Im Rahmen der Webinale 2012 in Berlin wird er auf Einladung der Bundesdruckerei am 04. Juni an einem Panel zum Themenkomplex “persönliche Identität und die Nutzung damit verbundener Daten im Internet” teilnehmen. Die Veranstaltung wird so gegen 16:30 stattfinden. Weitere Teilnehmer sind unter anderem Sascha Sauer (Ageto) und der Moderator Jens Fromm (Fraunhofer  FOKUS Kompetenzzentrum Sichere Identität).

Beim PML Workshop/Symposium des PostMediaLab wird er am 22. Juni in der Denkerei in Berlin mit Nishant Shah/CIS Bangalore und McKenzie Wark über online Communities und deren zukünftige Entwicklungen sprechen.

Der dort verfolgte Ansatz orientiert sich am Creative Commons Modell: Über wenige (in Zahlen 6) klare Ja/Nein Fragen wird versucht, das komplexe Feld der Datenschutz- und Privatsphäreneinstellungen auf wenige simple Icons zu reduzieren.

Ich halte die grundlegende Idee für gut: Anstatt zu versuchen, das Problem der Nutzeraufklärung mit 20+ Seiten AGBs oder Datenschutzerklärungen zu erschlagen, die von niemandem gelesen werden (können), versucht man, die relevanten Fragen für den Endnutzer greifbar zu machen auf eine Art, die man auch Nicht-IT-experten näherbringen kann: Eine Welt in der Anbieter und Dienste sich mit solchen Logos erklären ist in jedem Falle besser als ungelesen die Akzeptanz ominöser Erklärungen zu bestätigen.

Leider haben die Icons ein paar Probleme, die den sinnvollen Einsatz schwieriger machen.

Zuerst einmal müssen wir uns vielleicht klar machen, dass die Fragen, die ich im Kontext der CC Lizenzauswahl stellen muss, deutlich klarer sind: “Erlaube ich Remixe/Veränderungen” ist klar binär ja oder nein. Aber ab wann genau darf ein Dienst beispielsweise behaupten, die Daten seiner Nutzer zu verschlüsseln? Wir stehen hier vor einem Standardisierungsproblem welches man natürlich über Zertifizierungen (d.h. ein oder mehrere Gutachter überprüfen, auf welche Art die Nutzerdaten verschlüsselt sind und falls ein definierter Qualitätsstandard erreicht wurde bekommt man das Siegel) lösen kann. Hier illustriert sich allerdings das wirklich signifikante Problem.

Gehen wir davon aus, dass die Icons Verbreitung finden und dass Anbieter sie ehrlich einsetzen. Wir bringen Menschen nun bei, auf die wichtigen Icons zu achten und nur mit Anbietern zu interagieren, die “sauber” sind.

Nun betreibe ich ein persönliches Blog. Gehen wir die Fragen doch einfach mal durch für mich als tante Normalverbraucher mit eigenem Dienst und gucken, was rauskommt.

Frage 1: Do you alert users of material changes to this privacy policy?

Ich  muss leider sagen: Nein. Ich habe gar keinen Zugriff auf mein Nutzer, weil diese bei mir, wenn sie nicht kommentiert haben, überhaupt keine nutzbare Kontaktmöglichkeit hinterlassen haben (aber Daten wie IPs usw). Außerdem will ich ja meinen Lesern nicht ständig Spam schicken, wenn ich ein Detail meiner Einstellungen verändere. Durchgefallen.

Frage 2: Do you provide users with the ability to access and export their data?

Nein. Bei mir kann man natürlich seinen Kommentar im Web sehen und kopieren, aber einen ernsthaften Export gibt es nicht. Und da ich die Emailadressen meiner Kommentatoren und Kommentatorinnen nicht anzeige, können sie diese Daten über sich auch nicht exportieren. Durchgefallen.

Frage 3: Do you limit your collection and/or use of data to that necessary to provide the intended service?

Streng genommen: Nein. Ich könnte das Blog auch ohne den verwendeten Spamfilter nutzen, der Daten in die Cloud zu WordPress.com schiebt. Ich müsste auch keine Zugriffzahlen speichern um das Blog zu betreiben. Auch meine Forderung nach Namen ist an sich überflüssig. Durchgefallen.

Frage 4: Do you share user data with other organizations for purposes other than the intended transaction or service?

Wie schon bei Frage 3 gesagt: Ich teile Daten mit Akismet/Wordpress um Spam zu filtern. Nun könnte man vielleicht sagen, dass das zur Kommentartransaktion gehört. Aber ich bette Google Webfonts ein und jeder Aufruf dieser hinterläßt Daten bei Google, die ich zwar nicht direkt sende, deren Übermittlung ich aber beim User triggere. Von den WordPress eigegen Statistiken über Suchbegriffe, die auf mein Blog führten, die ich im Admin Panel sehe, ganz zu schweigen. Ehrlich betrachtet bin ich auch hier durchgefallen.

Frage 5: Do you encrypt user data?

Schlicht und ergreifend: Nein. Die Nutzerdaten liegen in einer Datenbank auf meinem Server rum, die nicht extra verschlüsselt ist. Die virtuelle Festplatte, auf der die Datenbank läuft, ist auch ohne Verschlüsselung schon langsam genug. Ich bin wiederum durchgefallen.

Frage 6: Do you require the government to comply, at a minimum, with the legal process provided by the law before getting users’ data?

Hier wirds komplexer. Erste Frage: Welche Regierung? Die Bundesrepublik? Die USA? Und wessen rechtlicher Ablauf? Der der Bundesrepublik? Der der USA? Bevor ich Nutzerdaten an die Polizei gäbe, würde ich eine richterliche Anordnung abwarten, von daher ja. Aber kann ich das für den Anbieter meines Servers garantieren? Und was ist mit WordPress/Akismet, die ja auch jede Menge Nutzerdaten zumindest kurzfristig hatten (zum Scan)? Die Frage ist sehr schwer zu beantworten, vielleicht könnte ich mir hier ein “Bestanden” attestieren.

6 Fragen und 5 klare Neins. Und das nicht für einen bösen Dienst der ganz viele Private Daten sammelt sondern ein kleines popliges Blog, das keiner wirklich liest. Was wäre in der oben angenommenen Welt die Folge?

Nutzer würden meinen Blog, meine Kommunikationsplattform meiden: Sie entspricht nicht den als “gut” erlernten Standards. Sicherlich könnte ich an bestimmten Bereichen tweaken, für irgendwas ist so ein Informatikstudium ja sicher gut gewesen. Aber wer ist dazu noch in der Lage? Kriegt das wirklich jeder und jede Blogbesitzer/in hin?

Eine Etablierung solcher Icons würde (bei angenommener Ehrlichkeit der Anbieter) langfristig zu einer gewissen Eskalation führen bei der am Ende die Menschen und Anbieter mit wenig Knowhow oder Geld auf der Strecke bleiben.

Sicherlich könnte man solche Icons nur von “großen Firmen(TM)” fordern, doch ab wann ist eine Firma groß genug? Web Startups kommen mit wenigen Mitarbeitern auf riesige Nutzerzahlen, wo will man da die Grenze ziehen? Und sorgt man dafür, dass eine solche Zertifizierung nicht ein gerade wachsendes Projekt überfordert und in den Ruin treibt? Wie will man mit großen nichtkommerziellen Anbietern umgehen?

Die Idee der Privacy Icons an sich ist eine gute: Die Fragen von Datenschutz/Privatsphäre greifbar zu machen und verständlich. Doch decken die hier vorgestellten Icons wirklich die Fragen ab, die den Menschen wichtig sind? Wie viele weitere Fragen müsste es noch geben und sind die Icons dann noch einfach?

Die essentielle Frage hier ist: Ist Privacy/Datenschutz wirklich simpel genug, um es mit Icons und wenigen Fragen gut genug einzugrenzen? Und wenn nicht, wer soll all die Datenschutzerklärungen bitte lesen?

Einerseits geht es im Rahmen der Spackeria um die Entwicklung einer Zukunftsperspektive, einer Utopie: Wie wollen wir in Zukunft zusammenleben? Dabei ist die Denkrichtung, die hier erarbeitet wird, geprägt von einer tendenziell positiven (aber keineswegs unkritischen) Reaktion auf die Veränderungen, die das Internet in die Gesellschaft getragen hat.

Andererseits findet im Rahmen dieser Gruppe auch eine Diskussion aktueller Zustände, Ereignisse und Strategien statt: Wie sind unterschiedliche “Privatsphäre-schützende” Technologien einzuschätzen, wie die Äusserungen einiger Datenschützer?

Aus dem Missverständnis und der Vermischung dieser zwei Denkrichtungen entstehen dann Missverständnisse im Stile von “Die Spackeria will, dass alle alles offenlegen OMGWTFBBQ!”

Ich möchte am Beispiel meiner Person versuchen, einige Details zu erklären und damit vielleicht auch den Umgang von Menschen mit den Zielen und Ergebnissen der Spackeria auf eine rationalere Basis stellen.

Ich, tante,  bin ein Postprivacy Experiment. Ich trage wahnsinnig viele Informationen über mich in die Öffentlichkeit, weil ich de facto undiskriminierbar bin: Ich bin ein weißer, heterosexueller, gesunder Mann mit einem Universitätsdiplom und einem gutbezahlten Job. Ich bin in dieser Gesellschaft nahezu maximal privilegiert.

Auf Basis dieser Situation kann ich, ohne signifikantes Risiko für mich, viele Postprivacy Lebensweisen experimentell untersuchen. Ich kann sehen, welche Vorteile ein solcher Lifestyle mit sich bringt und auch gegebenenfalls welche Nachteile.

Sollte bei diesem Experiment herauskommen, dass eine postprivate Lebensweise Vorteile bringt, folgt logischerweise als nächste Aufgabe das Entwickeln von Konzepten um möglichst allen anderen Menschen ähnliche Vorteile zu verschaffen.

Deshalb gehe ich in vielen Aspekten viel weiter als ich das vielen anderen Menschen für ihr Leben raten würde: Ich kann das durch meine privilegierte Stellung nicht nur tun, ich sehe das sogar als meine gesellschaftliche Verpflichtung, zumindest so lange, bis alle meine Privilegien abgeschafft sind (was leider so schnell nicht zu schaffen ist).

Nicht jeder Post hier, nicht jeder Kommentar ist dazu geeignet ihn direkt im eigenen Leben umzusetzen: Je nach eigenem Leben und den Zwängen, in denen man lebt, kann es sogar hochgefährlich sein. Die Spackeria bietet hier vor allem Denkanstöße, die uns allen ermöglichen sollen, gemeinsam eine positive Vision unserer Zukunft zu entwickeln und einzelne Aspekte schon heute zu erproben.

Die Spackeria beschränkt sich aber eben nicht nur darauf, das Leben in 20, 30, 50 oder vielleicht auch 100 Jahren vorzudenken, sondern nutzt ihre Kompetenzen eben auch um Aktuelles kritisch zu hinterfragen und zu kommentieren.

Vielleicht können diese Zeilen einigen Menschen helfen, die Spackeria und ihre Arbeit noch besser zu verstehen und vielleicht auch teilweise weniger panisch auf Posts zu reagieren.

In der Bundesrepublik decken der Datenschutz und die Privatsphäre so einige Bereiche ab. Zum akzeptierten Kanon gehören unter anderem die sexuelle Ausrichtung, die politischen Ansichten, die religiösen Vorstellungen und auch im speziellen der persönliche Verdienst (interessanterweise sind das auch genau die Themen die man beim “Small Talk” vermeiden soll).

