Die datenschutzkritische Spackeria

Der Foebud (dessen Name irritierenderweise für “Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs” steht, während die Verhinderung von Datenwanderungen die Hauptaufgabe zu sein scheint) hat heute auf seine neue Petition aufmerksam gemacht: “Petition für Datenschutz als Voreinstellung“.

Der CCC unterstützte das Vorhaben gleich mit einem eigenen Zeichnungsaufruf mit dem etwas verwirrten Titel “privacy by default” (es geht um Datenschutz und nicht um Privacy, zwei ganz unterschiedliche Konzepte).

An dieser Stelle sollten wir vielleicht mal einige Dinge voneinander trennen, da das ja schon rein begrifflich bei einigen der Unterstützer durcheinandergeht.

Ich halte es grundsätzlich für sinnvoll die Standardeinstellungen von Software zu verbessern, die ist nämlich leider oft großer Murks. Und gerade Facebook’s “Privacy”-Einstellungen sind ein gutes Beispiel dafür, wie man es nicht machen sollte: Zahllose Checkboxen und Auswahlfelder um irgendwelche obskuren Einstellungen von “verstehe ich nicht” auf “und das hier auch nicht” zu setzen. Das Problem ist: Dieses undurchdringliche Optionendickicht ist entstanden, um den Forderungen der Datenschützer zu entsprechen und den Nutzern “Kontrolle” zu geben. Jetzt aus Datenschützersicht zu klagen, dass sei alles zu undurchschaubar und Menschen würden die Einstellungen ja nie ordentlich anpassen, klingt schon ein wenig scheinheilig. Ja, vielleicht kann man die Standards anders einstellen, aber wie genau denn? Und wenn die Nutzer Kontrolle behalten sollen, dann hilft ihnen das ja immer noch nicht.

Das Argument für das Verschieben des Defaults ist einfach gestrickt:  Viele Nutzer stellen die Standardvorgaben von Social Media Seiten wie Facebook nicht um auf ein “gutes” Setting, daher muss man das Standardsetting ändern. Klingt logisch, ist aber so einfach nicht.

Wenn wir vom vielzitierten, mündigen Bürger ausgehen, dann müssen wir davon ausgehen, dass diese Menschen sich bewusst entschieden haben für die Einstellungen, sie sind ja mündig und die Aufklärung über die Gefahren von Facebook ist allgegenwärtig. Den Standard zu ändern, würde bedeuten, dass mehr Leute Einstellungen anpassen müssten, weil der jetzige Standard ja gut anzukommen scheint.

Wenn wir davon ausgehen, dass die leute das nicht umstellen, weil sie das nicht verstehen, haben wir sogar zwei Probleme. Erstens: Wer darf denn den “richtigen” und “guten” Weg festlegen? Und zweitens: Was für ein Bild meiner Mitmenschen habe ich, wenn ich glaube, sie könnten nicht über ihre Grundrechtsbedürfnisse entscheiden?

Der Foebud macht es sich hier zu einfach, indem plakativ von “besseren Standards” geschrieben wird ohne, dass die Leute wissen, wie diese – losgelöst von abstrakten Formulierungen – genau aussehen sollen: Wie genau soll irgendjemand diese Petition sinnvoll unterschreiben, wenn nicht genau klar ist, worum es gehen soll?

Der CCC wiederholt den alten Fehler, Datenschutz mit Privatsphäre gleichzusetzen, was zwar nostalgischen Wert hat, aber in diesem Kontext nicht weiterhilft.

Privacy by default ist eine dieser Ideen, die in der Theorie gut klingen aber an der Umsetzung kollossal scheitern: Selbst wenn Facebook per Default alles auf “privat” setzen würde, gäbe es weiterhin die Klagen, dass das “Datenmonster” Daten “raffen” wolle in seiner “Datengier”. Es geht hier nicht um Inhalte. Es geht um Theater.

P.S. Die von Jens Ohlig auf Twitter zu Recht thematisierte grundlegende  kognitive Dissonanz vieler Datenschützer/Netzaktivisten hinsichtlich der Tatsache, dass Datenschutzeinstellungen nur dann funktionieren können, wenn man daran glaubt, dass es wirksames DRM gibt, habe ich schon hier angesprochen, sorgt aber immer wieder für eine gewisse Erheiterung.

Ein Gastbeitrag von Benjamin ‘crackpille’ Siggel, Mitglied der Piratenpartei.

Das ULD hat sich mit der Meinung in der Öffentlichkeit positioniert, Social Plugins wie der Like-Button seien datenschutzwidrig, weil sie Daten (bspw. die IP-Adresse) in die USA weiterleiten. Nun haben die Piraten Schleswig-Holstein ihre Facebook-Fanpage gelöscht, weil sie “nicht der Käse in Facebooks Datenfalle” sein wollen – und haben sich damit eine falsche Agenda aufzwingen lassen.

Ich will hier gar nicht die Rechtsmeinung des ULD zerlegen. Nur soviel in Kürze: Zum einen macht das ULD IP-Adressen zu einem personenbezogenen Datum, obwohl stark umstritten ist, ob eine IP das ist – immerhin verweist sie bestenfalls auf einen Anschluss. Aber man braucht nunmal ein personenbezogenes Datum um ein Datenschutzproblem behaupten zu können. Zweitens konstruiert das ULD eine Weitergabe dieses angeblichen personenbezogenen Datums durch die Einbindung von externen Inhalten auf der eigenen Seite.

In technischer Hinsicht ist das Quatsch – der Webseitenbetreiber gibt überhaupt keine Daten an Facebook weiter  - das macht vielmehr der User selber, indem sein Browser den entsprechenden Code von den Servern von Facebook lädt.

Und genau hier liegt der Knackpunkt und die Gefahr:

Das Wesen des Netzes ist die Vernetzung! Die Argumentation die das ULD hier gegen Facebook fährt ist vernetzungsfeindlich und lässt sich auf jede Einbindung von Content von externen Dritten anwenden.

• Youtube-Videos auf der eigenen Webseite?
• Werbung, die von dritten Servern geladen wird?
• Und wie ist das mit Links? Wenn ich dafür verantwortlich bin, dass ein User sich das eingebettete Social-Plugin lädt, bin ich dann nicht auch verantwortlich, wenn der User einen eingebetteten Link anklickt der vielleicht nicht nach den Datenschutzvorstellungen des ULD spielt?
• Darf ich dieses Blog führen, das Google irgendwo in den USA hostet? (Anmerkung: Der Originalartikel wurde auf blogspot.com veröffentlicht, -kp) Immerhin ist in dem Moment wo du diesen Artikel aufgerufen hast, deine IP-Adresse dorthin übermittelt worden
• Wie ist das mit eMails, die im Header häufig die IP-Adresse des Absenders mitführen? Darf ich nur noch eMails innerhalb Deutschlands verschicken?

Das ULD versucht über den Umweg Datenschutz nationalstaatliche Grenzen im Internet einzuziehen und folgt dabei getreu dem alten Prinzip: Am deutschen Datenschutzwesen soll die Welt genesen. (siehe auch: Datenschutz als Falle)

Dabei legt es die Axt an die Wurzel des Netzes, nämlich an die Möglichkeit der Vernetzung selbst an und negiert deren internationalen Charakter. Deutschland wird so noch ein Stück internetfeindlicher als bisher, die Haftungsrisiken für den Betrieb einer Website steigen weiter und wir koppeln uns ohne Not von einer Entwicklung ab, die die Zukunft ist. Worum geht es wohl im Informationszeitalter? Was wird die Basis für kulturelle, politische und wirtschaftliche Relevanz auf dieser Welt sein?

