Inhaltsverzeichnis
GEMA: Informationen eines Insiders
Wenn die GEMA in dieser Woche einen Preis verleiht, deren Namen selbst sprachlich versierte Menschen kaum aussprechen können, weil man ihn so benannt hat, dass es sprachlich weh tut, den Namen des Preises zur zu lesen, wundert es nicht, was momentan sonst so von GEMA-Mitgliedern diskutiert wird… diesmal geht es um den sensiblen Bereich der Daten der GEMA-Mitglieder.
US-Dienste im Einsatz
Die GEMA ist bekannt – sie ist die Verwertungsgesellschaft für Urheber (Texter und Komponisten). In Deutschland herrscht für öffentlich aufgeführte Musik immer die Annahme der „GEMA-Pflicht“, solange der/die Urheber das Gegenteil erwirken können (Ausnahmeanträge etc.). Zur Vergütung der Tantiemen nimmt die GEMA die Verwertungsrechte der Urheber wahr (das ist sogar verpflichtend) und schüttet dann die erzeugten Gewinne der Urheber an diese aus. Wir gehen hier nicht ins Detail, da es zu umfangreich und auch irrelevant für den Beitrag ist.
Seit einiger Zeit betreibt die GEMA nun ein Online-Portal für die Urheber, damit diese schnell und unkompliziert Zugriff auf ihre GEMA-Daten haben. Dazu gehören die Tantiemen, Finanzdaten, GEMA-Kontenbewegungen und natürlich das gesamte musikalische Repertoire, welches die GEMA für den Urheber verwertet.
Wie uns nun aus zuverlässiger Quelle berichtet wird, gibt es im Online-Portal der GEMA allerdings wohl einige technische ‘Installationen’, die fragwürdig sein dürften! So hat die GEMA im Online-Portal z. B. den Analysedienst von GOOGLE installiert (Google-Analytics)! Hier muss man sich bereits fragen, warum die GEMA mithilfe von GOOGLE Ihre Nutzer im Online-Finanzbereich tracken möchte?
Datenschutz Adieu?
Besonders heikel wird es nun jedoch hinsichtlich des Datenschutzes! Die Übermittlung von Userdaten, die auf deutschen Servern erfasst werden, dürfen eben nicht in die USA übermittelt werden, dies hat der Europäische Gerichtshof bereits im Juli 2020 als wegweisende Entscheidung geurteilt – das »EU-U.S. Privacy Shield« ist ungültig!
Vor dem vorgenannten Hintergrund ist es somit gar nicht mehr ausschlaggebend, ob ein Cookie-Consent-Tool diese Cookies blockiert oder nicht. Man darf davon ausgehen, dass der durchschnittliche deutsche Musikurheber der GEMA zumindest so weit vertraut, dass diese keiner Datenkraken Zugriff auf einen hochsensiblen Bereich erlaubt – wenn der User beim Login also in diesem Treu und Glauben die Cookies zulässt, dann hat er gerade Google seine Usertrackingdaten frei Haus geliefert!
Ein Test unserer Quelle hat übrigens folgendes ergeben: Verbietet man die Cookies, lädt das Onlineportal diese trotzdem nach! Selbst eine manuelle Löschung der Cookies hilft nicht. Lädt man das Dashboard wieder erneut – was man bei jeder Rückkehr aus den verschiedenen Diensten tut–, wird das “ga_”-Cookie erneut installiert – „Widerstand ist zwecklos“.
Es wird noch heikler
Wer nun glaubt, das sei schon ein starkes Stück (was durchaus zu bejahen ist), dem können wir die Kinnlade gerne noch etwas tiefer fallen lassen: Neben Google werden noch weitere US-Services im GEMA-Online-Portal geladen.
Dazu gehören z. B. “Hotjar” – ein weiteres US-Analyse-Tool, Google-Ads-Conversation und auch der Google-Tag-Manager.
Aber das Beste kommt zum Schluss: Die GEMA lässt die gesamte Loginprozedur sowie die HOCHSENSIBLEN Benutzerkonten über den U.S.-Dienst „Okta“ erledigen!
Und wem das noch nicht reicht: Während man also seine Finanzdaten auflistet, seine Kontenbewegungen sichtet und die Tantiemen prüft, läuft im Hintergrund sogar ein Facebook-Javascript (fbevent.js) mit! Das Facebook-Script kann man allerdings verhindern, in dem man vorher alle Cookies im Cookie-Consent-Manager verbietet, dies scheint zumindest zuverlässig zu klappen.
Wie jedoch schon erwähnt, wird bereits der Datenaustausch mit US-Diensten unter den Juristen und Datenschützern als kritisch angesehen, da bereits schon die Übermittlung geschützter Daten auf U.S.-Server grundsätzlich nicht statthaft ist! Da hilft auch ein höchst „hilfsweises“ Einverständnis des User mittels Cookie-Bestätigung nicht. Denn das würde bedeuten, dass ein einzelner User die Rechtsprechung des EuGH und auch die DSGVO-Bestimmungen mit einem Mausklick beseitigen kann …
Die Juristen der GEMA erklären aktuell lediglich, dass man mit den US-Services eine entsprechende Datenschutzvereinbarung habe. Ob diese jedoch überhaupt im Ursprung noch Bestand hat, dürfte bezweifelt werden – und könnte erneut die Gerichte beschäftigen.
Doppelt hält besser, mehrfach am besten?
Dass die GEMA dann auch noch, neben mehrfachen Statistik-Tools aus dem Ausland, selber das Statistik-Tool MATOMO (ehemals PIWIK) betreibt, kann nur zu Kopfschütteln aufrufen. Im Übrigen ist MATOMO auch in Deutschland nur dann DSGVO-konform, wenn es (z. B.) keine User-IPs erfasst. Ob die GEMA dieser Vorgabe folgt, ist unserer Quelle nicht bekannt – dies müsste die Landesdatenschutzbehörde im Zuge einer Überprüfung dann ermitteln.
Fazit: COOKIES BLOCKEN!
Im Endergebnis scheint die GEMA hier sehr zweifelhafte Services zu betreiben, die auch überhaupt nicht zum „notwendigen Betrieb“ der Website nötig sind. Das Online-Portal der GEMA ist für die Urheber ein Werkzeug, um Ihre Finanzdaten einzusehen – das ist ein hochsensibler Bereich und hier haben zweifelhafte Tools aus unsicheren Drittstaaten überhaupt nichts verloren!
Um die eigenen Daten beim Besuch des GEMA-Portal zumindest ein bisschen sicherer zu machen, empfiehlt es sich, die Cookies beim Betreten der GEMA-Seite im Consentmanager zu verbieten!
Die weiteren Fragen zur Rechtmäßigkeit werden aktuell nach unseren Informationen im Hintergrund geklärt. Das muss auch dringend geschehen, denn es kann keinesfalls sein, dass eine deutsche Verwertungsgesellschaft, die für musikalische Urheber de facto verpflichtend ist, ihren Onlineservice mit fragwürdiger Technik betreibt und Useranalysen erhebt und Tracking in Bereichen, die in den hochsensiblen Finnazbereich gehören.
Stellt Dir mal vor, Du loggst in Dein Onlinebanking ein und siehst von Facebook die Meldung, dass 127 deiner Facebook-Freunde auch diese Bank benutzen … und ob Du nicht auch gleich mal „Hallo“ sagen möchtest – very uncool!