“Über Geld spricht man nicht” ist eines der Sprichworte, die sicherlich viele der Leser schon mal gehört haben: Aus Angst entweder als “armer Schlucker” darzustehen oder wegen zu viel Reichtum Neider auf sich zu ziehen wird beim Gespräch über Einkommen nur rumgedruckst und werden die tatsächlichen Verhältnisse über das Anschaffen von kaum zu finanzierenden Statussymbolen wie z.B. Autos bestimmter Marken übertüncht. (Die gesellschaftliche Fixierung auf den Wert einer Person als Summe ihrer Erwerbs- und Kapitaleinkünfte tut sein übriges.)

In Schweden gibt es diese Tradition des geheimen Einkommens nicht: Schon aufgrund der Transparenz der Steuern liegen alle Einkünfte offen und können von jedem und jeder eingesehen werden. Wie der Artikel darstellt wird diese Offenheit vor allem auch dafür genutzt, die Steuergerechtigkeit zu verbessern: Sich seinen finanziellen Verpflichtungen der Gesellschaft gegenüber zu entziehen wird signifikant erschwert.

Diese Kultur der Offenheit besteht in der BRD nicht, ganz im Gegenteil: Nicht nur sind Informationen über Einkünfte besonders geschützt, viele Arbeitsverträge verbieten es dem Arbeitnehmer sogar, das eigene Gehalt offenzulegen.

Doch wo diese Massnahmen gerne mit dem Schutz des Einzelnen vor oben beschriebener Ausgrenzung oder Neid gerechtfertigt werden, wird an dieser Stelle vor allem verschleiert, dass eben genau Arbeitnehmer von offenen Einkommen den größten Vorteil haben.

Betrachten wir ein typisches Beispiel: Unternehmen wissen sehr genau wie viel eine Arbeitsstunde an einem bestimmten Ort wert ist; denn sie haben nicht nur einen Angestellten sondern viele. Ihnen steht also eine große Datenbasis zur Verfügung um Gehaltsgespräche zu ihrem Vorteil zu führen. Für den Arbeitnehmer sieht das anders aus: Die Mitmenschen zieren sich, über ihr Einkommen zu reden und wie die einzelne Firma zahlt ist ihm oder ihr oft auch nur ungenügend bekannt. Der Mangel an offenen Daten benachteiligt in diesem Falle ganz eindeutig die Einzelperson.

Für Freelancer ist diese Situation oft sogar noch schwieriger, da oft keine Tarifverträge zur Orientierung existieren. Auch Berufseinsteiger gehen in Gehaltsverhandlungen aus dem selben Grund oft schlecht vorbereitet.

Eine Kultur der Offenheit im Bezug auf Gehälter würde nicht nur dem oder der Einzelnen in seinen/ihren Gehaltsverhandlungen helfen sondern beispielsweise auch einen gesellschaftlichen Diskurs über Themen wie Mindestlohn, Gender Paygap, das bedingungslose Grundeinkommen oder das Existenzminimum mit belastbaren, transparenten Zahlen versorgen.

Das eigene Einkommen geheim zu halten gehört in der BRD vielleicht zum guten Ton und der Datenschutz zementiert diese Konvention noch weiter legal, doch für die einzelnen Menschen ist diese Form der Transparenzunterdrückung keineswegs so positiv, wie das gerne dargestellt wird. Weniger Privatsphäre, weniger Datenschutz wären an dieser Stelle sowohl für das Individuum als auch die Gemeinschaft sinnvoller.

Erweiterung 4.4. 13:50 Uhr: Wie ploerre im IRC anmerkte, hat Norwegen auch ein öffentliches Steuerregister, welches man unter http://skattelister.no/skatt/ einsehen kann.

Der vorliegende Fall wird von einigen sicherlich als “das ist doch das, was die Spackeria will” abgeheftet werden. Diese Annahme ist Unfug.

Was hier vorliegt ist nur eine Illustration der mangelnden Wirksamkeit der bestehenden Datenschutzregelungen: Die Daten lagen herum und irgendwann fand sich eben jemand, der das Risiko der Strafe für signifikanten Profit in Kauf nahm. Wenn man nicht will, dass etwas öffentlich bzw. verbreitet wird, dann muss es geheim bleiben. Datengeheimhaltung ist eine Kette aus Menschen und Systemen, das schwächste Glied bestimmt ihre Stärke.

Als Vertreter von Postprivacy würde man zwar Menschen durchaus ermutigen ihre Medikamenteneinnahme zu publizieren um sich mit anderen, die dieselben Krankheiten oder Symptome haben, auszutauschen und gegebenenfalls verträglichere Medikamente oder einen besseren Umgang mit den Nebenwirkungen zu finden. Menschen zu so etwas zu zwingen ist allerdings nicht der Ansatz, den Postprivacy verfolgt.

Als Kommentar auf diesen Tag zur Feier der Unterdrückung freien Datenflusses soll an dieser Stelle der “Open in Public Day” ausgerufen werden.

Der “Open in Public Day” findet ebenfalls am 28. Januar statt und soll den Menschen den Wert gemeinsamer, offener und freier Daten und Kommunikation illustrieren. Anstatt uns in unseren Häusern und Wohnungen zu verstecken in Angst, “unsere” Daten könnten in die Öffentlichkeit gelangen, treten wir frei in die Öffentlichkeit.

Damit wir alle den Tag gemeinsam erfahren und erleben können, greifen wir ein bekanntes Datenschutzmem auf: Peinliche Fotos in sozialen Netzwerken.
Am “Open in Public Day” veröffentlicht jeder Teilnehmer und jede Teilnehmerin ein “peinliches” Foto von sich in seinem/ihrem Blog oder auf seinem/ihrem Profil in sozialen Netzwerken. Das können die gefürchteten “Partybilder” sein, Dokumentationen der eigenen modischen Fehltritte oder von persönlichen Fails. Die Bilder werden öffentlich gepostet und wenn möglich auch mit dem eigenen Namen/Profil (durch Tagging) verbunden. Am besten verbreitet Ihr dann Euer Foto nochmal auf allen Kanälen (verwendet den Hashtag #oipd12). Setzt einen Trackback auf diesen Post oder postet Euren Link in den Kommentaren, damit wir ein Netz aus allen diesen Bildern herstellen können.

Der “Open in Public Day” ist ein Zeichen gegen die Angst. Gegen die Angst vor Euren Mitmenschen und dem was sie über Euch denken. Gegen die Angst nicht perfekt zu sein. Wir können alle gemeinsam ein Zeichen setzen für eine freiere Gesellschaft.

Die mediale Reaktion darauf ist, wie häufig bei Änderungen an sehr verbreiteter Software, sehr unterschiedlich. Während einige Artikel (wie hier neunetz.com) die Veränderungen als “persönlicher[es]” Facebook sieht, so regt sich an vielen Stellen eine starke Ablehnung.

Thilo Weichert, Datenschutzbeauftragter des Landes Schleswig-Holstein, bezeichnet die Einführung als “ultradreist”, auf Twitter kündigen einige Menschen die Löschung ihres Facebook Accounts an. Was ist passiert, bzw. was hat sich verändert?

Ohne Einwirken des Nutzers verändert sich durch Timeline nur die Präsentation der schon vorhandenen Daten. Man kann, wenn man möchte, in Timeline noch weit mehr strukturierte Daten über das eigene Leben eingeben (Umzüge, Jobwechsel, Krankheiten usw), doch “automatisch” passiert da nichts.

Alles was Facebook tut ist, die sowieso vorhandenen Daten in einer für Menschen erfassbareren und anhand der zeitlichen Abfolge auch logisch besser verstehbaren Form darzustellen. Facebook stellt für den Nutzer also signifikant mehr Transparenz über vorhandene Daten her: Durch Timeline weiß ich noch genauer, was Facebook eigentlich über mich gespeichert hat.

Vor der Öffentlichmachung der Timeline eines Nutzers wird diesem eine Woche Zeit gegeben, seine oder ihre Timeline zu “säubern” und Inhalte aus ihr zu entfernen. Der Nutzer hat also die vollständige Kontrolle darüber, was in der Timeline sichtbar sein wird. Genauso greifen (wie wirksam sie auch immer sein mögen) die Zugriffsbeschränkungen von Facebook weiterhin: Erlaube ich den Zugriff auf mein althergebrachtes Profil nur “Freunden”, so können auch nur “Freunde” meine Timeline sehen.

Die Aufregung um Timeline ist also nicht nur fehlgeleitet sondern sogar kontraproduktiv: Timeline zeigt Nutzern deutlicher als bisher möglich, welche Daten Facebook über sie hat. So können sie selbstbestimmt und ihren persönlichen Bedürfnissen entsprechend die Darstellung der Daten über sie für die Öffentlichkeit anpassen. Warum daher die Datenschutzfraktion Timeline nicht mit offenen Armen begrüßt, will sich mir nicht erschließen.

Sie greift alle bekannten und gerade auch in Deutschland dominanten Datenschutzschlagworte wie “Recht auf Vergessen”, “Privacy by Default” oder “Verbot von Profiling” auf ohne dabei in irgendeiner Form auf die schon lange bestehende Kritik an diesen Ansätzen einzugehen.

Frau Reding versucht mit der Geisteshaltung und den Ansätzen der 1980er Jahre die Probleme des 21. Jahrhunderts zu lösen und scheitert, wie an dieser Stelle schon ausführlicher zu Beginn des Monats ausgearbeitet wurde, an der technischen und sozialen Realität.

Ein Neudenken des Datenschutzes EU- oder sogar weltweit ist bitter notwendig, kann aber nur dann erfolgreich sein, wenn die digitale Lebensrealität der Menschen und die bestehenden technischen Zusammenhänge dabei die Grundlage sind. Die von Frau Reding vorgeschlagenen Ansätze sind im besten Falle effektlos (“Datenschutztheater“) und gefährden im schlimmsten Falle die freie Meinungsäußerung und Dokumentation historischer Fakten (“Recht auf Vergessen”).

Nun ist eine Homogenisierung der gesetzlichen Lage absolut begrüßenswert, wenn nicht sogar notwendig in einem immer stärker zusammenwachsenden Europa: Die unterschiedlichen gesetzlichen Rahmenbedingungen machen es sowohl für kommerzielle Anbieter als auch für die Nutzer schwer, sich gegenseitig zu verstehen und gerecht zu werden. Oder wer hier aus Deutschland weiß eigentlich genau wie die österreichischen Datenschutzbestimmungen aussehen und was das für ihn oder sie beim Nutzen österreichischer Dienste bedeutet?

Doch leider stößt Frau Reding sehr schnell an genau dieselben Grenzen, an die die nationalstaatsbasierte Politik beim Umgang mit dem Internet schon so oft gestoßen ist. Obendrauf gibts dann noch ein paar generelle Fails, die wir auch im Folgenden betrachten wollen.

(Die folgenden Zitate entstammen Anna Sauerbrey’s Artikel.)

“Vorgesehen ist, dass das europäische Recht auch dann gelten soll, wenn ein Unternehmen seinen Sitz außerhalb der EU hat, seine Angebote und Aktivitäten sich aber an europäische Verbraucher richten, etwa indem sie die Zahlung in Euro anbieten oder Seiten in europäischen Landessprachen.”

Das Problem, welches hier gelöst werden soll ist ein altes und eines, an dem wir schon häufig standen: Welche Datenschutzgesetze gelten eigentlich, gerade, wenn ich beispielsweise als Europäer mit einer amerikanischen Firma einen Deal mache? Frau Reding wählt den hack über die Adressierung: Wenn die Zahlung in Euro angeboten wird oder die Seiten in Europäischen Landessprachen sind, dann gilt das Europäische Recht. Das klingt erstmal ganz griffig, doch bei kurzen Nachdenken werde ich stutzig. Sicherlich gibt es Unterschiede zwischen amerikanischem und britischem Englisch, doch sind die trennscharf genug um bei einer englischen Seite festhalten zu können, welche Datenschutzgesetzgebung gilt? Spricht Brasilien nicht auch Portugisisch und der Rest Südamerikas Spanisch? Bis auf einige Bereiche in Asien und Afrika fällt es mir schwer, Orte auf der Welt zu finden, in denen keine europäische Landessprache gesprochen wird (Konsequenz der europäischen Invasionsgeschichte).