Wir beklagen uns darüber, dass es kein deutsches oder europäisches Google gibt, kein Facebook und keine sonstigen Projekte in diesen Dimensionen – ja warum wohl? Weil Institutionen wie dem ULD Relevanz eingeräumt werden, wenn sie völlig an der veränderten Realität vorbei ihren Dogmatismus zementieren.

Wenn die Piraten Schleswig-Holstein jetzt ihre Facebook-Fanpage gelöscht haben, dann werden sie – um in ihren Worten zu bleiben – zum Käse in der Falle des ULD, denn sie adeln mit ihrem Kniefall vor der Meinung des ULD einen unreflektierten Datenschutzfundamentalismus, der gefährlich ist für das Netz und schädlich für die kulturellen und wirtschaftlichen Interessen Deutschlands und Europas.

Wir legen heute und in den nächsten 10-15 Jahren den Grundstein für die Relevanz unseres Kulturraumes im Informationszeitalter – einen Grundstein, der unsere Lebensrealität und die der kommenden Generationen ganz wesentlich bestimmen wird  – und gegenwärtig ist unser Beitrag dazu, angsterfüllt die Übermittlung von IP-Adressen in andere Länder und Fotos von Häuserfronten zu verdammen.

Und noch einmal aus einer anderen Perspektive die spezifisch die Piraten als politische Partei betrifft:

Es ist eine zentrale Aufgabe von Parteien in unserem demokratischen System, den Diskurs aus der Gesellschaft heraus gebündelt ins politische System und aus diesem zurück wieder in die Gesellschaft zu tragen. Es ist ein kommunikatives Wechselspiel, ein Kreislauf zwischen Politik und Bürger, in dem Parteien die Aufgabe des Mittlers und Moderators übernehmen. Politik muss dorthin getragen werden, wo die Menschen sind, nicht umgekehrt. Wenn viele Menschen auf Facebook sind, dann müssen politische Parteien auch dort ihrer politischen Aufgabe nachkommen und dürfen sich nicht selbstgerecht in ihren Datenschutz-Elfenbeinturm zurückziehen.

In den letzten Wochen habe ich wieder häufiger den folgenden Satz (so oder abgewandelt) gelesen:

“Denn aus Facebooks Sicht bist du nicht der Kunde. Du bist das Produkt.” (via)

Der zugrundeliegende Gedanke ist einfach: Damit Facebook Geld verdienen kann, muss es ein vermarkt- und vor allem verkaufbares Produkt haben. Die Nutzer zahlen kein Geld für ihre Nutzung, daher müssen sie (bzw. ihre Daten) ja das Produkt sein. Das klingt in sich schlüssig und erlaubt griffige Slogans, ist aber falsch.

Facebooks Produkt sind aggregierte und aufbereitete Datensätze. Dabei nehmen die Nutzer bzw. ihre Daten nicht die Rolle des Produktes ein, sondern des Rohstofflieferanten.

Facebook verkauft nicht dein Profil, denn das kann man maximal an drei oder vier Menschen deiner Umgebung vertickern. Sie nehmen deine Daten, deine Interessen und bilden Cluster, d.h. sie versuchen Menschengruppen zu bilden, die ähnliche Interessen und Ansichten haben. Je präziser sie diese Gruppen bilden können, desto wertvoller (und damit teurer) sind ihre Daten für Werbetreibende, die ja eben sehr spezifische Menschengruppen mit ihren Kampagnen ansprechen wollen. Und dort kommt das Geld her: Werber können durch Facebooks Arbeit eine sehr klar eingegrenzte Gruppe ansprechen und dafür zahlen sie Geld; für die potentielle Aufmerksamkeit einer Gruppe von Menschen mit bestimmten Eigenschaften.

Facebook versucht viele Daten über dich zu sammeln, um dich besser zu verstehen. Denn das erlaubt ihnen, dich besser zu Clustern zuzuordnen. Die Daten, die Facebook verkauft, sind nicht deine, es sind ganz klar Facebooks. Um das zu verstehen, betrachten wir einfach mal den Fall, dass du deinen Account löschst. Facebook wird dir keine zielgerichtete Werbung mehr zeigen können, aber die Cluster, die Facebook bildet, werden durch dein Nicht-mehr-dasein nicht wirklich schlechter oder weniger relevant für Facebooks Kunden. Wenn ich mich abmelde, kann Facebook ohne Probleme weiterhin “männliche Informatiker jünger als 40 Jahre in Oldenburg” ansprechen. Ich bin nicht das Produkt.

Facebook beutet dich auch nicht aus. Du lieferst ihnen einen winzigen Splitter der Datenbasis, auf der sie ihre Arbeit machen können, dafür bekommst du eine Plattform, auf der du mit deinen Freunden und Verwandten kommunizieren kannst. Das ist transparent. Wenn du deine Daten nicht als Rohdaten für solcherlei Analysen zur Verfügung stellen möchtest, ist das legitim, dann kannst du Facebook eben nicht nutzen.

Also nochmal in kurz. Facebook, bietet den Nutzern (das bist du) eine Plattform, in der sie rumspielen können für lau. Die Nutzer erzeugen dabei den Rohstoff aus dem Facebook sein Produkt erzeugt und es an seine Kunden (Werbetreibende) verkauft. Du bist das Produkt, wenn es um Sklavenhandel geht, das ist hier nicht der Fall. Also drehen wir das Hysterierädchen doch einfach mal runter von 11 auf 2, ok?

P.S. Dasselbe gilt analog auch für die anderen sozialen Netzwerke.

Das “neue Facebook” ist mal wieder Anlaß für eine netzpolitische Nebelgranate die grade durch die Blogosphäre wabert. Ein engagierter Wiener Datenschützer hat a) Facebook verklagt und b) unter dem charmanten Namen “Europa vs. Facebook” eine Anleitung erstellt, wie man sich “seine” Daten von Facebook (wieder)holt. Der Ägypten-Blogger und iPad-Käufer Richard Gutjahr griff das heute auf und titelt ebenfalls “Facebook: So holst Du Dir Deine Daten“.

Das Ganze funktioniert etwa wie folgt: Man ruft ein gut verstecktes Formular auf, gibt seine Daten ein, verweist auf irgendeine EU-Direktive, lädt eine Ausweiskopie(!) hoch, korrigiert(!) vorher noch ggf. falsche Daten (Geburtsdatum) und bekommt irgendwann eine CD mit einem PDF in dem alle Daten drin stehen. Das kreist nun gerade durch Twitter/Blogs und ich versteh es nicht.

Das ein PDF jetzt nicht die Form von “Daten” ist, mit der man irgendwie was “anfangen” könnte, etwa auf die eigene Webseite (eigene Kontrolle) stellen, in ein anderes Netzwerk importieren (Diaspora?) oder einfach nur für sich auswerten/weiterverarbeiten, geschenkt. Das es auf ner CD kommt, geschenkt (auch wenn Wutblogger Fefe darauf rumritt).

Man will sich seine Daten “holen”. Und um das zu können, muss man Facebook erstmal ne Handvoll Daten *geben* und obendrein sich noch per Ausweiskopie verifizieren. Bin ich der einzige, dem das irgendwie komisch vorkommt? Und wenn ich das gemacht habe, dann habe ich ein PDF, mit dem ich nichts anfangen kann. Achja, und die Daten selbst bleiben natürlich trotzdem bei Facebook, ich bekomm ja nur ne Kopie. Das ist doch auf mehreren Ebenen kaputt.

Am Ende dieser unheimlich lehrreichen Aktion ist also Folgendes passiert: Facebook kennt jetzt mehr meiner richtigen Daten, ich habe meinen Account per Ausweiskopie ohne Zwang verifiziert und als Belohnung dafür bekomme ich eine Handvoll in PDF gegossene Glasperlen.

