Archiv der Kategorie: Datenschutz

Digitaler Veganismus

Kelbers wohlfeile Datenschutztipps an die falsche Adresse sehe ich als Symptom eines allgemeineren Trends. Nicht nur suchen sich amtliche Datenschützer mit den Bürgerinnen und Bürgern die falsche Zielgruppe, sie verbreiten dabei auch gerne fragwürdige Verhaltensmaßregeln, die zu ignorieren meist sehr vernünftig scheint. Ich nenne diese Maßregeln digitalen Veganismus, weil sie willkürlich sind, nur eine ideologische Begründung haben und sie den Alltag erschweren, ohne nennenswerten Nutzen zu stiften.

Veganer können nicht einfach zum Bäcker gehen und ein Brot kaufen, sondern müssen dort erst die Zutatenliste studieren, um herauszufinden, ob nicht jemand einen Schluck Milch oder einen Löffel Butter oder eine unglückliche Küchenschabe in den Teig gerührt hat. Glücklich wird, wer sich dabei einen Distinktionsgewinn einreden kann; die meisten Menschen hingegen kaufen einfach das Brot, das ihnen schmeckt und sind damit zufrieden. Als individuell gewählte Lebensweise ist das eine wie das andere völlig in Ordnung. Öffentliche Stellen, die den Veganismus empfählen, gibt es meines Wissens nicht.

Im Datenschutz hingegen geben Aufsichtsbehörden, Universitäten, Aktivist*innen und andere nur zu gerne Tipps für das, was sie gerne „digitale Selbstverteidigung“ nennen. Im Wesentlichen laufen diese Tipps meist darauf hinaus, sich allerorten von „Datenkraken“ verfolgt zu fühlen und Zuflucht in einem digitalen Aluhut in Form originellen, das heißt von den Gebräuchen des Mainstreams abweichenden Verhaltensweisen zu suchen. Das Angebot Data Kids der Berliner Datenschutzbeauftragten zum Beispiel warnt vor „diebi­schen dreis­ten Daten­wolken“ und „Krakina Kompli­zia“ und empfiehlt dagegen das Ritual, eine Abdeckung für eine Kamera zu bauen als sei der meist nur eingebildete Kameramann im Laptop ein relevantes Problem. Wie man dagegen rechtzeitig bemerkt, dass ein Kammergericht in ihrem Zuständigkeitsbereich in Sachen Sicherheit und Datenschutz nicht einmal näherungsweise auf der Höhe der Zeit ist, weiß die Beauftragte anscheinend  nicht, sonst hätte sie es ja bemerkt. Das ist freilich auch etwas anspruchsvoller als Kindern das Märchen von Krakina Komplizia und den sieben Clouds zu erzählen.

An die ewigen Warnungen offizieller Datenschützer, WhatsApp sei haram sei, weil es Adressbücher aus einer Cloud in eine andere hochlade, haben wir uns längst gewöhnt. Kein Mensch schert sich darum; WhatsApp ist so alltäglich geworden wie das Telefon, weil es umstandslos und ohne Schmerzen (naja) funktioniert. Nur wo die Datenschützer Macht haben, ist WhatsApp abweichend vom Normalen verboten – man möge bitteschön Alternativen nutzen.

Auf diesem Niveau bewegen sich die meisten Empfehlungen aus dem Reich des digitalen Veganismus: Andere Messenger als die meisten Menschen möge man benutzen, einen anderen Browser, ein anderes Betriebssystem, andere Suchmaschinen und andere Landkarten. Seine E-Mail möge man verschlüsseln, die Cloud links liegenlassen und bei Bedarf besser eine eigene betreiben als hätte man alle Zeit der Welt und nichts Wichtigeres zu tun. Und wer einen Termin mit anderen abstimmen wolle, solle nicht irgendeinen Terminplaner benutzen, sondern bitteschön Nuudle, am besten mit dem Tor-Browser über das Tor-Netz (im Volksmund Darknet genannt).