Dieser Ansatz masst sich also entweder an, auf großen nichteuropäischen Teilen der Welt Gesetze machen zu dürfen (was sich mit dieser Demokratie und Staatssouveränität ja nun so gar nicht mehr vereinbahren lässt) oder ist dermaßen Gummi, dass man sich im Zweifelsfall nicht drauf zurückziehen kann. Wieder mal ein Ansatz, der irgendwie gut klingt und europäische Befindlichkeiten aufgreift, in der Realität aber keine Durchsetzungsfähigkeit besitzt.

“Die Verbraucher sollen das Recht auf eine Kopie ihrer sämtlichen Daten in elektronischer Form erhalten. So wäre es möglich, den Anbieter zu wechseln und das eigene “Profil” ohne Verluste mitzunehmen.”

Auch wieder ein Ansatz, den man zwar so aufschreiben kann, der dadurch aber noch lange nicht umsetzbar wird. Denn was genau habe ich denn davon, wenn mir Facebook nen Datendump gibt? Einen großen Blob aus IDs und ein paar Textfetzen von mir. Dann korrekterweise kann Facebook mir ja nicht die Daten meiner Freude geben, denn das sind ja deren Daten. Und so bin ich dann mit 11663714112837213 befreundet und 149724238421, die natürlich in keinem anderen Netzwerk auf der Welt dieselben IDs haben. Die Portabilität, die hier proklamiert wird, ist eine Forderung, die theoretisch toll klingt, mit der technischen Umsetzung hingegen nichts mehr zu tun hat. Klar kann man das, wie beim Europe-vs-Facebook PR Stunt, fordern und umsetzen, man läßt aber Menschen dadurch auch nicht souveräner zurück sondern nur mit mehr Datenmüll, der ihnen kein Stück weiterhilft.

Das “Profiling” hingegen, also das Erstellen detaillierter Nutzerprofile durch soziale Netzwerke oder Online-Shopping-Anbieter wird erschwert. Gar nicht mehr erlaubt soll es in Zukunft sein, die Daten von Jugendlichen unter 18 Jahren zum “Profiling” zu verwenden.

Auch hier finden wir wieder eine Scheinlösung. Wo genau Profiling anfängt und wo es aufhört, halte ich für eine definitorische Herkulesleistung, für die uns gerade aber kein Halbgott zur Verfügung steht. Was für den einen Profiling sein mag, ist für den SysAd vielleicht auch nur eine grobe Verhaltensanalyse um den Dienst in seiner Skalierbarkeit und seinem Nutzen zu verbessern.

Ausserdem wird der Nutzen des Profilings für den Nutzer selbst mal wieder vergessen. Ich persönlich weiß es sehr zu schätzen, dass Amazon mir Artikel vorschlägt, die mich interessieren könnten statt – wie die Fernsehwerbung – auf sexistischen Annahmen wie “der ist Mann, der mag Bier, Fussball und Autos” aufzusetzen. Wir gehen vom mündigen Bürger aus, vom mündigen Kunden, aber sobald Profiling betrieben wird um dem Kunden bessere Angebote zu machen, wird von Datenschützerseite so getan, als wären wir alle nur unreflektiertes Klickvieh.

Und warum ein junger Mensch in der Ausbildung mit 16 solche Vorteile nicht für sich nutzen darf, will sich mir auch nicht erschließen.

Sicherlich ist Profiling, gerade wenn es intransparent stattfindet, manchmal problematisch, gerade wenn der Kunde plötzlich in einer schublade klassifiziert wird, in die er/sie sich selbst nicht einordnen würde, aber gerade die großen Player wie Amazon leben davon, dass ich jeden Vorschlag verstehen kann (“sie sehen dieses Angebot, weil Sie X kauften”) und ich direkt eingreifen kann (“das Dingsi, was ich als Geschenk für meine Nichte kaufte ignorieren”).

Die Verbraucher erhalten außerdem das Recht, “vergessen zu werden”, also das Recht darauf, dass ihre Daten gelöscht werden, wenn der Grund für die Speicherung erlischt.

Das gute alte Recht auf Vergessen, kein Text mehr ohne dieses mytische Recht (es entwickelt sich mehr und mehr zum Datenschutz-Äquivalent des “Internet darf kein rechtsfreier Raum sein” Memes). Zu diesem Recht wurde schon viel gesagt, auch Anna Sauerbrey selbst merkt viele der Probleme an (zum Beispiel, dass der Anbieter plötzlich in den Daten Fremder rumlöschen und editieren muss, um mich komplett zu vergessen). Doch auch ganz schlichte technische Probleme entstehen hier: Jeder verlässliche Dienst schreibt Backups, um einen zu einem bestimmten Zeitpunkt als valide bekannten Zustand zu fixieren. Müsste mich der Anbieter dann auch aus allen Backups löschen? Neben der technischen Komplexität dieser Aufgabe (die ja die Integrität der Backups, die die Daten aller Nutzer sichern sollen, nicht verletzen darf), hat dann der Anbieter später ne Menge neuer Probleme: Ich nutze Facebook, um urheberrechtlich geschützte Texte zu verbreiten. Dann lösche ich mein Profil und Facebook muss alle Zeugnisse meiner Existenz löschen. Wie können denn jetzt die armen Rechteverwerter mich belangen? Alle Beweise meiner Straftaten sind hinfort.

Generell dürfen Daten nicht länger gespeichert werden als unbedingt nötig.

Wer definiert denn die Notwendigkeit? Wer legt fest, was nicht mehr notwendig ist? Auch hier wieder: Was ist eigentlich mit Backups?

Anbieter werden verpflichtet, die datensparsamste Einstellung zur Voreinstellung zu machen (privacy by default) und bei neuen Technologien Gefahren für den Datenschutz bereits in der Entwicklungsphase zu berücksichtigen (privacy by design).

Ich halte “privacy by default” zwar auch für einen Holzweg, aber das kann man meiner Einschätzung nach schon fordern ohne zu viel kaputt zu machen, die meisten Nutzer werden das dann binnen Kürze offener einstellen, um Dienste überhaupt sinnvoll nutzen zu können.

Doch “privacy by design” ist wieder ein gutes Beispiel für klingt gut und ist gut gemeint, hat aber keinen Wert: Technikfolgenabschätzung ist keineswegs immer trivial (bei der Erfindung des WWWs hatten die Ingenieure sich beispielsweise auch nicht träumen lassen, dass Menschen darüber irgendwann ihr Leben verdaten), und ich kann letzten Endes immer sagen: “Jau, wir haben drüber nachgedacht”. Ich halte diese Forderung für nicht durchsetzbar.

Fazit

Insgesamt ist dieser Entwurf sicherlich für viele deutsche Datenschützer ein großer Wurf. Alle bekannten Datenschutzmeme wurden untergebracht und der Text strotzt nur vor gut gemeinten Forderungen. Leider sind sie zum übermäßigen Teil nicht durchsetzbar und realitätsfern, so dass letzten Endes für den Nutzer kein Mehrwert entsteht.

Ich würde mir wünschen, dass beim Entwurf solcher Verordnungen auch Menschen beteiligt werden, die mit der technischen Umsetzung von sozialen Netzwerken und online Shops zu tun hatten, so dass zumindest die vollständig nichtumsetzbaren Forderungen gestrichen werden können.

Die Talks findet man im Youtubekanal von Hans, zum direkten Download oder hier einzeln auf Lanyrd zusammen mit den Abstracts:

• Was die Post-Genomics-Ära für die Privatsphäre bedeutet von Bastian Greshake und Philipp Bayer
• Program or be programmed – Postprivacy als Ideologie der Ausgrenzung? von Jürgen Geuter
• Zwei Seelen wohnen, ach! in meiner Brust… Plädoyer für die Einheit des politischen und des privaten Ichs von Heide Hagen
• Dabei sein ist nicht alles: Ein paar Leute kamen ins Fernsehen und machten nichts draus. Zehn Thesen zur Spackeria von Ole Reißmann
• Datenschutz im Spannungsfeld Opferschutz und Vertraulichkeit medizinischer Informationen von Christian Bahls und anschließendes Panel mit Hans Hübner und Michael Seemann
• Alles offen, alles gut? Wie gefährlich Kontrollverlust und Post-Privacy wirklich sind von Helga Hansen
• Fickileaks – Post Privacy X-Treme von Fiona und erlehmann
• Kampf für die Informationsfreiheit ist ein sozialer Kampf von Daniel Schweighöfer
• Spackeria FAILs Spezial: 0. Spackeriade Abschlusspanel mit Christian Heller, Daniel Schweighöfer, Sebastian Westermayer

Leider gab es während der Aufnahme Probleme am Ende des Talks “Alles offen, alles gut? Wie gefährlich Kontrollverlust und Post-Privacy wirklich sind” und während des kompletten Talks “Fickileaks – Post Privacy X-Treme”. Es wird grade geschaut in wie weit die Aufnahmen noch zu retten sind.

Eine reparierte Version von dem Fickileaks-Talk ist mittlerweile online. Besser wird die Qualität leider nicht mehr. Danke an erlehmann für das Retten.

Ein Stream der 0. Spackeriade ensteht unter: http://bknr.net:8000/stream.html

Aktuell nur Audio, an Video wird noch gearbeitet.

Datum: 29.12.2011

Ort: .hbc am Alexanderplatz, Berlin

14:00 Uhr: Eröffnung
14:15 Uhr: Was die Post-Genomics-Ära für die Privatsphäre bedeutet von Bastian Greshake
15:15 Uhr: Program or be programmed – Postprivacy als Ideologie der Ausgrenzung? von Jürgen Geuter
16:15 Uhr: Zwei Seelen wohnen, ach! in meiner Brust… Plädoyer für die Einheit des politischen und des privaten Ichs von Heide Hagen
17:15 Uhr: Dabei sein ist nicht alles: Ein paar Leute kamen ins Fernsehen und machten nichts draus. Zehn Thesen zur Spackeria von Ole Reißmann and Anna Sauerbrey
18:15 Uhr: Datenschutz im Spannungsfeld Opferschutz und Vertraulichkeit medizinischer Informationen von Christian Bahls
19:15 Uhr: Alles offen, alles gut? Wie gefährlich Kontrollverlust und Post-Privacy wirklich sind.  von Helga Hansen
20:15 Uhr: Fickileaks – Post Privacy X-Treme von Fiona und erlehmann
21:15 Uhr: Kampf für die Informationsfreiheit ist ein sozialer Kampf von Daniel Schweighöfer
22:15 Uhr: Spackeria FAILs Spezial: 0. Spackeriade
ab 23:15 Uhr: Ausklang  an der Bar

Wir danken Rainer Langhans für sein Angebot, eine Keynote zu halten. Gleichzeitig bitten wir bei ihm und denen, die seinen Auftritt sehen wollten, um Verzeihung für das Hin und Her.