Datenschutztheater.

Ich möchte heute anhand von Beispielen einen neuen Begriff einführen: Das Datenschutztheater. Der Begriff  lässt sich zurückführen auf das Buch “Beyond Fear” welches der Sicherheitsexperte Bruce Schneier 2003, auch unter dem Eindruck der Gegenmassnahmen gegen den “Terror”, welche post-9/11 in den USA etabliert wurden, veröffentlichte und in welchem er den Begriff “Security Theater” prägte.

Dabei bezeichnet Security Theater Sicherheitsmassnahmen, die das Gefühl verbesserter Sicherheit bieten sollen während sie faktisch nichts oder fast nichts für die Verbesserung der Sicherheit tun. (“a term that describes security countermeasures intended to provide the feeling of improved security while doing little or nothing to actually improve security” Quelle)

Analog definiere ich Datenschutztheater folgendermaßen:

Datenschutztheater bezeichnet eine Massnahme oder eine Sammlung von Massnahmen, die den gefühlten Schutz von Daten verbessern ohne dabei die Daten funktional vor Ge- oder Missbrauch zu schützen.

Betrachten wir Beispiele für Datenschutztheater.

Piwik

Das Webseitenanalysetool Piwik wird gerne als datenschutzkompatible Alternative zu Google Analytics empfohlen, auch vom Unabhängigen Datenschutzzentrum Schleswig Holstein (ULD). Dabei hat das ULD sogar einen Leitfaden herausgegeben, wie man Piwik datenschutzkonform einsetzt. Wie immer gehts dabei um IPs. Um in den Logs keine direkt tracebaren IPs mehr anzuzeigen, kann ein Plugin eine beliebige Anzahl der IP-Oktets auf 000 setzen (also steht bei der Einstellung 2 statt “123.456.123.456″ “123.456.000.000″ in den Logs). Auf diese Weise soll eine direkte Nachverfolgung des Nutzers ausgeschlossen werden ohne die Funktionalität der Anwendung (die ja auch darstellen will, aus welchen Gegenden die Nutzer der Seite kommen) unnötig zu beschneiden. Die echte IP wird intern noch genutzt, um die einzelnen Nutzer voneinander unterscheiden zu können, sie wird allerdings mit mit anderen Daten verknüpft und “gehasht”. Das ULD geht davon aus, “dass eine Rückrechnung aus dem gebildeten Hashwert bei Kenntnis der anderen zusätzlich genutzten Parameter und innerhalb der Lebenszeit des Cookies zwar theoretisch möglich, jedoch mit derartigem Aufwand verbunden wäre, dass das Restrisiko in diesem Fall hinnehmbar ist (vlg. Leitfaden)”.

Warum ist das Datenschutztheater? Erstens ist die eindeutige Identifikation der Nutzers schon alleine über seine Browserkennung (vgl. panopticlick) möglich (was das ULD selbst im Handbuch sogar anspricht!) und zweitens ist die maximale Anzahl der Hashes, welche ich bei zwei anonymisierten IP Oktets ausprobieren muss, um die IP des Nutzers zu rekonstruieren, 254^2 (=64516), was für einen modernen Prozessor absoluter Kinderteller ist. Die IP in den Logs wird zwar umgeschrieben, aber da die Daten dann doch noch drinstecken und leicht zu rekonstruieren sind ist das eine völlig sinnlose Spielerei ohne Mehrwert. Datenschutztheater eben.

TÜV Siegel auf den VZ Netzwerken

Fangen wir an mit einem Zitat von der meinVZ Seite: “Jetzt haben wir es schriftlich: Die VZ-Netzwerke sind das erste soziale Netzwerk, dessen Softwarequalität und Datensicherheit offiziell durch ein Zertifikat des TÜV SÜD bestätigt ist. Geprüft und getestet wurden die Funktionalität unserer Seiten sowie der Datenschutz und die Datensicherheit – und dafür hat der TÜV SÜD uns zertifiziert.” (link). Das klingt doch nach ner super Sache!

Warum ist das Datenschutztheater? Der TÜV SÜD hat keineswegs den Quellcode der Software geprüft sondern sich selbst durch die Webseite geklickt und geguckt, ob man die Datenschutzeinstellungen finden kann. Das ist keineswegs ein wertloser Test, aber über die wirkliche Sicherheit Missbrauch und Eindringlingen von Aussen gegenüber sagt das Siegel ganz genau nichts. Der TÜV gibt hier sein Qualitätssiegel her für etwas, was er einerseits nicht wirklich genau geprüft hat und was sich andererseits ständig verändert. Zwar lässt sich *VZ jedes Jahr neu zertifizieren, doch sagen alle diese Zertifikate wiederum herzlich wenig über die Sicherheit der Daten aus. Sie entsprechen nichtmal den Opt-In Anforderungen, die Thilo Weichert an Facebook richtet (vgl. diesen Spackeria Post). Klares Datenschutztheater.

Google+

Google Plus wurde gleich zu Beginn sehr für seine Datenschutzfreundlichkeit gelobt. Das “Circles” Konzept macht es den Nutzern einfach, bestimmte Inhalte nur mit einem eingeschränkten Nutzerkreis zu teilen. Später kam sogar noch hinzu, dass man Posts, welche nur mit einen eingeschränkten Nutzerkreis geteilt wurden auch selbst nicht unbeschränkt weiterverbreiten konnte.

Warum ist das Datenschutztheater? Google unterbindet zwar das direkte Weiterleiten an die Öffentlichkeit, aber nichts, in Worten gar nichts, hält mich davon ab, den Text zu kopieren und als neuen Post abzusenden (mit “+Name hat geschrieben” oben drüber). Der Mechanismus hat keine sinnvolle Funktion sondern soll nur eine Befindlichkeit stützen, das Gefühl, alles sei gut. Datenschutztheater at its best.

Viele der Datenschutzmassnahmen, die wir um uns sehen sind reines Datenschutztheater, die den Nutzern keinen Schutz bieten, ihnen aber eben solchen vorgaukeln. Und hier liegt die besondere Gefahr des Datenschutztheaters: Weil die Nutzer glauben, ihre Daten seien sicher, lassen sie sich dazu hinreißen, Dinge zu veröffentlichen, welche sie eigentlich lieber geheimgehalten hätten. So führt Datenschutztheater entgegen der Intention der Datenschützer faktisch zu größeren Datenschutzproblemen und mehr Datenleaks.

Lieber Herr Weichert,

im Streit mit dem Heise Verlag bzgl. der Einbettung von SocialMedia Buttons gehts in die zweite Runde. Nachdem Sie zuerst den Einbettern solcher Buttons (Facebook’s Like, Google’s +1 und viele andere) mit Verfolgung und finanziellen Strafen drohten, stellte der Heise Verlag eine, wie ich und eine Menge anderer Netzexperten finden, sehr gelungene Lösung vor: “2 Klicks für mehr Datenschutz.“.

Die Heise Mitarbeiter schlagen vor, die echte Einbettung (und damit das Übertragen der Daten, die hier ausreichend klar dargestellt werden), von einem vorgelagerten Zustimmungsklick abhängig zu machen: Die Nutzer haben also weiterhin die Möglichkeit, ganz bewusst Social Media einzusetzen ohne dabei ohne ihre Einwilligung Daten von sich preis zu geben.