Einen objektiven Nutzen hat diese Kasteiung nicht, doch kann man sich selbst dafür belohnen, indem man sich einredet, zu den Erleuchteten zu gehören und im Gegensatz zur vermeintlich blöden Masse der „Sheeple“ das Richtige zu tun. Das ist zwar ziemlich arrogant, aber wer diesen Teil im Stillen abwickelt und nach außen nur seine oberflächlich als hilfreich und wohlmeinend verpackten Ratschläge zeigt, bekommt wenig Gegenwind. Wenig Erfolg auch, denn die meisten Menschen fragen sich hier ebenso wie im Angesicht eines Zutatenlisten wälzenden Veganers, was das denn solle und bringe, warum sie sich so etwas antun sollten. Erfolg ist jedoch gar nicht gewollt, denn er würde alles zerstören: Begänne eine Mehrheit damit, den Ratschlägen zu folgen, wäre das Wohlgefühl der Ratgeber dahin.

 

Datenschutz durch Publikumsbeschimpfung

Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, empfiehlt in einem Interview der Welt Zurückhaltung bei der Nutzung von Apps und behauptet in diesem Zusammenhang, es gebe altersunabhängig fünf „Daten-Typen“:

„Den Ahnungslosen, der schlicht keine Vorstellung von den Risiken hat. Den Sorglosen, der blind vertraut. Den Gleichgültigen, der die Gefahren kennt, sich aber nicht davor schützt. Den Abstinenzler, der sich ohnehin außerhalb der digitalen Welt bewegt. Und den Digitalprofi, der tatsächlich etwas unternimmt.“

(„Wir rücken nicht von der Strafe ab. Was wäre das für ein Signal?“, welt.de, 2020-01-29)

Die größte Sorge, fährt er fort, bereite den Datenschützern die Gruppe der Sorglosen.

Diese Aussagen sind ein Meisterwerk der eristischen Dialektik, inhaltlich aber ein Irrweg. Kelber konstruiert einen Gegensatz zwischen negativ konnotierten Zuschreibungen – ahnungslos, sorglos, gleichgültig – auf der einen und akzeptablem Verhalten – Abstinenz – sowie einer unerreichbar vorbildlichen Heldenfigur – dem Digitalprofi, der etwas (was?) unternimmt – auf der anderen Seite.

In Kelbers Aufzählung fehlt zum Beispiel der Digitalprofi, der die Risiken oder das Verhältnis zwischen Risiken und Nutzen anders einschätzt als ein Datenschutzbeauftragter, dem Nutzenerwägungen von Amts wegen fern liegen. Ebenso fehlt der Normalbürger, der seinem Gegenüber selbstverständlich Vertrauen entgegenbringt, nicht blind und bedingungslos, sondern in der üblichen Weise: als positives Vorurteil, das die soziale Interaktion erleichtert, solange es nicht durch negative Erlebnisse erschüttert wird. Wir alle handeln so, wenn wir zum Beispiel ohne Brustpanzer aus dem Haus gehen und darauf vertrauen, dass uns auch heute niemand ein Messer zwischen die Rippen rammen oder mit einem Stein den Schädel zertrümmern werde.

Dass die ewigen Mahnungen der Datenschützer dieses Vertrauen nur selten erschüttern, liegt nicht zuletzt an ihnen selbst, bleiben sie doch oft vage und unbelegt. Wie oft haben wir zu hören bekommen, WhatsApp zum Beispiel sei haram, weil es Adressbücher aus der Cloud in die Cloud hochlade, und was die amerikanischen Datenkraken alles Böses trieben, und wie oft hat tatsächlich jemand handfeste negative Auswirkungen zu spüren bekommen, der moderne Dienste und Geräte sorglos nutzt? Wo Risikoszenarien plausibel, nachvollziehbar und durch reale Fälle belegt sind, nimmt die Sorglosigkeit erfahrungsgemäß ab. Polizisten im Einsatz etwa oder Journalisten in Kriegsgebieten tragen selbstverständlich Schutzausrüstung, denn ihre Risiken und Bedrohungen sind offensichtlich und belegt.