Wem diese Stellungnahme nicht ausreicht, der sei verwiesen auf

• die IRC-Logs unserer Orga-Diskussionen, von der ersten Idee, Langhans einzuladen, bis zur abschließenden Entscheidung, die Einladung zurückzuziehen [triggerwarnung]

• eine Session, die wir für das Ende des Spackeriaden-Tages planen, um diesen Fail (und vielleicht auch andere noch kommende) in seinen Gründen, im Für und Wider usw. aufzuarbeiten

Zur Vollständigkeit die ursprüngliche Ankündigung:

Während wir noch Beiträge für unseren Kongress sammeln (Einreichungsfrist endet heute!), freuen wir uns schon, einen ersten Speaker bekanntgeben zu können:

Rainer Langhans wird die “0. Spackeriade” mit einer Keynote eröffnen. Im Spackeria-Umfeld geriet er nicht zuletzt durch die Podcastepsiode mit ihm im Elementarfragen-Podacast ins Gespräch. Darin analysiert er nicht nur die Gründe für das Scheitern der “Kommune 1″ (die von Kritikern der Post-Privacy gerne als ein in ihrem Scheitern belehrender früherer Anlauf derselben Idee bezeichnet wird); sondern versucht auch, das utopische Potential des Netzes heute an die Erfahrungen von damals anzuknüpfen.

Trotz und gerade im Wissen um einige Kontroversen um Rainer Langhans, sind wir uns sicher, dass er aus seinen Erfahrungen und Lernprozessen heraus unserer Diskussion interessanten Input liefern kann.

Die 0. Spackeriade findet am 29.12. in Berlin statt. Alle Details gibt es hier.

Ort: Das HBC (Karl-Liebknecht-Straße 9, Berlin).
Tag: Der 29. Dezember, ab ca. 15 Uhr.
D.h. parallel und in unmittelbarer Laufnähe zum 28. Chaos Communication Congress.
Eintritt: kostenlos (dafür möchte die Bar, dass ihr eure Mate vor Ort kauft).

Wir bitten alle, die eine Session halten wollen, ihren Vorschlag mit einem kleinen Abstract bis zum Sonntag, den 4. Dezember an spackeria@googlegroups.com einzureichen. Ein Vortrag sollte maximal 30 Minuten dauern, anschließend sind 20 Minuten für Diskussion eingeplant.

Lutz Donnerhacke spannt in seinem Beitrag einen lesenswerten Bogen von der Historie technischer Kommunikationsmittel wie Telefon und Brief zum Internet, der darauf basierenden Umsetzung von Datenschutz in der “Prä-Internet”-Zeit, dem Mythos “Dynamische IP”, einer Erklärung von IPv6 bis hin zu einer Vision in der, im Gegensatz zu der von Datenschützern teilweise als Allheilmittel propagierten Dynamisierung von IP-Adresszuweisungen, statische IP-Adressen zusammen mit einem mündigen Bürger für eine tatsächliche Stärkung des Datenschutzes und der Durchsetzung des Rechts auf informationelle Selbstbestimmung sorgen können.

Er konstatiert zunächst schonungslos ehrlich und völlig zu Recht:

“Die hart erkämpfte datenschutzrechtliche Forderung nach anonymer  oder zumindest pseudonymer Kommunikation  – wie sie ins IuKDG eingegangen ist – ist also technische Illusion .“

entzaubert dann insbesondere den Mythos “Dynamische IP” und erklärt, das für die dynamische Vergabe von IP-Adressen bei früher üblichen Einwahlverbindungen eben nicht der Datenschutz, sondern schlicht wirtschaftliche Gründe dafür ausschlaggebend waren, und lediglich “geschicktes Marketing” dafür sorgte, das alle Welt heute dynamische IP-Adreßvergabe geil findet und Datenschützer daher auf dieser “dynamischen Bühne” letztlich nur jede Woche eine neue Folge in der Datenschutztheater-Soap vorführen.

Er endet mit dem Vorschlag und der Vision, das mit IPv6 gerade statische IP-Adressen für ein Mehr an echtem Datenschutz und informationeller Selbstbestimmung sorgen könnten, da man so seine Daten eben viel besser unter eigener Kontrolle haben kann als dies beim Ablegen in zentralen Netzdiensten der Fall möglich ist, womit sich der Kreis zur Ende-zu-Ende-Kommunikation per Telefon vom Beginn des Artikels schließt. Dies erfordert aber ein komplettes Umdenken im Hinblick auf “Datenschutz im Internet” notwendig, auch und insbesondere von Seiten der Datenschützer, die erkennen müssen, das die Werkzeuge der 80er Jahre des letzten Jahrtausends nicht mehr funktionieren.

Bleibt zu hoffen, das Beiträge wie der von Lutz Donnerhacke zu diesem Umdenken führen. Das es so wie bisher auf Dauer nicht weiter gehen kann ohne das Netz kaputt zu regulieren, nun, das ist der Grund warum es dieses Blog und die Datenschutzkritische Spackeria gibt.

Den kompetten Artikel gibt es hier: http://www.iks-jena.de/ger/Blog/IPv6-und-der-Datenschutz

Eine der zentralen Fragen unserer Zeit ist die des Konfliktes von Informationskontrolle vs. Informationsfreiheit. Man könnte darüber alleine schon einen Vortrag halten. Das ist aber nicht der Inhalt dieses Textes. Ich beschränke mich hier bei der Feststellung, dass ich mit Kristian Köhntopp übereinstimme, das es auf folgende Frage hinaus läuft:

Hier ist die Wahl. Sie ist die einzige Wahl. Sie ist digital, wie das

Medium, das die Wahl erzwingt:

1. Kopieren hinnehmen.

2. jede Kommunikation von Jedermann mit jedem anderen immer auf ihre Legalität hin untersuchen und filtern.

Wenn Fall 2 nicht stattfindet, bildet sich sofort ein Overlay-Netzwerk und Fall 1 tritt ein.

Wir alle erleben gerade selbst, mehr oder weniger am eigenen Leibe, welche Grundrechte und Freiheiten die Verteidiger der Informationskontrolle zum Erhalt eben jener zu opfern bereit sind.

Dieses ist nicht hinnehmbar, weshalb ich mich entschieden auf die Seite der Informationsfreiheit stelle. Doch was bedeutet Informationsfreiheit für mich?

Eine Definition der Informationsfreiheit

Ich benutze hier Informationsfreiheit für die Beschreibung eines Zustandes in dem annähernd alle Informationen direkt nach Ihrer Entstehung und jederzeit von überall zur Verfügung stehen. Dies ist als gesellschaftliches Ideal zu verstehen, welches sich aber auch als polistische Forderung eignet.
Ihr steht die Informationskontrolle in Reinform als Extrempunkt gegenüber.

Zur Erläuterung:

Mit “annähernd alle” bezeichne ich alle Informationen von Individuen und Organisationen, die im Laufe Ihrer Existenz anfallen bzw. von diesen erzeugt werden. Die Einschränkung resultiert daraus, dass Individuen Ihre Möglichkeit nutzen, gesonderte Informationen nicht fest zu halten, bzw. nur mit einen ausgewählten  Kreis zu teilen.
Mensch muss sich allerdings bewusst sein, dass jede geschriebene/festgehaltene Information potenziell und auf jeden Fall so gut wie öffentlich ist.

Es ist extrem wichtig, dass Informationen möglichst zeitnah nach Ihrer Entstehung ge- und verteilt werden, da sie andernfalls von den Leuten, die Ihre Freigabe verzögern, kontrolliert werden. Des weiteren bin ich der Meinung, dass der Zugang zu Informationen allen Menschen möglichst unkompliziert und ohne Schranken ermöglicht werden muss.

Ich bin zutiefst davon überzeugt, dass man durch ein breite Beteiligung und Plattformneutralität die aktuellen Probleme lösen können wird.

Während die vorrausgehenden Überlegungen, bzw. die aus Ihnen resultierenden Forderungen, noch öfters anzutreffen sind, fehlt eine Diskussion Ihrer Konsequenzen weitesgehend.

Ein Kampf für die Informationsfreiheit ohne dabei zu bedenken, welche sozialen Herausforderungen diese mit sich bringt kann, meine Meinung nach, nur katastrophal enden.

Diese Problematik lässt sich sehr gut anhand der Rolle ihres Gegenparts in unserer aktuellen Gesellschaft aufzeigen.

Macht basiert auf Informationskontrolle

Die mächtigste Partei in einem Konflikt ist heutzutage stets die, die sich der meisten Informationen, bzw. ihrer Nutzungsrechte, ermächtig und so der Gegenseite den Zugang zu eben jenen verwehren/verzögern kann.

Im Wirtschaftsystem kann man dies recht gut beobachten. Zum einem an dem Patentwahnsinn, der mit der Lizensierung von Genen und Algorithmen in den letzten Jahren die wildesten Blüten trieb. Zum anderen basiert jegliche Form des Handels auf Informationskontrolle oder profitiert zumindest entscheidend von ihr. Ich gehe sogar soweit zu behaupten, dass dies ein zentrales Monument des Kapitalismusses darstellt.

Aber es betrifft nicht nur die wirtschaftlichen Aspekte:

Informationskontrolle ist auch ein zentrales Element unsere Kultur. Konzepte wie Kindheit, Altersfreigaben oder auch Privatsphäre wären ohne sie nicht umzusetzen. Das interessante bei dieser Betrachtung ist allerdings, dass diese Konzepte alle relativ jung sind.

Sind sie doch gerade mal 2-300 Jahre alt, und stellen ein festes Fundament der bürgerlichen Kultur dar. Mit deren Hilfe das Bürgertum den Adel im Anschluß an die Revolutionen des 18. und 19.en Jahrhunderts in seiner Vormachtstellung verdrängte.

Wie können wir diesen Herausforderungen entgegen treten?

Ebenso wichtig wie das reine anlysieren und erkennen der Problematik ist die Erörterung bzw. Erarbeitung von Lösungsansätzen für unsere Gesellschaft. Eine Gesellschaft, die näher an der Informationsfreiheit liegt als an der Informationskontrolle verlangt von Ihren Mitgliedern automatisch ab, sich mit dem unweigerlich entstehenden Strom von Informationen auseinander setzen zu können.

Wir alle müssen lernen uns widerstrebende Ideen, Werte & Normen als solche zu akzeptieren. Ich sage hier ausdrücklich akzeptieren, da ein reines tolerieren von widerstrebenden Informationen bzw. Gedanken die tolerierenden Menschen von der wichtigen Aufgabe der Auseinandersetzung befreit und somit der absichtlichen und isolierenden Ignoranz den Raum frei macht.

Des weiteren ist es aber auch nötig, dass die Menschen dieser Gesellschaft auch die Zeit haben um sich mit dieser Flut an Gedanken anderer Menschen auseinanderzusetzen. Weshalb ich der Meinung bin, dass ein Kampf für die Informationsfreiheit auch immer ein Kampf für die soziale Gleichstellung aller Menschen darstellt. Im übrigen verlangt der Erhalt unseres unsäglichen Geldsystemes selbst nach Konzepten wie dem garantierten Grundeinkommen – doch auch dieses ist ein Thema für einen weiteren Artikel.

Regulierung über die Gemeinschaft und nicht über Gesetze

Ein anderer wichtiger Aspekt ist, dass positive wie negative Sanktionierung des Umgangs mit Informationen anderer über gesonderte Organe zum einen aufgrund des exponentiell steigenden Informationsflusses ab einem gewissen Zeitpunkt schlicht und einfach nicht mehr zu realisieren sein wird.

Zum anderen kann dieses für eine Gesellschaft auf lange Sicht auch nicht wünschenswert sein, ergibt sich doch das Problem der Überwachung der Überwacher. Also der Elitenbildung und den daraus resultierenden Machtmissbrauch der Überwacher.

Schlußendlich kann eine Beeinflußung des sozialen Verhaltens der Mitglieder einer Gesellschaft, die nicht aus der Mitte eben jener kommt sich nie so schnell entwickeln wie sich neue Formen des sozialen Zusammenlebens heraus kristallisieren.