Nun stellt sich heraus, dass Ihnen das nicht reicht. Ihr Argument ist, dass Nutzer gar nicht zustimmen können, denn:

“Zudem setzt eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlegt, was es mit den Nutzerdaten macht, fehlt es weiterhin an der nötigen Information.”(zu lesen hier)

Herr Weichert, ich bin leider nicht mehr in der Lage abzuschätzen, wie genau sie sich ein weiterhin nutzbares Internet vorstellen, würde das aber gerne verstehen. Deshalb beschreibe ich einfach mal ein Szenario und sie erklären mir, wie das geht, OK?

Nehmen wir mal an, dass das Internet, diese wundervolle Erfindung, die uns alle jeden Tag näher zusammenbringt, erstmal erhalten bleiben soll. Wir gehen weiterhin (rein pragmatisch) davon aus, dass wir nicht mal eben alle Infrastruktur wegwerfen und wir weiterhin HTTP über TCP/IP auf dem Transport Layer einsetzen.

Szenario:
Ich habe ein Webangebot mit Inhalten, nehmen wir einfach mal Katzenbilder, unter denen ich Social Media Buttons einblenden will: Einen Like von Facebook, ein +1 von Google und als kleine Abwechslung einen Flattr Button. Wie realisiere ich diese Knöpfe ihrer Meinung nach richtig?

Anmerkungen:
Eine Entfernung der Knöpfe ist nicht sinnvoll, weil das einen massiven Einschnitt in die Nutzbarkeit des Webangebotes bedeuten würde, da ich dann von jedem Besucher deutlich mehr Computernutzungswissen (“wie kopiere ich eine URL und teile die auf Facebook”) voraussetzen müsste als ich will. Beim Teilen von Katzenbildern soll niemand ausgegrenzt werden.

Ich freue mich auf Ihre Antwort,
<3

tante

[Folgender Beitrag stammt von @crackpille und weil er den Stand der Debatte und die Argumente super rekapituliert, will ich ihn hier wiedergeben. Aus seiner Feder stammt auch der konstruktive Vorstoß mit der Datenethik, die hier auch schon kommentiert  wurde. Auch lesenswert die Debatte um die Parallele zur "Gurtpflicht" in den Originalkommentaren dieses Beitrags. Da finden sich wichige Argumente für allgemeinere (Netz-)Regulierungsfragen, die an anderer Stelle immer wieder mal aufpoppen, jüngst bei Spreeblick. -- fasel]

Es gab mal eine Zeit, da war klar, wer Freund und wer Feind ist. Datenschutz war gut, Überwachung war böse. Die Netzcommunity war sich einig – heute ist sie es nicht mehr. Die Uneinigkeit, welche sich zuletzt wieder im Streit zwischen “Spackeria” und “Aluhüten” ausdrückt, ist nicht Ursache, sondern das Symptom einer Veränderung.

Was ist passiert? Wie konnte es dazu kommen?

War es wirklich die plötzliche Erkenntnis des vielzitierten Kontrollverlustes? Waren es Personen wie @plomlompom oder @laprintemps, die diese Einigkeit zerstört haben – aus welchen Motiven auch immer?

Oder sind auch diese vielmehr bloß Spielfiguren, die in Reaktion auf einen politischen Schachzug nach besten Wissen und Gewissen handeln? Was zwischen damals, als wir uns noch einig waren und heute passiert ist, kann man am besten (ideologisch neutral) als Neudefinition der Bedrohungslage bezeichnen.

Die Kampflinie Datenschützer vs. Staat haben die großen Parteien durch massives agenda-setting abgelenkt auf Datenschützer vs. Google und Facebook.

Daraus resultiert auch die Heuchelei, die Erfassung von IP-Adressen als datenschutzwidrig darzustellen, während man gebetsmühlenartig eine Vorratsdatenspeicherung fordert die erst dafür sorgt, dass eine IP auf einen Anschluss zurückzuführen ist. Dieselbe Doppelmoral durchzieht die Aufregung um die biometrische Auswertung von Facebook-Fotos, wenn im selben Moment Geheimdienste und Ermittlungsbehörden selbst eben diese Daten von Facebook abgreifen und auswerten – sicherlich auch biometrisch. 

Insofern hat ein solches Feature in Social Networks sogar ein Gutes: Es macht den Benutzern klar, was möglich ist und es verhindert die Monopolisierung von Techniken zur Datenauswertung. Heute hat man mit Facebook einen Gegner gewählt, der nicht gerade die Sympathie von Datenschützern genießt, aber dieselbe Datenschutzlogik lässt sich schon morgen beispielsweise auf Open-Source-Software anwenden, die Biometrie betreibt. Und in dieser Hinsicht halte ich es klar mit der ersten Regel der Hackerethik:

Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein.

Über David und Goliath

Mir sei an dieser Stelle ein kurzer rechtlicher Exkurs gestattet, denn wenn man den dahinterstehenden Trick einmal verstanden hat, kann man ihn sehr viel leichter auch in anderen Konstellationen wiedererkennen.

Das, was hinter der ganzen Diskussionssuppe Datenschutz eigentlich steht, ist das Grundrecht auf informationelle Selbstbestimmung. Grundrechte wiederum sind Abwehrrechte gegen den Staat. Das bedeutet sie sind dazu bestimmt, grundlegende Freiheitsräume der Bürger gegen den Staat zu schützen und diesen in seiner Machtausübung zu binden.

Bildhaft gesprochen kommt Goliath (der Staat) in seiner Allmacht auf den wehrlosen kleinen David (den Bürger) zugestapft, der aber nicht erzittern muss, sondern das Grundgesetz zücken und damit die Angriffe von Goliath mühelos parieren kann. “Nein Goliath, du kriegst meine Daten nicht, denn meine Grundrechte schützen mich vor dir!”

Und jetzt ist es passiert, dass Goliath dieses Grundrecht nimmt, dass eigentlich David schützen soll, und sagt: “Siehe David, du hast ein Grundrecht auf informationelle Selbstbestimmung. Und deshalb muss ich jetzt Facebook und dir vorschreiben, was du mit deinen Daten tun und lassen darfst – nicht, dass deiner informationellen Selbstbestimmung etwas zustößt…” So wird das Grundrecht, dass eigentlich einen Freiheitsraum schützen soll zur Rechtfertigung, eben diesen Freiheitsraum zu beschneiden.

Wir dürfen nicht ein fundamentales Prinzip der Verfassung nehmen, und es gegen einen Bürger wenden!

Jean-Luc Picard

Dieser Trick ist nicht neu. Wir kennen ihn aus der Diskussion um Paintball, Laserdrome und Flatrate-Freudenhäuser. Auch hier wird ein Grundrecht – in diesen Fällen die Menschenwürde – als Rechtfertigung genommen, um damit die Freiheit der Paintball- und Laserdrome-Spieler und Sexarbeiter zu beschneiden. Soweit der Exkurs, zurück zum Thema.

Der Fuß in der Tür

Das künstlich aufgebaute Problem Datenschutz im Internet ist nur eine weitere Kampflinie beim Versuch, einen Fuß in die Tür zu bekommen, um das Netz zu regulieren und zu kontrollieren. Es steht so in einer Reihe mit der Lüge vom Milliardenmarkt Kinderpornographie, der Lüge, die Tat des christlich-fundamentalistischen Terroristen von Oslo sei im Internet geboren (und natürlich nicht aus der Hasskultur, die geistige Brandstifer aus der bürgerlichen Mitte säen und nähren) und anderen Täuschungen.

Von all diesen Versuchen ist er aber der, mit den größten Erfolgsaussichten. Warum?

Weil er gleich mehrere Fliegen mit einer Klappe schlägt. Während Kinderpornos, Beleidigungen und Massenmord “lediglich” das Bild eines Netzes zeichnen, dass kriminell und gefährlich ist und deswegen reguliert werden muss, lenkt die Umdefinition der informationellen Selbstbestimmung darüber hinaus noch den Blick davon ab, dass die größte Bedrohung derselben nach wie vor vom Staat ausgeht und nicht von privaten Datensammlern.