Kelbers erster Fehler liegt mithin darin, seinen Schutzbefohlenen Vernunft und Einsicht abzusprechen und ihnen Verhaltensmaßregeln zu erteilen. Die Möglichkeit, dass seine Mitmenschen mehrheitlich rational handelten und er sich irre, zieht er gar nicht in Betracht. Darüber hinaus blickt er in die falsche Richtung, wenn er sich mit den Betroffenen beschäftigt statt mit den Verarbeitern und Verantwortlichen.

Datenschutz ist für alle da, auch für die Sorg- und Ahnungslosen und die Gleichgültigen. Er soll die personenbezogene Datenverarbeitung im Zaum halten, um unsere Rechte und Freiheiten vor negativen Auswirkungen zu schützen. Aus dieser Sicht kann es sogar sinnvoll sein, auch vage und unbelegte Risiken zu berücksichtigen, doch alle Bemühungen müssen sich dann auf die Verarbeitung selbst konzentrieren. Aufgabe der Datenschutzaufsicht ist, Recht und Ordnung in Unternehmen, Behörden und anderen Organisationen durchzusetzen. Stattdessen den Betroffenen Ratschläge zu erteilen, wirkt demgegenüber wie eine Bankrotterklärung: Anscheinend gelingt es den Datenschützern schon nach eigener Einschätzung nicht, das Internet so vertrauenswürdig zu machen wie den Stadtpark, dessen sorg- und ahnungsloses oder gleichgültiges Betreten man niemandem vorwerfen könnte, ohne schallend ausgelacht zu werden.

Kelbers zweiter Fehler ist deshalb, dass er die falsche Zielgruppe anspricht. Er müsste dem Internet sagen, was es darf und was es lassen soll, und nicht dessen Nutzerinnen und Nutzern. Dies allerdings erschwert ihm seine Arbeitsgrundlage, das real existierende Datenschutzrecht. Die Datenschutzgrundverordnung weiß auch nicht so genau, was erlaubt oder verboten sein sollte, sondern sie gibt vor allem vor, wie die Datenverarbeitung zu verwalten sei. Trotz eines nominellen Verbots der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt, wie wir es bereits aus dem alten Bundesdatenschutzgesetz kennen, ist in der Praxis vieles erlaubt, solange die Verantwortlichen nur jederzeit alle Papiere vorzeigen können und sich nicht bei groben Schnitzern erwischen lassen. Das liegt nicht am Datenschutzbeauftragten, aber wenn es ein Problem gibt, liegt es hier.

Auch für Europa mit seiner stolzen DSGVO gilt, was Bruce Schneier vor einigen Tagen in einem Kommentar zur Aufregung um die Gesichtserkennung der Firma Clearview schrieb: Wir brauchen Regeln für alle wesentlichen Fragen der Datenverarbeitung, die sich an die Verarbeiter richten. Im Fall von Clearview sind das nach Schneiers Auffassung erstens Regeln dafür, unter welchen Bedingungen Unternehmen Personen identifizieren dürfen, zweitens Regeln für die Kombination von Daten und den Handel damit ohne Zustimmung und Kenntnis der Betroffenen, sowie drittens Regeln dafür, unter welchen Bedingungen Unternehmen Personen diskriminieren dürfen. Blickt man über den konkreten Fall von ClearView hinaus, kommen sicher noch einige Fragen hinzu. Die DSGVO bekleckert sich in dieser Hinsicht nicht mit Ruhm, ihre Vorgaben bleiben oft vage und unspezifisch. Kelber sieht keinen grundlegenden Änderungsbedarf, doch der liegt genau hier und nicht bei gleichgültigen, ahnungs- oder sorglosen Nutzerinnen und Nutzern.

Mythos personalisierte Werbung

“There is a rational explanation for everything.
There is also an irrational one.”
Schwa World Operations Manual