Dies alles verlangt von jedem einzelnen ein viel größeres Maß der selbst geleisteten Kontrolle über Emotionen und Verhalten ab als wir es momentan gewöhnt sind. Der Mensch in der Informationsfreiheit muss die Selbstdisziplin aufweisen können, von sich heraus die Gedanken und Lebensweisen anderer offen anzuerkennen und zu respektieren.

Man mag diese Überlegung als wirr oder wahnsinnig betrachten. Da sich die Informationsfreiheit und die Informationskontrolle gegenüberstehen ist dies auch nur logisch, dass ein Wandel von einer Gesellschaft der Informationskontrolle zu einer der Informationsfreiheit einen radikalen Paradigmenwechsel erfordert.

Unabhängig von meinen Schlüssen bestehen die eingangs beschriebenen Probleme in unserer Gesellschaft und wir werden eine Lösung finden müssen. Es liegt an uns, zu entscheiden und erkämpfen, wie diese aussehen sollen.

Viele der vorangehenden Überlegungen müssen Mitgliedern unserer heutigen Kultur zwangsläufig als leichtfertig und gefährlich erscheinen.

Doch dies zeigt nur umsomehr die Dringlichkeit der Diskussion auf.

Der CCC unterstützte das Vorhaben gleich mit einem eigenen Zeichnungsaufruf mit dem etwas verwirrten Titel “privacy by default” (es geht um Datenschutz und nicht um Privacy, zwei ganz unterschiedliche Konzepte).

An dieser Stelle sollten wir vielleicht mal einige Dinge voneinander trennen, da das ja schon rein begrifflich bei einigen der Unterstützer durcheinandergeht.

Ich halte es grundsätzlich für sinnvoll die Standardeinstellungen von Software zu verbessern, die ist nämlich leider oft großer Murks. Und gerade Facebook’s “Privacy”-Einstellungen sind ein gutes Beispiel dafür, wie man es nicht machen sollte: Zahllose Checkboxen und Auswahlfelder um irgendwelche obskuren Einstellungen von “verstehe ich nicht” auf “und das hier auch nicht” zu setzen. Das Problem ist: Dieses undurchdringliche Optionendickicht ist entstanden, um den Forderungen der Datenschützer zu entsprechen und den Nutzern “Kontrolle” zu geben. Jetzt aus Datenschützersicht zu klagen, dass sei alles zu undurchschaubar und Menschen würden die Einstellungen ja nie ordentlich anpassen, klingt schon ein wenig scheinheilig. Ja, vielleicht kann man die Standards anders einstellen, aber wie genau denn? Und wenn die Nutzer Kontrolle behalten sollen, dann hilft ihnen das ja immer noch nicht.

Das Argument für das Verschieben des Defaults ist einfach gestrickt:  Viele Nutzer stellen die Standardvorgaben von Social Media Seiten wie Facebook nicht um auf ein “gutes” Setting, daher muss man das Standardsetting ändern. Klingt logisch, ist aber so einfach nicht.

Wenn wir vom vielzitierten, mündigen Bürger ausgehen, dann müssen wir davon ausgehen, dass diese Menschen sich bewusst entschieden haben für die Einstellungen, sie sind ja mündig und die Aufklärung über die Gefahren von Facebook ist allgegenwärtig. Den Standard zu ändern, würde bedeuten, dass mehr Leute Einstellungen anpassen müssten, weil der jetzige Standard ja gut anzukommen scheint.

Wenn wir davon ausgehen, dass die leute das nicht umstellen, weil sie das nicht verstehen, haben wir sogar zwei Probleme. Erstens: Wer darf denn den “richtigen” und “guten” Weg festlegen? Und zweitens: Was für ein Bild meiner Mitmenschen habe ich, wenn ich glaube, sie könnten nicht über ihre Grundrechtsbedürfnisse entscheiden?

Der Foebud macht es sich hier zu einfach, indem plakativ von “besseren Standards” geschrieben wird ohne, dass die Leute wissen, wie diese – losgelöst von abstrakten Formulierungen – genau aussehen sollen: Wie genau soll irgendjemand diese Petition sinnvoll unterschreiben, wenn nicht genau klar ist, worum es gehen soll?

Der CCC wiederholt den alten Fehler, Datenschutz mit Privatsphäre gleichzusetzen, was zwar nostalgischen Wert hat, aber in diesem Kontext nicht weiterhilft.

Privacy by default ist eine dieser Ideen, die in der Theorie gut klingen aber an der Umsetzung kollossal scheitern: Selbst wenn Facebook per Default alles auf “privat” setzen würde, gäbe es weiterhin die Klagen, dass das “Datenmonster” Daten “raffen” wolle in seiner “Datengier”. Es geht hier nicht um Inhalte. Es geht um Theater.

P.S. Die von Jens Ohlig auf Twitter zu Recht thematisierte grundlegende  kognitive Dissonanz vieler Datenschützer/Netzaktivisten hinsichtlich der Tatsache, dass Datenschutzeinstellungen nur dann funktionieren können, wenn man daran glaubt, dass es wirksames DRM gibt, habe ich schon hier angesprochen, sorgt aber immer wieder für eine gewisse Erheiterung.

Das ULD hat sich mit der Meinung in der Öffentlichkeit positioniert, Social Plugins wie der Like-Button seien datenschutzwidrig, weil sie Daten (bspw. die IP-Adresse) in die USA weiterleiten. Nun haben die Piraten Schleswig-Holstein ihre Facebook-Fanpage gelöscht, weil sie “nicht der Käse in Facebooks Datenfalle” sein wollen – und haben sich damit eine falsche Agenda aufzwingen lassen.

Ich will hier gar nicht die Rechtsmeinung des ULD zerlegen. Nur soviel in Kürze: Zum einen macht das ULD IP-Adressen zu einem personenbezogenen Datum, obwohl stark umstritten ist, ob eine IP das ist – immerhin verweist sie bestenfalls auf einen Anschluss. Aber man braucht nunmal ein personenbezogenes Datum um ein Datenschutzproblem behaupten zu können. Zweitens konstruiert das ULD eine Weitergabe dieses angeblichen personenbezogenen Datums durch die Einbindung von externen Inhalten auf der eigenen Seite.

In technischer Hinsicht ist das Quatsch – der Webseitenbetreiber gibt überhaupt keine Daten an Facebook weiter  - das macht vielmehr der User selber, indem sein Browser den entsprechenden Code von den Servern von Facebook lädt.

Und genau hier liegt der Knackpunkt und die Gefahr:

Das Wesen des Netzes ist die Vernetzung! Die Argumentation die das ULD hier gegen Facebook fährt ist vernetzungsfeindlich und lässt sich auf jede Einbindung von Content von externen Dritten anwenden.

• Youtube-Videos auf der eigenen Webseite?
• Werbung, die von dritten Servern geladen wird?
• Und wie ist das mit Links? Wenn ich dafür verantwortlich bin, dass ein User sich das eingebettete Social-Plugin lädt, bin ich dann nicht auch verantwortlich, wenn der User einen eingebetteten Link anklickt der vielleicht nicht nach den Datenschutzvorstellungen des ULD spielt?
• Darf ich dieses Blog führen, das Google irgendwo in den USA hostet? (Anmerkung: Der Originalartikel wurde auf blogspot.com veröffentlicht, -kp) Immerhin ist in dem Moment wo du diesen Artikel aufgerufen hast, deine IP-Adresse dorthin übermittelt worden
• Wie ist das mit eMails, die im Header häufig die IP-Adresse des Absenders mitführen? Darf ich nur noch eMails innerhalb Deutschlands verschicken?

Das ULD versucht über den Umweg Datenschutz nationalstaatliche Grenzen im Internet einzuziehen und folgt dabei getreu dem alten Prinzip: Am deutschen Datenschutzwesen soll die Welt genesen. (siehe auch: Datenschutz als Falle)

Dabei legt es die Axt an die Wurzel des Netzes, nämlich an die Möglichkeit der Vernetzung selbst an und negiert deren internationalen Charakter. Deutschland wird so noch ein Stück internetfeindlicher als bisher, die Haftungsrisiken für den Betrieb einer Website steigen weiter und wir koppeln uns ohne Not von einer Entwicklung ab, die die Zukunft ist. Worum geht es wohl im Informationszeitalter? Was wird die Basis für kulturelle, politische und wirtschaftliche Relevanz auf dieser Welt sein?

Wir beklagen uns darüber, dass es kein deutsches oder europäisches Google gibt, kein Facebook und keine sonstigen Projekte in diesen Dimensionen – ja warum wohl? Weil Institutionen wie dem ULD Relevanz eingeräumt werden, wenn sie völlig an der veränderten Realität vorbei ihren Dogmatismus zementieren.

Wenn die Piraten Schleswig-Holstein jetzt ihre Facebook-Fanpage gelöscht haben, dann werden sie – um in ihren Worten zu bleiben – zum Käse in der Falle des ULD, denn sie adeln mit ihrem Kniefall vor der Meinung des ULD einen unreflektierten Datenschutzfundamentalismus, der gefährlich ist für das Netz und schädlich für die kulturellen und wirtschaftlichen Interessen Deutschlands und Europas.

Wir legen heute und in den nächsten 10-15 Jahren den Grundstein für die Relevanz unseres Kulturraumes im Informationszeitalter – einen Grundstein, der unsere Lebensrealität und die der kommenden Generationen ganz wesentlich bestimmen wird  – und gegenwärtig ist unser Beitrag dazu, angsterfüllt die Übermittlung von IP-Adressen in andere Länder und Fotos von Häuserfronten zu verdammen.

Und noch einmal aus einer anderen Perspektive die spezifisch die Piraten als politische Partei betrifft:

Es ist eine zentrale Aufgabe von Parteien in unserem demokratischen System, den Diskurs aus der Gesellschaft heraus gebündelt ins politische System und aus diesem zurück wieder in die Gesellschaft zu tragen. Es ist ein kommunikatives Wechselspiel, ein Kreislauf zwischen Politik und Bürger, in dem Parteien die Aufgabe des Mittlers und Moderators übernehmen. Politik muss dorthin getragen werden, wo die Menschen sind, nicht umgekehrt. Wenn viele Menschen auf Facebook sind, dann müssen politische Parteien auch dort ihrer politischen Aufgabe nachkommen und dürfen sich nicht selbstgerecht in ihren Datenschutz-Elfenbeinturm zurückziehen.

“Denn aus Facebooks Sicht bist du nicht der Kunde. Du bist das Produkt.” (via)

Der zugrundeliegende Gedanke ist einfach: Damit Facebook Geld verdienen kann, muss es ein vermarkt- und vor allem verkaufbares Produkt haben. Die Nutzer zahlen kein Geld für ihre Nutzung, daher müssen sie (bzw. ihre Daten) ja das Produkt sein. Das klingt in sich schlüssig und erlaubt griffige Slogans, ist aber falsch.

Facebooks Produkt sind aggregierte und aufbereitete Datensätze. Dabei nehmen die Nutzer bzw. ihre Daten nicht die Rolle des Produktes ein, sondern des Rohstofflieferanten.

Facebook verkauft nicht dein Profil, denn das kann man maximal an drei oder vier Menschen deiner Umgebung vertickern. Sie nehmen deine Daten, deine Interessen und bilden Cluster, d.h. sie versuchen Menschengruppen zu bilden, die ähnliche Interessen und Ansichten haben. Je präziser sie diese Gruppen bilden können, desto wertvoller (und damit teurer) sind ihre Daten für Werbetreibende, die ja eben sehr spezifische Menschengruppen mit ihren Kampagnen ansprechen wollen. Und dort kommt das Geld her: Werber können durch Facebooks Arbeit eine sehr klar eingegrenzte Gruppe ansprechen und dafür zahlen sie Geld; für die potentielle Aufmerksamkeit einer Gruppe von Menschen mit bestimmten Eigenschaften.