Denn im Gegensatz zu Facebook oder Google, wo niemand mitmachen muss, nimmt sich der Staat gegen meinen Willen im Geheimen alle Daten über mich die er haben will – und nicht einmal nur bei mir, sondern auch bei Dritten (auch bei Facebook und Google). Und anders als Private hat der Staat die Möglichkeit, Druck und Gewalt gegen mich auszuüben, wenn ihm die Informationen über mich irgendwie missfallen.

Der gefährlichste Effekt der Umdefinition der informationellen Selbstbestimmung ist aber die Spaltung der Netzcommunity. Seitdem sich die Feinde der Freiheit in den Mantel der Datenschützer gehüllt haben, sind die Fronten nicht mehr klar und eine einst (in dieser Frage) geeinte Gruppe steht sich nun als Gegner gegenüber und betrachtet die jeweils andere Seite als Verräter des gemeinsamen Zieles.

Die Datenschützer vom staatlichen Überwachungsplänen abgelenkt, der Bevölkerung vorgegaukelt, man würde etwas für ihre digitale Sicherheit tun, das Bedrohungsszenario verzerrt, den politischen Gegner gespalten.  Ich muss sagen: Dies war ein wirklich guter politischer Trick. Ich werde ihn mir merken.

Schurken, die ihre Schnurrbärte zwirbeln sind leicht zu erkennen, aber diejenigen, die sich in gute Taten kleiden, sind hervorragend getarnt.

Jean-Luc Picard

Für uns ist es nun wichtig, dass wir uns dieser Taktik aktiv verweigern. Wir dürfen uns nicht dazu missbrauchen lassen, den freiheitsfeindlichen Strömungen bei der Beschneidung unserer Freiheiten den Weg freizumachen, nur weil sie das Banner des Datenschutzes vor sich hertragen.

Das bedeutet:

• Den aufgezeigten Mechanismus verstehen und nachvollziehen.
• Erkennen und Bedenken, dass informationelle Selbstbestimmung nicht nur ein negatives Recht ist um Eingriffe in die Persönlichkeitssphäre abzuwehren, sondern – wie jedes Grundrecht – auch eine positive Seite hat, nämlich das Freiheitsrecht, sich bewusst öffentlich zu machen und sich zu präsentieren.
• Klarmachen, dass Selbstbestimmung und nicht Fremdbestimmung das Ziel sein muss
• Für den privaten Umgang von Menschen mit Daten eine Ethikdebatte führen, diese vorleben und darüber aufklären. Deshalb auch der Entwurf von Michael Vogel und mir für eine Datenethik.
• Für Firmen, in deren kapitalistischer Handlungslogik Ethik keinen Platz hat, bessere Gesetze einfordern, bspw. den Datenbrief und den Entschädigungsanspruch bei Datenmissbrauch
• Uns nicht auf die Argumentation einlassen, anderen Ländern müsste man unsere Gesetze aufzuzwingen.
• Den Schwerpunkt wieder auf den Staat als größte Bedrohung der informationellen Selbstbestimmung legen, also auf Vorratsdatenspeicherung, unverhältnismäßige Verletzungen der informationellen Selbstbestimmung wie beim Dresdner Handyüberwachungsskandal, mangelnde Datensicherheit von Behörden, SteuerID, etc.

Originalbeitrag

Lizenz

This content is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.

Seit einigen Tagen geht ein neues Konzept einer so genannten “Datenethik” herum. Und während ich es begrüße, dass sie sich ein wenig vom ziemlich ausgelutschten Datenschutz Paradigma entfernt und den Fokus verschiebt, so habe ich doch einige Inhaltliche Probleme mit der Ethik, die ich im Folgenden zusammenstellen möchte. Aber lest bitte zuerst mal den Entwurf. Ich warte.

(Den Prolog werde ich an dieser Stelle ignorieren und mich auf den “Manifest” Teil konzentrieren.)

“Du bestimmst über deine Daten.”

Der Ansatz an sich ist ja gar nicht so verkehrt. Es wird von der Verpflichtung des oder der Einzelnen gesprochen, bewusst zu entscheiden, was veröffentlicht werden soll. Auch interessant finde ich die Andeutung der Verplfichtung, die eigenen Wünsche in Bezug auf Daten klar formulieren zu müssen. So weit so gut.

Doch deutet die Formulierung “bestimmen” eine Form der Kontrolle an, die es nicht gibt, Daten die ich nur meinen Freunden zeigen will, können immer noch gegen meinen Willen verwendet werden.

Was hier eigentlich gefordert ist ist die Kombination aus “mache eindeutig klar, was Du wirklich willst” und “halte Dich bitte an die Wünsche Deiner Mitmenschen”. Das ist so erstmal sicherlich eine Verbesserung des Status Quo, funktioniert aber wiederum nur in einem Umfeld wo alle sich respektieren und nett zueinander sind.

Der implizite Wunsch ist ein ehrenwerter, das Problem ist hier wiederum die Durchsetzung der Umsetzbarkeit, eine schwächere und klarer fokussierte Formulierung hätte hier deutlich bessere Dienste geleistet.

“Privatsphäre beginnt dort, wo dein Gegenüber seine Grenze zieht, nicht aber dort, wo du sie ziehen würdest.”

Die Formulierung ist sehr unklar: Eigentlich soll nur gesagt werden, dass jede Person eine andere Sicht auf Privatsphäre hat und man die eigene Sichtweise nicht auf andere anwenden soll (“Privatsphäre ist ser individuell und zu respektieren” wäre präziser gewesen). Privatsphäre individueller aufzufassen halte ich zwar durchaus für eine gute Heuristik, es macht aber den rechtlichen Umgang damit signifikant schwieriger: Statt eines Konsenzkonzeptes von Privatsphäre zwingen wir jede Person ihre eigene Privatsphärendefinition zu formalisieren um uns den Umgang mit dieser Person zu erlauben: Ich kann keinen Satz über ein Treffen von mir und PersonX posten, solange ich nicht von PersonX formal bestätigt habe, dass das mit der Privatsphärendefinition von PersonX konform geht.

Des weiteren öffnen wir natürlich auch Missbrauchspotential indem Menschen diverse Dinge, die wir gesellschaftlich und legal sanktionieren wollen (Gewalt gegen andere, Gesetzesbruch etc), in ihre schützenswerte Privatsphäre verschieben dürfen. Eine Maximalausdehnung wird leider nicht mal angedeutet.

“Veröffentliche keine Daten Anderer ohne Erlaubnis, wenn nicht ausnahmsweise die Öffentlichkeit ein berechtigtes Interesse daran hat.”

Guter Ansatz. Im Prinzip schon im ersten Punkt abgedeckt, aber sicherlich als Handlungsanweisung gut.

“Menschen haben ein Recht auf Anonymität und Pseudonymität.”

Unbestritten, auch wenn in der Erklärung ein eher schwammiger Begriffcocktail aus “Identität” und (implizit) “Realname” gemixt wird, den man sicher deutlicher voneinander Abgrenzen müsste.

Des weiteren ist der eigene Name natürlich nur eine Facette der eigenen Identität und wie im ersten Abschnitt beschrieben, darf und muss man da Nutzungsrechte dranhängen. Im Prinzip ist diese Aussage also überflüssig.

“Veröffentliche keine Daten, die nicht öffentlich sein sollen.”