Eines der Gebiete, die Laien zur Algorithmenschelte einladen, ist die automatisierte Werbung. Wenn wir – ohne Adblocker – Websites besuchen, wählen geheimnisvolle Algorithmen aus, welche Werbung wir zu sehen bekommen, gespeist von Daten aus Trackern, die uns im Internet auf Klick und Reload verfolgen. Wahre Wunderdinge erzählt man sich von diesen Algorithmen: Sie kennten uns besser als wir selbst, wüssten um unsere Interessen und könnten unsere Kaufentscheidungen mit personalisierter Werbung manipulieren. Die Realität ist oft viel banaler. So geisterte vor Jahren eine Geschichte durchs Netz und die Medien vom Supermarkt mit dem passenden Namen Target, der einer Kundin mutmaßlich aufgrund der Daten aus einem Rabattprogramm à la Payback Werbung für Babysachen nach Hause schickte, bevor sie selbst wusste, dass sie tatsächlich schwanger war. Solche Ereignisse wiederholen sich bis heute, doch wenn die Algorithmen falsch liegen, entpuppt sich das ganze Wunder zum Beispiel als naheliegender Schluss aus den weiterverkauften Daten eines Zyklustrackers nach versäumter Dateneingabe. Auch im ersten Fall dürfte die Erklärung harmlos sein, handelt es sich doch um einen Einzelfall und wir wissen nicht, bei wie vielen Empfängerinnen Target falsch lag.

Das Modell vom algorithmisch durchleuchteten und manipulierten Konsumenten führt vielfach in die Irre. Es unterstellt „den Algorithmen“ Fähigkeiten, die sie so nicht haben, erklärt unerwartetes Verhalten fälschlich als Irrtümer einer Intelligenz und verengt die Vorstellung von Werbung auf personalisierten Druckverkauf von Consumer-Produkten. Aus dieser Perspektive erscheinen Beobachtungen grotesk, wie sie der Journalist Hendrik Wieduwilt machte und belustigt teilte:

Belustigter Tweet über Twitter-Werbung für militärische Transporthubschrauber
Psst, brauchst du Transporthubschrauber? Gute Stoff, NATO nimmt auch!

Was auf den ersten Blick und mit dem Modell der persönlich zugeschnittenen Werbung im Hinterkopf wie eine erheiternde Fehlfunktion wirkt, lässt sich in Wirklichkeit leicht erklären. Die Kaufentscheidung, um die es geht, fällt im Verteidigungsministerium. Seit Anfang des Jahres läuft das Beschaffungsverfahren für einen neuen Transporthubschrauber für die Bundeswehr. Einer der beiden Bieter* ist Boeing mit dem gezeigten Modell Chinook.

Ein wie auch immer gearteter direkter Einfluss dieser Werbung auf die Beschaffungsentscheidung der Bundeswehr ist nicht zu erwarten. Man investiert nicht mehrere Jahre in die Vorbereitung und Abwicklung eines Beschaffungsverfahrens, nur um am Ende die Ministerin nach Bauchgefühl und der am häufigsten gesehenen Anzeige entscheiden zu lassen. Dennoch ergibt die Werbung Sinn, wenn man sie Teil einer Imagekampagne betrachtet, mit der die öffentliche Meinung zugunsten des eigenen Angebots gepflegt werden soll. Welche Wirkung man davon am Ende erwarten kann, sei dahingestellt; schaden wird es nicht, der Öffentlichkeit bekannt zu sein.

Besonders gut zielen muss man mit einer solchen Kampagne nicht, sie soll ja viele erreichen. Eine Portion Targeting wird dennoch im Spiel sein und das versteht man am besten, wenn man es als Ausschluss offensichtlich unsinniger Versuche auffasst.

Henry Ford wird das in verschiedenen Fassungen kursierende Zitat zugeschrieben: „Ich weiß, die Hälfte meiner Werbung ist hinausgeschmissenes Geld, ich weiß nur nicht welche Hälfte.“ Die Chance, mit Werbung bei einem zufällig ausgewählten Individuum eine Wirkung zu erzielen, ist gering, meist viel geringer als fünfzig Prozent. Es gibt kein Geheimwissen, mit dem sich dies grundlegend ändern ließe. Denkt nur daran, wie viel Werbung Ihr Tag für Tag ignoriert, für wie viele Produkte Ihr Werbung erhaltet, die Ihr nie kaufen würdet.