Facebook versucht viele Daten über dich zu sammeln, um dich besser zu verstehen. Denn das erlaubt ihnen, dich besser zu Clustern zuzuordnen. Die Daten, die Facebook verkauft, sind nicht deine, es sind ganz klar Facebooks. Um das zu verstehen, betrachten wir einfach mal den Fall, dass du deinen Account löschst. Facebook wird dir keine zielgerichtete Werbung mehr zeigen können, aber die Cluster, die Facebook bildet, werden durch dein Nicht-mehr-dasein nicht wirklich schlechter oder weniger relevant für Facebooks Kunden. Wenn ich mich abmelde, kann Facebook ohne Probleme weiterhin “männliche Informatiker jünger als 40 Jahre in Oldenburg” ansprechen. Ich bin nicht das Produkt.

Facebook beutet dich auch nicht aus. Du lieferst ihnen einen winzigen Splitter der Datenbasis, auf der sie ihre Arbeit machen können, dafür bekommst du eine Plattform, auf der du mit deinen Freunden und Verwandten kommunizieren kannst. Das ist transparent. Wenn du deine Daten nicht als Rohdaten für solcherlei Analysen zur Verfügung stellen möchtest, ist das legitim, dann kannst du Facebook eben nicht nutzen.

Also nochmal in kurz. Facebook, bietet den Nutzern (das bist du) eine Plattform, in der sie rumspielen können für lau. Die Nutzer erzeugen dabei den Rohstoff aus dem Facebook sein Produkt erzeugt und es an seine Kunden (Werbetreibende) verkauft. Du bist das Produkt, wenn es um Sklavenhandel geht, das ist hier nicht der Fall. Also drehen wir das Hysterierädchen doch einfach mal runter von 11 auf 2, ok?

P.S. Dasselbe gilt analog auch für die anderen sozialen Netzwerke.

Das Ganze funktioniert etwa wie folgt: Man ruft ein gut verstecktes Formular auf, gibt seine Daten ein, verweist auf irgendeine EU-Direktive, lädt eine Ausweiskopie(!) hoch, korrigiert(!) vorher noch ggf. falsche Daten (Geburtsdatum) und bekommt irgendwann eine CD mit einem PDF in dem alle Daten drin stehen. Das kreist nun gerade durch Twitter/Blogs und ich versteh es nicht.

Das ein PDF jetzt nicht die Form von “Daten” ist, mit der man irgendwie was “anfangen” könnte, etwa auf die eigene Webseite (eigene Kontrolle) stellen, in ein anderes Netzwerk importieren (Diaspora?) oder einfach nur für sich auswerten/weiterverarbeiten, geschenkt. Das es auf ner CD kommt, geschenkt (auch wenn Wutblogger Fefe darauf rumritt).

Man will sich seine Daten “holen”. Und um das zu können, muss man Facebook erstmal ne Handvoll Daten *geben* und obendrein sich noch per Ausweiskopie verifizieren. Bin ich der einzige, dem das irgendwie komisch vorkommt? Und wenn ich das gemacht habe, dann habe ich ein PDF, mit dem ich nichts anfangen kann. Achja, und die Daten selbst bleiben natürlich trotzdem bei Facebook, ich bekomm ja nur ne Kopie. Das ist doch auf mehreren Ebenen kaputt.

Am Ende dieser unheimlich lehrreichen Aktion ist also Folgendes passiert: Facebook kennt jetzt mehr meiner richtigen Daten, ich habe meinen Account per Ausweiskopie ohne Zwang verifiziert und als Belohnung dafür bekomme ich eine Handvoll in PDF gegossene Glasperlen.

Datenschutztheater.

Dabei bezeichnet Security Theater Sicherheitsmassnahmen, die das Gefühl verbesserter Sicherheit bieten sollen während sie faktisch nichts oder fast nichts für die Verbesserung der Sicherheit tun. (“a term that describes security countermeasures intended to provide the feeling of improved security while doing little or nothing to actually improve security” Quelle)

Analog definiere ich Datenschutztheater folgendermaßen:

Datenschutztheater bezeichnet eine Massnahme oder eine Sammlung von Massnahmen, die den gefühlten Schutz von Daten verbessern ohne dabei die Daten funktional vor Ge- oder Missbrauch zu schützen.

Betrachten wir Beispiele für Datenschutztheater.

Piwik

Das Webseitenanalysetool Piwik wird gerne als datenschutzkompatible Alternative zu Google Analytics empfohlen, auch vom Unabhängigen Datenschutzzentrum Schleswig Holstein (ULD). Dabei hat das ULD sogar einen Leitfaden herausgegeben, wie man Piwik datenschutzkonform einsetzt. Wie immer gehts dabei um IPs. Um in den Logs keine direkt tracebaren IPs mehr anzuzeigen, kann ein Plugin eine beliebige Anzahl der IP-Oktets auf 000 setzen (also steht bei der Einstellung 2 statt “123.456.123.456″ “123.456.000.000″ in den Logs). Auf diese Weise soll eine direkte Nachverfolgung des Nutzers ausgeschlossen werden ohne die Funktionalität der Anwendung (die ja auch darstellen will, aus welchen Gegenden die Nutzer der Seite kommen) unnötig zu beschneiden. Die echte IP wird intern noch genutzt, um die einzelnen Nutzer voneinander unterscheiden zu können, sie wird allerdings mit mit anderen Daten verknüpft und “gehasht”. Das ULD geht davon aus, “dass eine Rückrechnung aus dem gebildeten Hashwert bei Kenntnis der anderen zusätzlich genutzten Parameter und innerhalb der Lebenszeit des Cookies zwar theoretisch möglich, jedoch mit derartigem Aufwand verbunden wäre, dass das Restrisiko in diesem Fall hinnehmbar ist (vlg. Leitfaden)”.

Warum ist das Datenschutztheater? Erstens ist die eindeutige Identifikation der Nutzers schon alleine über seine Browserkennung (vgl. panopticlick) möglich (was das ULD selbst im Handbuch sogar anspricht!) und zweitens ist die maximale Anzahl der Hashes, welche ich bei zwei anonymisierten IP Oktets ausprobieren muss, um die IP des Nutzers zu rekonstruieren, 254^2 (=64516), was für einen modernen Prozessor absoluter Kinderteller ist. Die IP in den Logs wird zwar umgeschrieben, aber da die Daten dann doch noch drinstecken und leicht zu rekonstruieren sind ist das eine völlig sinnlose Spielerei ohne Mehrwert. Datenschutztheater eben.

TÜV Siegel auf den VZ Netzwerken

Fangen wir an mit einem Zitat von der meinVZ Seite: “Jetzt haben wir es schriftlich: Die VZ-Netzwerke sind das erste soziale Netzwerk, dessen Softwarequalität und Datensicherheit offiziell durch ein Zertifikat des TÜV SÜD bestätigt ist. Geprüft und getestet wurden die Funktionalität unserer Seiten sowie der Datenschutz und die Datensicherheit – und dafür hat der TÜV SÜD uns zertifiziert.” (link). Das klingt doch nach ner super Sache!

Warum ist das Datenschutztheater? Der TÜV SÜD hat keineswegs den Quellcode der Software geprüft sondern sich selbst durch die Webseite geklickt und geguckt, ob man die Datenschutzeinstellungen finden kann. Das ist keineswegs ein wertloser Test, aber über die wirkliche Sicherheit Missbrauch und Eindringlingen von Aussen gegenüber sagt das Siegel ganz genau nichts. Der TÜV gibt hier sein Qualitätssiegel her für etwas, was er einerseits nicht wirklich genau geprüft hat und was sich andererseits ständig verändert. Zwar lässt sich *VZ jedes Jahr neu zertifizieren, doch sagen alle diese Zertifikate wiederum herzlich wenig über die Sicherheit der Daten aus. Sie entsprechen nichtmal den Opt-In Anforderungen, die Thilo Weichert an Facebook richtet (vgl. diesen Spackeria Post). Klares Datenschutztheater.

Google+

Google Plus wurde gleich zu Beginn sehr für seine Datenschutzfreundlichkeit gelobt. Das “Circles” Konzept macht es den Nutzern einfach, bestimmte Inhalte nur mit einem eingeschränkten Nutzerkreis zu teilen. Später kam sogar noch hinzu, dass man Posts, welche nur mit einen eingeschränkten Nutzerkreis geteilt wurden auch selbst nicht unbeschränkt weiterverbreiten konnte.

Warum ist das Datenschutztheater? Google unterbindet zwar das direkte Weiterleiten an die Öffentlichkeit, aber nichts, in Worten gar nichts, hält mich davon ab, den Text zu kopieren und als neuen Post abzusenden (mit “+Name hat geschrieben” oben drüber). Der Mechanismus hat keine sinnvolle Funktion sondern soll nur eine Befindlichkeit stützen, das Gefühl, alles sei gut. Datenschutztheater at its best.

Viele der Datenschutzmassnahmen, die wir um uns sehen sind reines Datenschutztheater, die den Nutzern keinen Schutz bieten, ihnen aber eben solchen vorgaukeln. Und hier liegt die besondere Gefahr des Datenschutztheaters: Weil die Nutzer glauben, ihre Daten seien sicher, lassen sie sich dazu hinreißen, Dinge zu veröffentlichen, welche sie eigentlich lieber geheimgehalten hätten. So führt Datenschutztheater entgegen der Intention der Datenschützer faktisch zu größeren Datenschutzproblemen und mehr Datenleaks.

im Streit mit dem Heise Verlag bzgl. der Einbettung von SocialMedia Buttons gehts in die zweite Runde. Nachdem Sie zuerst den Einbettern solcher Buttons (Facebook’s Like, Google’s +1 und viele andere) mit Verfolgung und finanziellen Strafen drohten, stellte der Heise Verlag eine, wie ich und eine Menge anderer Netzexperten finden, sehr gelungene Lösung vor: “2 Klicks für mehr Datenschutz.“.

Die Heise Mitarbeiter schlagen vor, die echte Einbettung (und damit das Übertragen der Daten, die hier ausreichend klar dargestellt werden), von einem vorgelagerten Zustimmungsklick abhängig zu machen: Die Nutzer haben also weiterhin die Möglichkeit, ganz bewusst Social Media einzusetzen ohne dabei ohne ihre Einwilligung Daten von sich preis zu geben.

Nun stellt sich heraus, dass Ihnen das nicht reicht. Ihr Argument ist, dass Nutzer gar nicht zustimmen können, denn:

“Zudem setzt eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlegt, was es mit den Nutzerdaten macht, fehlt es weiterhin an der nötigen Information.”(zu lesen hier)

Herr Weichert, ich bin leider nicht mehr in der Lage abzuschätzen, wie genau sie sich ein weiterhin nutzbares Internet vorstellen, würde das aber gerne verstehen. Deshalb beschreibe ich einfach mal ein Szenario und sie erklären mir, wie das geht, OK?

Nehmen wir mal an, dass das Internet, diese wundervolle Erfindung, die uns alle jeden Tag näher zusammenbringt, erstmal erhalten bleiben soll. Wir gehen weiterhin (rein pragmatisch) davon aus, dass wir nicht mal eben alle Infrastruktur wegwerfen und wir weiterhin HTTP über TCP/IP auf dem Transport Layer einsetzen.

Szenario:
Ich habe ein Webangebot mit Inhalten, nehmen wir einfach mal Katzenbilder, unter denen ich Social Media Buttons einblenden will: Einen Like von Facebook, ein +1 von Google und als kleine Abwechslung einen Flattr Button. Wie realisiere ich diese Knöpfe ihrer Meinung nach richtig?