S.o. Schon im ersten Abschnitt wurde von Menschen gefordert klarer zu entscheiden, was von sich man veröffentlichen will, von daher ist der Aspekt nichts neues. Im Gegenzug ist natürlich das Akzeptieren des viel zitierten Kontrollverlustes als echter Fortschritt zu werten, es zeigt deutlich, dass die Autoren des “Manifests” die technischen und mechanischen Hintergründe nicht negieren sondern klar adressieren.

“Öffentliche Daten sind öffentlich, du kannst sie nicht zurückholen.”

Redundant.

“Auch wenn private Daten bereits öffentlich sind, verbreite sie nicht dem ausdrücklichen Wunsch des Betroffenen zuwider weiter, es sei denn, es besteht ein berechtigtes Interesse daran.”

An sich redundant, aber natürlich eröffnet man hier nebenher die Diskussion darüber welches Interesse “berechtigt” ist und inwieweit diese “Berechtigung” die im zweiten Punkt geforderte Definitionshoheit des Einzelnen ausser Kraft setzt.

“Jeder Mensch hat das Recht, öffentliche Daten zu nutzen und zu verarbeiten.”

Hier haben wir das Problem der “öffentlichen Daten”. Welche Daten sind öffentlich? Alle Daten, die niemand durch eigene Definition in den eigenen Privatsphärenraum verschoben hat?

“Deine Daten können Gutes schaffen. Entziehe sie nicht der Allgemeinheit, wenn sie deine Privatsphäre nicht bedrohen.”

Szenenapplaus von mir für diesen Satz! Endlich eine aus der Datenschutzsicht stammende Publikation die klar auch den Nutzen des Teilens aufgreift und thematisiert. Wundervoll!

“Fordere nichts Unmögliches.”

Hier wird nun das Zugeständnis zur faktischen Welt gemacht und in einem Nebensatz “dass es technische und soziale Grenzen bei der Umsetzung deiner Entscheidung gibt” die hier schon mehrfach angesprochenen Probleme, die aus der technischen Nichtumsetzbarkeit von Datenschutz und Rightsmanagement entstehen, angesprochen. Wie groß der Impact dieser Aspekte ist, geht so leider unter.

“Verzeihe, wo du nicht vergessen kannst.”

Diesem Punkt stimme ich wiederum unumwunden zu.

Zusammenfassung:

Insgesamt begrüße ich den Schritt, den die Autoren gemacht haben. Gerade das Abrücken vom Datenschutzbegriff eröffnete eine Menge neuer Sichtweisen, die die Diskussion bereichert haben und das Datenschtuzdogma auf eine sehr konstruktive Art und Weise aufgerüttelt haben.

Rein formal bleibt zu kritisieren, dass einige Begriffe wie beispielsweise “öffentliche Daten”, “Privatsphäre” und “Identität” nicht klar definiert und in sich schlüssig verwendet werden und dass sich einige Punkte wiederholen, was wiederum vielleicht aber auch dem Textformat “Manifest” geschuldet ist.

Gerade der zweite Absatz (“Privatsphäre beginnt dort, wo dein Gegenüber seine Grenze zieht, nicht aber dort, wo du sie ziehen würdest.”) eröffnet eine Menge Probleme, wenn man das mal zu Ende denkt, hier fehlt eine definierte Obergrenze.

Was mir besonders gefällt an dem Text ist der klare Fokus auf den Menschen und das weggehen von den Daten als einziger Fixpunkt. Es geht darum wie man miteinander umgeht (“vergeben”, “Rechte anderer” usw) und das ist meiner Meinung nach die einzige Betrachtungsweise, die irgendwie zielführend ist.

Vielen Dank an die Originalautoren Benjamin Siggel und Michael Vogel (glaube ich?), auch wenn ich dem Text nicht in allem zustimme und noch Schwächen sehe, stellt er eine große Bereicherung der Diskussion dar.

Ich will nur mal ganz kurz was notieren zum Verhältnis von Post-Privacy und Anonymität.

Es bieten sich auf den ersten Blick zwei naheliegende Möglichkeiten an, das Verhältnis von uns Post-Privacy-ioten zur Debatte um Anonymität im Internet zu bestimmen.

Erste Möglichkeit: Post-Privacy und Anonymität schließen sich aus. Wo es keine Geheimnisse gibt, gibt es auch keine Geheimhaltung der Namen mehr. Deshalb sind die Post-Privacy-ioten Feinde der Anonymität im Netz. Der Bundesinnenminister und die Spackeria, wir sind beste Kumpels!

Zweite Möglichkeit: Da tummeln sich ja viele Netz-Libertäre auch in der Post-Privacy. Das sind traditionell Anonymitäts-Fans, also auch jetzt noch. Aber Anonymität und Post-Privacy toll finden, das beißt sich doch. Also entweder seid ihr total inkonsequent, oder ihr trommelt nur grad immer für das, was grad Aufmerksamkeitssturm kriegt!

Kann beides Treffer landen, je nachdem, wen man damit meint. Als Spackeria machen wir uns bekanntermaßen unangreifbar, indem wir Einzelne vorschicken, die unser Programm auf den Tisch knallen, und dann, wenn an dem Programm herumkritisiert wird, flüchten wir uns hinter “ja das ist ja nur eine Einzelmeinung”. Find ich auch ganz spaßig so: Wer lieber Körper falsch beweisen möchte als Argumente, darf ruhig verwirrt werden. Körper sind eh nur eine Illusion.

Dritte Möglichkeit

Um mal das Konzert der unterschiedlichen denkbaren Positionen zu bereichern, versuche ich mich an der Formulierung einer dritten (von der ich schon jetzt weiß, dass sie voraussichtlich nicht jeder teilt, der sich Spacko nennt; nur mal so als Vorwarnung an die Spackeria-Identitäts-Freunde):

Wir (meint er damit das faschistische “Wir”? Wer weiß!) von der Post-Privacy-Fraktion sind große Fans allgemeiner Unreguliertheit im Netz. Deshalb stemmt sich Einiges bei uns gegen zentrale Regulierungs-Bemühungen zum Beispiel seitens des Datenschutzes. Wir sind gegen alle Maßnahmen, den Kommunikationsfluss allgemein zu behindern — einschließlich solcher, die auftreten als Schutz der Privatsphäre. Wir glauben, dass Datenschutz immer mehr Regelungs-Gewalt auffahren müsste, um seine Ziele unterm ansteigenden Kommunikationsfluss des Netzes zu verteidigen. Vor die Wahl gestellt zwischen strengerer Regulierung der Kommunikation und der Kapitulation vor der Post-Privacy entscheiden wir uns: für die Post-Privacy.

Aber auch Realnamenszwang ist Regelungswut gegenüber dem Kommunikationsfluss. Kommunikations-Akte nur noch zulassen, soweit sie auf bürgerliche Identitäten zurückgebunden werden können, ist Einschränkung der Kommunikations-Freiheit. Den Leuten vorschreiben, wie sie sich zu nennen haben, ist Einschränkung der Kommunikations-Freiheit. Wenn wir gegen strengere allgemeine Regulierung der Kommunikation sind, sind wir auch gegen einen Realnamenszwang.

Das heißt nicht, dass wir bereit sind, uns in jedem Fall schützend vor ein Recht auf Anonymität zu stellen. Nur: Wer auf Anonymität setzt, schreibt falsche Namen in Eingabefelder und achtet vielleicht auf die Verschlüsselung seiner Kommunikationswege. Er macht damit noch nicht dem Rest des Netzes Vorschriften, was es darf und was nicht. Sich ein Pseudonym oder ein Autonym geben, ist nicht dasselbe wie das Wegpixeln von Innenstädten. Anonymität richtet sehr viel weniger Schaden an in den Freiheiten, von denen die Post-Privacy-Spackeria träumt, als beispielsweise EU-Gesetze zum “Recht auf Vergessen”. Anonymität verhält sich gegenüber den von uns gewünschten Freiheiten des Netzes einigermaßen neutral.