Dennoch lassen sich die Erfolgsquoten einer Kampagne pro Kontakt und damit das Kosten-Nutzen-Verhältnis optimieren, indem man offensichtlich chancenlose Versuche gleich ganz bleiben lässt und die dafür sonst aufzuwendenden Kosten einspart. Im vorliegenden Fall zielt die Kampagne auf Deutschland. Man kann also schon mal auf alle Versuche verzichten, bei denen die Empfänger keinen Bezug zu Deutschland haben. Das ließe sich noch näherungsweise durch die Auswahl der Medien und sonstigen Werbeumfelder erreichen, wie man es früher getan hat und in Printmedien noch tut. Im Internet mit seinen zentralen Werbeplattformen ist man jedoch weniger eingeschränkt und so ließe sich diese Zielgruppenbeschränkung auch dann noch umsetzen, wenn jemand Slashdot oder El País oder eben Twitter besucht.

Je nach Ausrichtung der Kampagne könnte eine weitere Einschränkung sinnvoll sein, nämlich auf relevante Entscheider und Multiplikatoren, also ungefähr höhere Militärs und Verteidigungsbeamte sowie Journalisten und einflussreiche Blogger. Ob das hier der Fall ist, weiß ich nicht. Vielleicht bekommt auch jeder zurzeit Hubschrauberwerbung, ob Journalistin, Militär, Klempnerin oder Katzenbildblogger. Wer wahrscheinlich journalistisch tätig ist, kann Twitter wissen; ob es sich ohne weitere Verknüpfung aus Tracking-Daten herauslesen ließe, weiß ich nicht. Um hingegen jemanden halbwegs verlässlich als, sagen wir, Staatssekretär im BMVg einordnen zu können, wird man ihn de facto persönlich identifizieren oder sich auf seine Angaben verlassen müssen.

So fein müssen Zielgruppen freilich gar nicht immer abgegrenzt werden, auch wenn man zuweilen von Microtargeting liest. Brauchbare Einschränkungen beim Zielen auf Entscheidungsträger könnten Kriterien sein wie: „hat studiert und ist schon etwas älter“, oder „verfügt mutmaßlich über ein monatliches Einkommen von mehr als x-tausend Euro“. Wichtig ist nur, dass man halbwegs verlässlich möglichst große Zahlen derjenigen ausschließt, die man nicht erreichen möchte.

Das heißt nicht, dass die Werbewirtschaft nicht alle Daten sammeln würde, die sie kriegen kann, oder dass sie Hemmungen hätte, über jeden einzelnen von uns ein persönliches Dossier anzulegen. Doch die mächtigen  und geheimnisvollen Algorithmen, die uns durch unsere DSL-Anschlüsse gleichsam direkt ins Gehirn schauen und unser Verhalten vorhersagen könnten, diese Algorithmen gibt es nicht.


*) Als einziger Konkurrent tritt der ebenfalls amerikanische Hersteller Sikorsky an und die Ausschreibung war wohl so formuliert, dass auch niemand sonst überhaupt die Bedingungen erfüllen konnte. Angesichts dessen frage ich mich, warum wir bei der Bundeswehr nicht so einen Souveränitätszirkus veranstalten wie für die Cloud, obwohl wir doch auf diesem Gebiet mit Airbus sogar über einen eigenen Kandidaten verfügen.

Trendsport Algorithmenschelte

Warf man Internetkonzernen wie Google und Facebook einst vor allem vor, Datenkraken zu sein, hat heute de Algorithmenschelte den Spitzenplatz unter den Memen der Technikkritik übernommen. Die künstliche Intelligenz stehe kurz vor der Übernahme der Weltherrschaft, raunt es durch die Medien, und niemand verstehe so recht, was sich diese immer mächtiger werdenden Algorithmen dächten. Man müsse ihnen Zügel in Gestalt von Algorithmenethik und Not-Aus-Knöpfen anlegen, damit sie sich richtig entschieden, wenn sie etwa bei der Steuerung eines fahrerlosen Autos zwischen verschiedenen Unfallopfern zu wählen hätten.