Anmerkungen:
Eine Entfernung der Knöpfe ist nicht sinnvoll, weil das einen massiven Einschnitt in die Nutzbarkeit des Webangebotes bedeuten würde, da ich dann von jedem Besucher deutlich mehr Computernutzungswissen (“wie kopiere ich eine URL und teile die auf Facebook”) voraussetzen müsste als ich will. Beim Teilen von Katzenbildern soll niemand ausgegrenzt werden.

Ich freue mich auf Ihre Antwort,
<3

tante

Es gab mal eine Zeit, da war klar, wer Freund und wer Feind ist. Datenschutz war gut, Überwachung war böse. Die Netzcommunity war sich einig – heute ist sie es nicht mehr. Die Uneinigkeit, welche sich zuletzt wieder im Streit zwischen “Spackeria” und “Aluhüten” ausdrückt, ist nicht Ursache, sondern das Symptom einer Veränderung.

Was ist passiert? Wie konnte es dazu kommen?

War es wirklich die plötzliche Erkenntnis des vielzitierten Kontrollverlustes? Waren es Personen wie @plomlompom oder @laprintemps, die diese Einigkeit zerstört haben – aus welchen Motiven auch immer?

Oder sind auch diese vielmehr bloß Spielfiguren, die in Reaktion auf einen politischen Schachzug nach besten Wissen und Gewissen handeln? Was zwischen damals, als wir uns noch einig waren und heute passiert ist, kann man am besten (ideologisch neutral) als Neudefinition der Bedrohungslage bezeichnen.

Die Kampflinie Datenschützer vs. Staat haben die großen Parteien durch massives agenda-setting abgelenkt auf Datenschützer vs. Google und Facebook.

Daraus resultiert auch die Heuchelei, die Erfassung von IP-Adressen als datenschutzwidrig darzustellen, während man gebetsmühlenartig eine Vorratsdatenspeicherung fordert die erst dafür sorgt, dass eine IP auf einen Anschluss zurückzuführen ist. Dieselbe Doppelmoral durchzieht die Aufregung um die biometrische Auswertung von Facebook-Fotos, wenn im selben Moment Geheimdienste und Ermittlungsbehörden selbst eben diese Daten von Facebook abgreifen und auswerten – sicherlich auch biometrisch. 

Insofern hat ein solches Feature in Social Networks sogar ein Gutes: Es macht den Benutzern klar, was möglich ist und es verhindert die Monopolisierung von Techniken zur Datenauswertung. Heute hat man mit Facebook einen Gegner gewählt, der nicht gerade die Sympathie von Datenschützern genießt, aber dieselbe Datenschutzlogik lässt sich schon morgen beispielsweise auf Open-Source-Software anwenden, die Biometrie betreibt. Und in dieser Hinsicht halte ich es klar mit der ersten Regel der Hackerethik:

Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein.

Über David und Goliath

Mir sei an dieser Stelle ein kurzer rechtlicher Exkurs gestattet, denn wenn man den dahinterstehenden Trick einmal verstanden hat, kann man ihn sehr viel leichter auch in anderen Konstellationen wiedererkennen.

Das, was hinter der ganzen Diskussionssuppe Datenschutz eigentlich steht, ist das Grundrecht auf informationelle Selbstbestimmung. Grundrechte wiederum sind Abwehrrechte gegen den Staat. Das bedeutet sie sind dazu bestimmt, grundlegende Freiheitsräume der Bürger gegen den Staat zu schützen und diesen in seiner Machtausübung zu binden.

Bildhaft gesprochen kommt Goliath (der Staat) in seiner Allmacht auf den wehrlosen kleinen David (den Bürger) zugestapft, der aber nicht erzittern muss, sondern das Grundgesetz zücken und damit die Angriffe von Goliath mühelos parieren kann. “Nein Goliath, du kriegst meine Daten nicht, denn meine Grundrechte schützen mich vor dir!”

Und jetzt ist es passiert, dass Goliath dieses Grundrecht nimmt, dass eigentlich David schützen soll, und sagt: “Siehe David, du hast ein Grundrecht auf informationelle Selbstbestimmung. Und deshalb muss ich jetzt Facebook und dir vorschreiben, was du mit deinen Daten tun und lassen darfst – nicht, dass deiner informationellen Selbstbestimmung etwas zustößt…” So wird das Grundrecht, dass eigentlich einen Freiheitsraum schützen soll zur Rechtfertigung, eben diesen Freiheitsraum zu beschneiden.

Wir dürfen nicht ein fundamentales Prinzip der Verfassung nehmen, und es gegen einen Bürger wenden!

Jean-Luc Picard

Dieser Trick ist nicht neu. Wir kennen ihn aus der Diskussion um Paintball, Laserdrome und Flatrate-Freudenhäuser. Auch hier wird ein Grundrecht – in diesen Fällen die Menschenwürde – als Rechtfertigung genommen, um damit die Freiheit der Paintball- und Laserdrome-Spieler und Sexarbeiter zu beschneiden. Soweit der Exkurs, zurück zum Thema.

Der Fuß in der Tür

Das künstlich aufgebaute Problem Datenschutz im Internet ist nur eine weitere Kampflinie beim Versuch, einen Fuß in die Tür zu bekommen, um das Netz zu regulieren und zu kontrollieren. Es steht so in einer Reihe mit der Lüge vom Milliardenmarkt Kinderpornographie, der Lüge, die Tat des christlich-fundamentalistischen Terroristen von Oslo sei im Internet geboren (und natürlich nicht aus der Hasskultur, die geistige Brandstifer aus der bürgerlichen Mitte säen und nähren) und anderen Täuschungen.

Von all diesen Versuchen ist er aber der, mit den größten Erfolgsaussichten. Warum?

Weil er gleich mehrere Fliegen mit einer Klappe schlägt. Während Kinderpornos, Beleidigungen und Massenmord “lediglich” das Bild eines Netzes zeichnen, dass kriminell und gefährlich ist und deswegen reguliert werden muss, lenkt die Umdefinition der informationellen Selbstbestimmung darüber hinaus noch den Blick davon ab, dass die größte Bedrohung derselben nach wie vor vom Staat ausgeht und nicht von privaten Datensammlern.

Denn im Gegensatz zu Facebook oder Google, wo niemand mitmachen muss, nimmt sich der Staat gegen meinen Willen im Geheimen alle Daten über mich die er haben will – und nicht einmal nur bei mir, sondern auch bei Dritten (auch bei Facebook und Google). Und anders als Private hat der Staat die Möglichkeit, Druck und Gewalt gegen mich auszuüben, wenn ihm die Informationen über mich irgendwie missfallen.

Der gefährlichste Effekt der Umdefinition der informationellen Selbstbestimmung ist aber die Spaltung der Netzcommunity. Seitdem sich die Feinde der Freiheit in den Mantel der Datenschützer gehüllt haben, sind die Fronten nicht mehr klar und eine einst (in dieser Frage) geeinte Gruppe steht sich nun als Gegner gegenüber und betrachtet die jeweils andere Seite als Verräter des gemeinsamen Zieles.

Die Datenschützer vom staatlichen Überwachungsplänen abgelenkt, der Bevölkerung vorgegaukelt, man würde etwas für ihre digitale Sicherheit tun, das Bedrohungsszenario verzerrt, den politischen Gegner gespalten.  Ich muss sagen: Dies war ein wirklich guter politischer Trick. Ich werde ihn mir merken.

Schurken, die ihre Schnurrbärte zwirbeln sind leicht zu erkennen, aber diejenigen, die sich in gute Taten kleiden, sind hervorragend getarnt.

Jean-Luc Picard

Für uns ist es nun wichtig, dass wir uns dieser Taktik aktiv verweigern. Wir dürfen uns nicht dazu missbrauchen lassen, den freiheitsfeindlichen Strömungen bei der Beschneidung unserer Freiheiten den Weg freizumachen, nur weil sie das Banner des Datenschutzes vor sich hertragen.

Das bedeutet:

• Den aufgezeigten Mechanismus verstehen und nachvollziehen.
• Erkennen und Bedenken, dass informationelle Selbstbestimmung nicht nur ein negatives Recht ist um Eingriffe in die Persönlichkeitssphäre abzuwehren, sondern – wie jedes Grundrecht – auch eine positive Seite hat, nämlich das Freiheitsrecht, sich bewusst öffentlich zu machen und sich zu präsentieren.
• Klarmachen, dass Selbstbestimmung und nicht Fremdbestimmung das Ziel sein muss
• Für den privaten Umgang von Menschen mit Daten eine Ethikdebatte führen, diese vorleben und darüber aufklären. Deshalb auch der Entwurf von Michael Vogel und mir für eine Datenethik.
• Für Firmen, in deren kapitalistischer Handlungslogik Ethik keinen Platz hat, bessere Gesetze einfordern, bspw. den Datenbrief und den Entschädigungsanspruch bei Datenmissbrauch
• Uns nicht auf die Argumentation einlassen, anderen Ländern müsste man unsere Gesetze aufzuzwingen.
• Den Schwerpunkt wieder auf den Staat als größte Bedrohung der informationellen Selbstbestimmung legen, also auf Vorratsdatenspeicherung, unverhältnismäßige Verletzungen der informationellen Selbstbestimmung wie beim Dresdner Handyüberwachungsskandal, mangelnde Datensicherheit von Behörden, SteuerID, etc.

Originalbeitrag

Lizenz

This content is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.

(Den Prolog werde ich an dieser Stelle ignorieren und mich auf den “Manifest” Teil konzentrieren.)

“Du bestimmst über deine Daten.”

Der Ansatz an sich ist ja gar nicht so verkehrt. Es wird von der Verpflichtung des oder der Einzelnen gesprochen, bewusst zu entscheiden, was veröffentlicht werden soll. Auch interessant finde ich die Andeutung der Verplfichtung, die eigenen Wünsche in Bezug auf Daten klar formulieren zu müssen. So weit so gut.

Doch deutet die Formulierung “bestimmen” eine Form der Kontrolle an, die es nicht gibt, Daten die ich nur meinen Freunden zeigen will, können immer noch gegen meinen Willen verwendet werden.

Was hier eigentlich gefordert ist ist die Kombination aus “mache eindeutig klar, was Du wirklich willst” und “halte Dich bitte an die Wünsche Deiner Mitmenschen”. Das ist so erstmal sicherlich eine Verbesserung des Status Quo, funktioniert aber wiederum nur in einem Umfeld wo alle sich respektieren und nett zueinander sind.

Der implizite Wunsch ist ein ehrenwerter, das Problem ist hier wiederum die Durchsetzung der Umsetzbarkeit, eine schwächere und klarer fokussierte Formulierung hätte hier deutlich bessere Dienste geleistet.

“Privatsphäre beginnt dort, wo dein Gegenüber seine Grenze zieht, nicht aber dort, wo du sie ziehen würdest.”

Die Formulierung ist sehr unklar: Eigentlich soll nur gesagt werden, dass jede Person eine andere Sicht auf Privatsphäre hat und man die eigene Sichtweise nicht auf andere anwenden soll (“Privatsphäre ist ser individuell und zu respektieren” wäre präziser gewesen). Privatsphäre individueller aufzufassen halte ich zwar durchaus für eine gute Heuristik, es macht aber den rechtlichen Umgang damit signifikant schwieriger: Statt eines Konsenzkonzeptes von Privatsphäre zwingen wir jede Person ihre eigene Privatsphärendefinition zu formalisieren um uns den Umgang mit dieser Person zu erlauben: Ich kann keinen Satz über ein Treffen von mir und PersonX posten, solange ich nicht von PersonX formal bestätigt habe, dass das mit der Privatsphärendefinition von PersonX konform geht.