Deine persönlichen Post-Privacy-Taktiken können bisher einigermaßen friedlich ko-existieren mit meinen persönlichen Anonymitäts-Taktiken. Eine Ausweitung der Post-Privacy-Zone macht wirkungsvolle Anonymität vielleicht schwerer, aber Post-Privacy fühlt sich ihrerseits von den persönlichen Bemühungen um Anonymität kaum angegriffen: Das kreative Ausfüllen von Eingabefeldern ist etwas anderes als das Durchdrücken drakonischer Daten-Gesetze. Es gibt keine akuten Gründe, im Namen der Post-Privacy-Freiheiten auf einen Angriff gegen persönliche Anonymitäts-Taktiken zu blasen. Wenn eine wachsende Post-Privacy der Wirksamkeit persönlicher Anonymitäts-Taktiken letztlich den Boden entzieht, dann ist das halt so — aber wozu gezielt nachhelfen?

Tatsächlich scheinen die Fronten andere. Die großen Datensilos wie Facebook oder Google Plus gewähren ihren Nutzern eine Illusion informationeller Selbstbestimmung, indem sie ihnen umfangreiche Privatsphären-Einstellungen gewähren. Gleichzeitig sind es diese Datensilos, die Realnamenspflicht durchzufechten versuchen. Neben ihrer Gier, die Daten ihrer Kunden kenntnisreicher zu werbevermarkten, fällt ihnen auch ein durchaus Privacy-taugliches Argument für die Realnamenspflicht ein: Wer seine Privatsphäre schützen will, muss wissen, wer das ist, an den er seine Mitteilung weiterreicht — er muss die Leute identifizieren können, mit denen er es zu tun hat; und da ist die härteste (weil letztlich mit staatlicher Beglaubigung via Ausweis-Einfaxen überprüfbare) Referenz nunmal immer noch der bürgerliche Name.

Auch der Staat, der Persönlichkeitsrechte im Netz zu garantieren verspricht mit seiner Gewalt, ist derselbe, aus dessen Reihen immer wieder ein Ende der Anonymität im Netz verlangt wird — um die dortige Anarchie zurückzudrängen, die ja u.a. auch das ist, was die Durchsetzung von Persönlichkeitsrechten erschwert. In beiden Fällen geht Persönlichkeitsrecht also mit Persönlichkeitspflicht einher.

Ich bin ein großer Freund der Anarchie im Netz. Ich lasse sie mir weder durch regulative Erzwingung von Privacy, noch durch regulative Erzwingung von bürgerlichen Namen einschränken.

Ein Gastbeitrag von Christopher Lauer:

„The Overton window, in political theory, describes a “window” in the range of public reactions to ideas in public discourse, in a spectrum of all possible options on a particular issue. It is named after its originator, Joseph P. Overton, former vice president of the Mackinac Center for Public Policy.“ — Quelle: Wikipedia

Stark vereinfacht funktioniert das Overton window so: Wenn ich irgendwelche Maßnahmen politisch durchsetzen möchte, dann fordere ich zuerst was vollkommen absurdes, wie z.B. das Abschießen von vollbesetzten Passagiermaschinen, damit eine andere vollkommen absurde Forderung, wie z.B. die Vorratsdatenspeicherung oder Rasterfahndung, nicht mehr ganz so absurd wirken und ich dann eine von den dann weniger absurd wirkenden Forderungen umsetzen kann.

Was hat das Overton window mit der aktuellen Diskussion um die Klarnamenspflicht bei Google+ zu tun? Die Pflicht bei Google+ seinen Klarnamen führen zu müssen verschiebt andere Ideen bezüglich der Privatsphäre im Internet in die von manchen weniger absurd empfundene Richtung.

Pseudonyme in Social Networks sind sinnvoll

Interessant ist, dass in Teilen der Piratenpartei im letzten Jahr, rund um die Einführung von LiquidFeedback, eine ganz ähnliche Diskussion geführt wurde. Es ging um die Frage ob alle Nutzer von LiquidFeedback mit ihrem Klarnamen angemeldet sein müssen, oder ob Pseudonyme erlaubt werden sollen. Wir entschieden uns dann dafür, dass LiquidFeedback pseudonym genutzt werden kann, obwohl man es auch nur mit Klarnamen nutzen könnte. Hauptargument war, dass die politische Meinung ein besonders schützenswertes Datum ist und es bei LiquidFeedback um die Abstimmung dieser Meinungen geht. LiquidFeedback ist transparent, da wir keinen Wahlcomputer haben wollen und deswegen sind alle Abstimmungsergebnisse auch sichtbar. Die Pseudonyme sollen es Nutzern ermöglichen, ohne Zwang auch über delikate Themen abstimmen zu können, ohne im Nachgang Repressalien fürchten zu müssen. So weit die Theorie und eine Umfrage von Sebastian Jabbusch ergab, dass Nutzer des durch die Piratenpartei eingesetzten LiquidFeedback-Systems bei einer Abstimmung in LiquidFeedback weniger Gruppenzwang verspüren, als bei einer Abstimmung auf einem Parteitag.

Das Beispiel zeigt, dass es gute Gründe gibt, eine pseudonyme Nutzung eines Systems zu ermöglichen, insbesondere wenn es um die öffentliche Verknüpfung einer Person mit sensiblen Daten geht. Damit ein in LiquidFeedback gewähltes Pseudonym aber so funktioniert muss man einiges beachten, was einem bei der Anmeldung im System der Piratenpartei auch erklärt wird:

Umgang mit Pseudonymen

Wenn du nicht “einfach mal so eben im Internet gefunden” werden möchtest:

Verwende als Benutzernamen bei der Registrierung ein Pseudonym, das du sonst für keinen anderen Zweck verwendest und stelle nirgends im Internet eine Verknüpfung zwischen dem gewählten Pseudonym und anderen von dir verwendeten Pseudonymen oder deinem Realnamen her.

Wenn du möchtest, dass du so anonym wie möglich bleibst:

• Überprüfe, dass der von dir soeben gewählte Benutzername und auch die – nur für Administratoren einsehbaren – Daten Anmeldename und E-Mail-Adresse keine Rückschlüsse auf deine Identität zulassen. Gegebenenfalls breche die Registrierung ab und beginne von vorne mit anderem Anmelde- und Benutzernamen sowie E-Mail-Adresse. Beachte dies auch, wenn du eines der Daten später änderst. Beachte ebenfalls, dass im System auch alte Benutzernamen mit den Zeitraum der Verwendung durch dich für andere Benutzer abrufbar sind.
• Mache in deinem Benutzerprofil keine Angaben, die Rückschlüsse auf deine Identität zulassen.
• Beachte, dass alle Anträge und Anregungen, die du in das System einstellst, keine Namen oder andere Angaben enthalten, anhand derer du zu identifizieren sein könntest.
• Beachte, dass auch die Inhalte deiner Texte sowie dein Unterstützungs-, Bewertungs-, Abstimm- und Delegationsverhalten möglicherweise Rückschlüsse auf deine Identität zulassen können.
• Beachte bei der Wahl von Namen, E-Mail-Adressen und allen anderen Angaben auch immer, dass du möglicherweise in anderen System auch Angaben gemacht haben könntest, unter deren Zuhilfename ein Rückschluss auf deine Identität möglich sein könnte.
• Beachte bei Anfragen an die Administratoren oder den Support ebenfalls keine Angaben zu machen, die Rückschlüsse auf deine Identität zulassen.