Nun ist es gewiss nicht falsch, sich kritisch mit neuer Technik und ihren Anwendungen auseinanderzusetzen. Doch mittlerweile bekommt man manchmal den Eindruck, es sei legitim und notwendig, sich vor Algorithmen und künstlicher Intelligenz zu fürchten wie frühere Generationen vor dem Atomtod. Doch die gegenwärtigen Diskussionen sind geprägt von Missverständnissen, grandiosen Überschätzungen, Motiven aus der Science Fiction sowie modernen Legenden, die sich dank oberflächlicher Plausibilität durch ungeprüftes Nacherzählen verbreiten.

Eine dieser Legenden besagt, der Empfehlungsalgorithmus von YouTube fördere systematisch Schund und Schmutz und ziehe seine Nutzerinnen und Nutzer schnell und tief in extreme Filterblasen. Ich kann diese Erzählung aus eigener Erfahrung nicht nachvollziehen, denn meine persönlichen Empfehlungen sind an Harmlosigkeit kaum zu überbieten.

Ich habe freilich auch nicht die Methode angewandt, mit der die Empfehlungskritiker Belege für ihre These konstruieren: Getreu dem Axiom, dass stets nur die anderen als verstrahlte Manipulationsopfer in Frage kommen, während man selbst erleuchtet sei und alles durchschaue, betrachtet man einen hypothetischen Neunutzer ohne Vergangenheit, der YouTube zum ersten Mal nutzt und sogleich dessen Empfehlungen folgt. Das ist zwar offenkundiger Blödsinn, denn in dieser Situation kann auch das intelligenteste Empfehlungssystem nur raten, doch es liefert die gewünschte Geschichte. Mit Analysen, wie die Beobachtungen zustande kommen, hält man sich dabei nicht auf.

In diese Kerbe haut nun auch die Mozilla-Stiftung mit ihrer Kampagne YouTube Regrets, in der sie Geschichten verstörter Zuschauerinnen und Zuschauer erzählt und Google als Betreiber der Plattform angreift. Die Motivation bleibt unklar, doch konkurrieren Mozilla mit Firefox und Google mit Chrome erbittert um Anteile am Browsermarkt.

Im Zentrum der Kampagne stehen die Statements 28 anonymer YouTube-Zuschauer, die sich mehr oder minder entsetzt zeigen ob der Videos, die ihnen die Plattform empfahl. So empört sich Zeuge Nr. 3, Pferdesportfan, darüber, dass YouTube ihr oder ihm immer wieder Videos kopulierender Pferde anbiete, obgleich man an Pornographie gänzlich desinteressiert sei. Nr. 13 schaute sich Anita Sarkeesians „Tropes vs Women in Video Games“ an und sah sich daraufhin mit Videos des Gamergate-Mobs konfrontiert. Nr. 22 berichtet, nach dem Genuss von Gaming-Videos unvermittelt auf Bongs gestoßen zu sein und vermutet, der Algorithmus habe einen Witz aus einem der Videos aufgegriffen. In einigen Statements wird sogar von Kindern berichtet, die offenbar unbeaufsichtigt vor dem Google-Apparat saßen und die das Programm darin verstört habe.

So weit, so spießig. Als Beitrag zur Erhellung war Mozillas Kampagne vermutlich nicht gedacht, doch illustrieren die verwendeten Statements Missverständnisse und Denkfehler, die populistischer Algorithmenschelte wie dieser zugrunde liegen. Das größte Missverständnis: Es handle sich um komplizierte, geheimnisvolle Algorithmen, die anhand einer Unmenge von Daten unser Innerstes durchleuchteten, um unsere Interessen zu verstehen, und persönliche Empfehlungen für jede Einzelne von uns berechneten.

Tatsächlich verstehen wir Empfehlungssysteme gut. Sie berechnen abstrakte Kategorien – meist andere als ein Mensch bilden würde – in die sie sowohl Nutzer als auch Inhalte einordnen und geben die danach am besten passenden Kombinationen aus. Ihr Weltwissen beziehen sie dabei aus dem beobachteten und statistisch aggregierten Verhalten der Nutzerschar. Schauen sich also viele als Pferdeliebhaber eingestufte Nutzerinnen und Nutzer Filme von kopulierenden Pferden an, wird das Empfehlungssystem diese statistische Assoziation reproduzieren. Von Pferden oder von Kopulation versteht der Algorithmus dabei nicht das Geringste.