Des weiteren öffnen wir natürlich auch Missbrauchspotential indem Menschen diverse Dinge, die wir gesellschaftlich und legal sanktionieren wollen (Gewalt gegen andere, Gesetzesbruch etc), in ihre schützenswerte Privatsphäre verschieben dürfen. Eine Maximalausdehnung wird leider nicht mal angedeutet.

“Veröffentliche keine Daten Anderer ohne Erlaubnis, wenn nicht ausnahmsweise die Öffentlichkeit ein berechtigtes Interesse daran hat.”

Guter Ansatz. Im Prinzip schon im ersten Punkt abgedeckt, aber sicherlich als Handlungsanweisung gut.

“Menschen haben ein Recht auf Anonymität und Pseudonymität.”

Unbestritten, auch wenn in der Erklärung ein eher schwammiger Begriffcocktail aus “Identität” und (implizit) “Realname” gemixt wird, den man sicher deutlicher voneinander Abgrenzen müsste.

Des weiteren ist der eigene Name natürlich nur eine Facette der eigenen Identität und wie im ersten Abschnitt beschrieben, darf und muss man da Nutzungsrechte dranhängen. Im Prinzip ist diese Aussage also überflüssig.

“Veröffentliche keine Daten, die nicht öffentlich sein sollen.”

S.o. Schon im ersten Abschnitt wurde von Menschen gefordert klarer zu entscheiden, was von sich man veröffentlichen will, von daher ist der Aspekt nichts neues. Im Gegenzug ist natürlich das Akzeptieren des viel zitierten Kontrollverlustes als echter Fortschritt zu werten, es zeigt deutlich, dass die Autoren des “Manifests” die technischen und mechanischen Hintergründe nicht negieren sondern klar adressieren.

“Öffentliche Daten sind öffentlich, du kannst sie nicht zurückholen.”

Redundant.

“Auch wenn private Daten bereits öffentlich sind, verbreite sie nicht dem ausdrücklichen Wunsch des Betroffenen zuwider weiter, es sei denn, es besteht ein berechtigtes Interesse daran.”

An sich redundant, aber natürlich eröffnet man hier nebenher die Diskussion darüber welches Interesse “berechtigt” ist und inwieweit diese “Berechtigung” die im zweiten Punkt geforderte Definitionshoheit des Einzelnen ausser Kraft setzt.

“Jeder Mensch hat das Recht, öffentliche Daten zu nutzen und zu verarbeiten.”

Hier haben wir das Problem der “öffentlichen Daten”. Welche Daten sind öffentlich? Alle Daten, die niemand durch eigene Definition in den eigenen Privatsphärenraum verschoben hat?

“Deine Daten können Gutes schaffen. Entziehe sie nicht der Allgemeinheit, wenn sie deine Privatsphäre nicht bedrohen.”

Szenenapplaus von mir für diesen Satz! Endlich eine aus der Datenschutzsicht stammende Publikation die klar auch den Nutzen des Teilens aufgreift und thematisiert. Wundervoll!

“Fordere nichts Unmögliches.”

Hier wird nun das Zugeständnis zur faktischen Welt gemacht und in einem Nebensatz “dass es technische und soziale Grenzen bei der Umsetzung deiner Entscheidung gibt” die hier schon mehrfach angesprochenen Probleme, die aus der technischen Nichtumsetzbarkeit von Datenschutz und Rightsmanagement entstehen, angesprochen. Wie groß der Impact dieser Aspekte ist, geht so leider unter.

“Verzeihe, wo du nicht vergessen kannst.”

Diesem Punkt stimme ich wiederum unumwunden zu.

Zusammenfassung:

Insgesamt begrüße ich den Schritt, den die Autoren gemacht haben. Gerade das Abrücken vom Datenschutzbegriff eröffnete eine Menge neuer Sichtweisen, die die Diskussion bereichert haben und das Datenschtuzdogma auf eine sehr konstruktive Art und Weise aufgerüttelt haben.

Rein formal bleibt zu kritisieren, dass einige Begriffe wie beispielsweise “öffentliche Daten”, “Privatsphäre” und “Identität” nicht klar definiert und in sich schlüssig verwendet werden und dass sich einige Punkte wiederholen, was wiederum vielleicht aber auch dem Textformat “Manifest” geschuldet ist.

Gerade der zweite Absatz (“Privatsphäre beginnt dort, wo dein Gegenüber seine Grenze zieht, nicht aber dort, wo du sie ziehen würdest.”) eröffnet eine Menge Probleme, wenn man das mal zu Ende denkt, hier fehlt eine definierte Obergrenze.

Was mir besonders gefällt an dem Text ist der klare Fokus auf den Menschen und das weggehen von den Daten als einziger Fixpunkt. Es geht darum wie man miteinander umgeht (“vergeben”, “Rechte anderer” usw) und das ist meiner Meinung nach die einzige Betrachtungsweise, die irgendwie zielführend ist.

Vielen Dank an die Originalautoren Benjamin Siggel und Michael Vogel (glaube ich?), auch wenn ich dem Text nicht in allem zustimme und noch Schwächen sehe, stellt er eine große Bereicherung der Diskussion dar.

Es bieten sich auf den ersten Blick zwei naheliegende Möglichkeiten an, das Verhältnis von uns Post-Privacy-ioten zur Debatte um Anonymität im Internet zu bestimmen.

Erste Möglichkeit: Post-Privacy und Anonymität schließen sich aus. Wo es keine Geheimnisse gibt, gibt es auch keine Geheimhaltung der Namen mehr. Deshalb sind die Post-Privacy-ioten Feinde der Anonymität im Netz. Der Bundesinnenminister und die Spackeria, wir sind beste Kumpels!

Zweite Möglichkeit: Da tummeln sich ja viele Netz-Libertäre auch in der Post-Privacy. Das sind traditionell Anonymitäts-Fans, also auch jetzt noch. Aber Anonymität und Post-Privacy toll finden, das beißt sich doch. Also entweder seid ihr total inkonsequent, oder ihr trommelt nur grad immer für das, was grad Aufmerksamkeitssturm kriegt!

Kann beides Treffer landen, je nachdem, wen man damit meint. Als Spackeria machen wir uns bekanntermaßen unangreifbar, indem wir Einzelne vorschicken, die unser Programm auf den Tisch knallen, und dann, wenn an dem Programm herumkritisiert wird, flüchten wir uns hinter “ja das ist ja nur eine Einzelmeinung”. Find ich auch ganz spaßig so: Wer lieber Körper falsch beweisen möchte als Argumente, darf ruhig verwirrt werden. Körper sind eh nur eine Illusion.

Dritte Möglichkeit

Um mal das Konzert der unterschiedlichen denkbaren Positionen zu bereichern, versuche ich mich an der Formulierung einer dritten (von der ich schon jetzt weiß, dass sie voraussichtlich nicht jeder teilt, der sich Spacko nennt; nur mal so als Vorwarnung an die Spackeria-Identitäts-Freunde):

Wir (meint er damit das faschistische “Wir”? Wer weiß!) von der Post-Privacy-Fraktion sind große Fans allgemeiner Unreguliertheit im Netz. Deshalb stemmt sich Einiges bei uns gegen zentrale Regulierungs-Bemühungen zum Beispiel seitens des Datenschutzes. Wir sind gegen alle Maßnahmen, den Kommunikationsfluss allgemein zu behindern — einschließlich solcher, die auftreten als Schutz der Privatsphäre. Wir glauben, dass Datenschutz immer mehr Regelungs-Gewalt auffahren müsste, um seine Ziele unterm ansteigenden Kommunikationsfluss des Netzes zu verteidigen. Vor die Wahl gestellt zwischen strengerer Regulierung der Kommunikation und der Kapitulation vor der Post-Privacy entscheiden wir uns: für die Post-Privacy.

Aber auch Realnamenszwang ist Regelungswut gegenüber dem Kommunikationsfluss. Kommunikations-Akte nur noch zulassen, soweit sie auf bürgerliche Identitäten zurückgebunden werden können, ist Einschränkung der Kommunikations-Freiheit. Den Leuten vorschreiben, wie sie sich zu nennen haben, ist Einschränkung der Kommunikations-Freiheit. Wenn wir gegen strengere allgemeine Regulierung der Kommunikation sind, sind wir auch gegen einen Realnamenszwang.

Das heißt nicht, dass wir bereit sind, uns in jedem Fall schützend vor ein Recht auf Anonymität zu stellen. Nur: Wer auf Anonymität setzt, schreibt falsche Namen in Eingabefelder und achtet vielleicht auf die Verschlüsselung seiner Kommunikationswege. Er macht damit noch nicht dem Rest des Netzes Vorschriften, was es darf und was nicht. Sich ein Pseudonym oder ein Autonym geben, ist nicht dasselbe wie das Wegpixeln von Innenstädten. Anonymität richtet sehr viel weniger Schaden an in den Freiheiten, von denen die Post-Privacy-Spackeria träumt, als beispielsweise EU-Gesetze zum “Recht auf Vergessen”. Anonymität verhält sich gegenüber den von uns gewünschten Freiheiten des Netzes einigermaßen neutral.

Deine persönlichen Post-Privacy-Taktiken können bisher einigermaßen friedlich ko-existieren mit meinen persönlichen Anonymitäts-Taktiken. Eine Ausweitung der Post-Privacy-Zone macht wirkungsvolle Anonymität vielleicht schwerer, aber Post-Privacy fühlt sich ihrerseits von den persönlichen Bemühungen um Anonymität kaum angegriffen: Das kreative Ausfüllen von Eingabefeldern ist etwas anderes als das Durchdrücken drakonischer Daten-Gesetze. Es gibt keine akuten Gründe, im Namen der Post-Privacy-Freiheiten auf einen Angriff gegen persönliche Anonymitäts-Taktiken zu blasen. Wenn eine wachsende Post-Privacy der Wirksamkeit persönlicher Anonymitäts-Taktiken letztlich den Boden entzieht, dann ist das halt so — aber wozu gezielt nachhelfen?

Tatsächlich scheinen die Fronten andere. Die großen Datensilos wie Facebook oder Google Plus gewähren ihren Nutzern eine Illusion informationeller Selbstbestimmung, indem sie ihnen umfangreiche Privatsphären-Einstellungen gewähren. Gleichzeitig sind es diese Datensilos, die Realnamenspflicht durchzufechten versuchen. Neben ihrer Gier, die Daten ihrer Kunden kenntnisreicher zu werbevermarkten, fällt ihnen auch ein durchaus Privacy-taugliches Argument für die Realnamenspflicht ein: Wer seine Privatsphäre schützen will, muss wissen, wer das ist, an den er seine Mitteilung weiterreicht — er muss die Leute identifizieren können, mit denen er es zu tun hat; und da ist die härteste (weil letztlich mit staatlicher Beglaubigung via Ausweis-Einfaxen überprüfbare) Referenz nunmal immer noch der bürgerliche Name.

Auch der Staat, der Persönlichkeitsrechte im Netz zu garantieren verspricht mit seiner Gewalt, ist derselbe, aus dessen Reihen immer wieder ein Ende der Anonymität im Netz verlangt wird — um die dortige Anarchie zurückzudrängen, die ja u.a. auch das ist, was die Durchsetzung von Persönlichkeitsrechten erschwert. In beiden Fällen geht Persönlichkeitsrecht also mit Persönlichkeitspflicht einher.

Ich bin ein großer Freund der Anarchie im Netz. Ich lasse sie mir weder durch regulative Erzwingung von Privacy, noch durch regulative Erzwingung von bürgerlichen Namen einschränken.