Respektiere Pseudonyme anderer Teilnehmer

Respektiere, dass sich andere Teilnehmer unter einem Pseudonym am System angemeldet haben und eine Zuordnung zu ihrer Identität nicht wünschen. Verwende daher nur die im System angegeben Pseudonyme und keine Klarnamen oder andere Pseudonyme, die dir möglicherweise bekannt sind. — Quelle: LiquidFeedback-System der Piratenpartei, Umgang mit Pseudonymen

Dieses Beispiel zeigt aber auch, dass die strikt pseudonyme Nutzung des LiquidFeedback-Systems der Piratenpartei einen Nutzer im System so gut wie anonym macht. Vor allem erschwert es den Austausch mit anderen Nutzern des Systems.

Eigentlich ist alles klar

Eigentlich ist alles klar: Personen die einen Dienst pseudonym nutzen wollen sollen dies tun können, auch wenn sie dafür in Kauf nehmen müssen, dass der Dienst möglicherweise nicht so funktioniert, wie sich die Macher das wünschen. Auf der anderen Seite ist es genau so gutes Recht von Google die policy, dass Pseudonyme nicht erlaubt sind durchzusetzen. Google+ konkurriert mit anderen Social Networks und wenn sich herausstellen sollte, dass eines, dass die pseudonyme Nutzung erlaubt besser läuft, dann überlegt sich Google möglicherweise auch noch mal die eigene Namenspolicy.

Eine geschickte Inszenierung

Was bei der Diskussion um die Pseudonyme bei Google+ übersehen wird ist, dass es sich um eine geschickte Inszenierung handelt. Zwar muss sich Google nicht unbedingt darum sorgen machen, dass über den Start von Google+ nicht berichtet wird, aber man kann natürlich dafür sorgen, dass die Berichterstattung erst mal nicht abebbt.

Man startet also kurz vor dem Sommerloch ein Social Network, wartet ein Bisschen und macht dann klar, dass Pseudonyme nicht erlaubt sein werden. In Deutschland! Die sich abzeichnende Narrative ist klar: Google, diejenigen welchen, die im letzten Jahr all unsere Fassaden und Gärten ins Internet gebracht haben, die wollen jetzt, dass ich mit meinem Klarnamen durchs Internet surfe!

Die „Bild“ kann den digitalen Weltuntergang verkünden und Ilse Aigner sagt vor laufenden Kammeras, dass sie nicht beabsichtigt, zu Google+ eingeladen zu werden. Die Netzgemeinte™ diskutiert auf- und angeregt über den Sinn und Zweck von Pseudonymität und Anonymität im Internet und am Ende schafft es Google noch mal mit der Schlagzeile „Google+ erlaubt jetzt Pseudonyme“ in die Medien. Google kann sich verständnisvoll zeigen und der Otto-Normal-Nutzer nimmt das ansonsten als Datenkrake dargestellte Unternehmen einsichtig wahr.

Lerneffekt erwünscht

Nebenbei gibt es hoffentlich ein Bisschen Lernkurve für den ein oder anderen Internetbewohner. Die Diskussionen der letzen Monate, Spackeria, LiquidFeedback, Bürgerbeteiligung in der Enquete, zeigen, dass eine zentrale Frage im netzpolitischen Diskurs noch immer nicht beantwortet ist: Wie weit muss man seine Pseudonymität im Internet aufgeben, um partizipativ Verantwortung übernehmen zu können? Der Umgang mit Identität in verschiedenen Kontexten des Internets ist noch immer nicht ausgelotet. Vielleicht führt Googles Öffnung des Overton windows an dieser Stelle zu einem gemeinsamen Erkenntnisgewinn fernab der Skandalisierung, es ist zu wünschen.

So titelte gestern die SZ, die ZEIT ebenso deutlich mit “Google will Nutzerprofile direkt verkaufen“. Fefe ist drauf angesprungen und auf Twitter rollt jetzt noch ein Empörungstsunami. Ganz schlimm, was Google da macht. Man sollte es in Googlemort umbenennen. Aber mal im Ernst, was is da dran, is das ne Ente, übertriebene Empörung oder will Google tatsächlich den Adreßhändlern, die unbehelligt und zumindest in Deutschland vom Listenprivileg geschützt agieren, Konkurrenz machen? Glücklicherweise bin ich nicht der einzige, dem das komisch vorkommt.

Die wenigsten von denen, die so locker-flockig den Empörungskreisel am Laufen halten, dürften die Originalquelle der beiden Zeitungsberichte gelesen haben. Ich hab das grob getan und komme zu dem Schluß, das das grade ein feines Beispiel von FUD, dem Spiel mit einer diffusen Datenangst, dem Schüren von Befürchtungen und dem Drücken von ein paar Stichwortschaltern ist. Die Originalquelle jedenfalls gibt das reißerische “GOOGLE VERKAUFT DEINE DATEN AN DEN TEUFEL!!!!” jedenfalls nicht im Entferntesten her.

Wenn ich es richtig verstanden hab, möchte Google seine Werbeplattformen (die haben ja nicht nur AdWords selbst gebastelt, sondern auch mal DoubleClick u.ä. gekauft) konsolidieren. Die erwähnte AdExchange macht normalerweise nichts anderes als Werbeplätze zu verkaufen und zu versprechen, das man die Werbung bestimmten Zielgruppen anzeigen wird (single, white, female, Germany, mag Ponies und Einhörner). So machen das bspw. auch die VZ-Netzwerke und die sind sogar TÜV-gesiegelt und Datenschützer-Approved.

“Google plant die Super-DB” ist also nicht komplett falsch, vermittelt aber den komplett falschen Eindruck, “Google verkauft Nutzerdaten” ist gleich völliger Humbug, wemngleich im Artikel selbst wiederum etwas unaufgeregter berichtet wird und man ihm ohne pulsierende “Datenkrake!”-Halsschlagader entnehmen könnte, das es eben *nicht* so schlimm ist wie suggeriert. Ja, sogar überhaupt nicht schlimm (es sei denn man findet Werbung an sich des Teufels).

Würde Google jetzt tatsächlich Nutzerdaten verkaufen würden sie sich selber die Schienbeine ihres eigenen Geschäftsmodell zertrümmern. Das dürften die auch ziemlich genau wissen. Daher passen sie mit Argusaugen auf die Daten und haben im Gegensatz zu Regierungen noch keine unverschlüsselten Laptops verloren oder Krankenakten in den Mülleimer hinterm Krankenhaus entsorgt. Letztlich haben und brauchen die das Vertrauen ihrer User, wenn sie das verspielen können sie den Laden dicht machen und wir müssen die Altavista-Bookmarks entstauben.

Hier zeigt sich auch mal schön die Bigotterie in der Empörung. Wenn Adreßhändler *tatsächliche* Adreßdaten verkaufen dürfen und das sogar noch gesetztlich legitimiert ist (oben erwähntes Listenprivileg), wenn Zeitungsverlage das Heulen bekommen weil sie bei In-App-Abos ihrer coolen iPäd-Apps wegen der Apple-Policy nicht an die Adreßdaten der Käufer kommen und Apple da tatsächlich Daten schützt, dann fegt grad mal ein laues Lüftchen durch die Landschaft, schreit aber jemand “Google verkauft $XY” in den Wald wird dieser von der Empörung direkt brandgerodet. Und das alles ohne mal die Quellen gelesen und hinterfragt zu haben. Es ist echt bitter.

Wenn wir grad von Quellen reden, der “Communications and Public Affairs Manager (B2B)” von Google Deutschland, Klaas Flechsig, hat das auf Google+ gestern hier dankenswerterweise kommentiert, ich bin einfach mal so frei und zitiere ihn einfach: