Erkenntnisse an die Unendlichkeit …
"Grundsteuererklärung 2022 … Mikrozensus 2022 mit allen Fragen … jede Gemeinde meint eine Parking-App benötigen zu müssen … SIM-Karten-Registrierung … Bankkonten-Registrierung … Elektronische Patientenakte (ePA)"
Das sind eben Dinge, die unsere moderne Gesellschaft eben erfordert, hier muss man tatsächlich hoffen/vertrauen dass die Daten dort sicher abgelegt sind, und aus eigener beruflichen Erfahrung, hatte schon als IT-Admin mit dem einen oder anderen dieser Themen Berührung, und kann sagen, dass man sich hier nach allen Kräften bemüht, dieses Vertrauen zu erhalten.
Bei den Sachen geht es aber nicht um Gesinnungstests wie in "1984" oder dem chinesischen Scoring-System, in diesen Systemen liegen nur Daten, die für den jeweiligen Zweck erforderlich sind. Die Telekom rechnet Ihre SIM-Karte sicher nicht darüber ab, ob Sie SPD, CDU, Linke, Grüne, AFD, Die Grauen, Biertrinkerpartei oder sonstwas wählen. Und in Ihrer Krankenakte steht auch nicht drin, dass Sie Anti-Microsoft sind und schonmal auf einer Demo gegen Flughafenausbau (jetz alles nur mal geraten) waren.
Und wenn wir nicht wollen, dass diese Daten zusammen gemischt werden, dann dürfen wir eben nicht die antidemokratische blaue Partei wählen, die hier manche meinen, wählen zu müssen, ohne nachzudenken. In dem Fall lieber besser einfach daheim bleiben! Wenn die nämlich mal mehr als Bürgermeister und Landrat stellen, die werden da nämlich hemmungslos in die Vollen greifen, das ist so sicher wie das Amen in der Kirche, die dann als Hort des Widerstands sicher geschlossen wird.
Ich bitte darum, hier keine Politik zu machen. Vor allem dann nicht, wenn Du nicht den Hauch einer Ahnung hast, über was Du da meinst, etwas erzählen zu müssen.
Baoh, hier fliegen mal wieder die Aluhüte!
Wann wurde es eigentlich hoffähig, sich seines Unwissens/Naivität zu brüsten? Früher schwiegen solche Menschen peinlich berührt.
Ich glaub seit er hier im Blog schreibt. Aber mal im Ernst wenn ich so etwas lese "Das sind eben Dinge, die unsere moderne Gesellschaft eben erfordert, hier muss man tatsächlich hoffen/vertrauen dass die Daten dort sicher abgelegt sind, und aus eigener beruflichen Erfahrung, hatte schon als IT-Admin mit dem einen oder anderen dieser Themen Berührung, und kann sagen, dass man sich hier nach allen Kräften bemüht, dieses Vertrauen zu erhalten. " dann weiß ich auch nicht mehr ob ich lachen oder heulen soll.
Erstens braucht eine morderne Gesellschaft nicht alles was bestimmte Lobbyisten jetzt aus dem Hut zaubern, um nur mal die elektronische Patientenakte zu nennen.
Zweitens muss ich nicht Leuten vertrauen und hoffen, dass die mit meinen Daten keinen Scheiß bauen die haben nachzuweisen dass sie das tun.
Und drittens verdienen Firmen oder Organisationen kein Vertrauen die schon mal große Datenskandale verursacht haben und ihre IT wieder 100 % genau so aufbauen wie vor dem Datenskandal ich sag nur Windows AD Office Exchange usw.