Überhaupt dürfte das Empfehlungssystem wenig oder gar keine Informationen über den Inhalt eines Videos berücksichtigen, denn solche sind trotz aller Fortschritte immer noch schwer zu ermitteln, zumal im YouTube-Maßstab, wo in jeder einzelnen Sekunde Videomaterial mit einer Gesamtlaufzeit von mehreren Stunden hochgeladen wird. Stattdessen wird das Empfehlungssystem vor allem oder ausschließlich mit Metadaten arbeiten: Titel und Beschreibungen, Kanäle, Likes und so weiter.

Von unserem Innersten, unseren Interessen versteht das Empfehlungssystem noch weniger als vom Inhalt der Videos, denn es sieht von uns nur das, was wir auf YouTube tun. Auf dieser Grundlage lassen sich keine wirklich persönlichen Empfehlungen geben, wie man sie vielleicht von engen Verwandten oder langjährigen Freunden erhielte. Vielmehr rät YouTube, was uns gefallen könnte, weil es andere mit ähnlichen Sehgewohnheiten angeschaut haben, statt aus seinem riesigen Angebot eine noch willkürlichere Zufallsauswahl zu präsentieren. Die einzige gerechtfertigte Erwartung an ein solches System ist die, dass es nach häufiger Nutzung Empfehlungen präsentiere, die im Mittel etwas weniger unpassend seien eine willkürliche Auswahl. Ganz unschuldig ist die Internetwirtschaft an Überschätzung ihrer Möglichkeiten allerdings nicht, nimmt sie doch den Mund gerne voll und preist den Output recht banaler Software selbst als personalisiert an.

Dem Missverständnis folgt ein Denkfehler, wenn man Algorithmen wie einem Empfehlungssystem Schutz vor Schund und Schmutz oder gar Moral abverlangt. Zum einen können sie dies bei weitem nicht leisten, denn sie betreiben letztlich nur automatisiert eine clevere Statistik, während sich an Fragen von Moral und Ethik Generationen von Philosophen und Theologen die Zähne ausgebissen haben, ohne endgültige Antworten geben zu können. Doch selbst wenn man auf Beschränkungen der Technik keine Rücksicht zu nehmen hätte, vielleicht gar Menschen an ihre Stelle setzte, blieben solche Entwurfsziele problematisch.

Wessen Moral soll „der Algorithmus“ durchsetzen? Ist es richtig, ist es notwendig, Menschen vor dem Anblick kopulierender Pferde zu schützen oder stellt vielleicht die Vermittlung biologischer Allgemeinbildung über die Fortpflanzung der Säugetiere ein höherrangiges Ziel dar? Sollen Empfehlungen Filterblasen verstärken, abschwächen oder ignorieren und gilt die Antwort gleichermaßen für feministische Filterblasen wie für jene des Gamergate-Mobs? Und was sollen wir aus der Tatsache schließen, dass mehrere Statements der Mozilla-Kampagne explizit sagen, man selbst habe den Schmutz natürlich als solchen erkannt, aber andere müssten doch sicher davor geschützt werden?

Das Internet ist ein Spiegel der Gesellschaft. Empfehlungssysteme geben ein Echo, teils auf das Sehverhalten einzelner Nutzerinnen und teils auf kollektives Verhalten. Wie sich diese Faktoren im Einzelnen mischen und ein bestimmtes Ergebnis hervorbringen, mag manchmal so schwer zu durchschauen sein wie die Akustik eines Konzertsaals für jemanden, der schon im Physikunterricht nicht aufgepasst hat. Dies ist jedoch kein Grund, Algorithmen zu verteufeln oder Unmögliches von ihnen zu verlangen. Es handelt sich nur um banale Computerprogramme.

Das heißt nicht, dass es nichts zu diskutieren gäbe. YouTube und andere Plattformen haben die Medienlandschaft verändert und damit auch die Art und Weise, wie gesellschaftliche Diskurse verlaufen. Doch wer die daraus resultierenden Fragen auf Algorithmenschelte verkürzt, setzt an der falschen Stelle an und verliert wichtige Aspekte aus dem Blick. Allen voran ist dies die Finanzierung durch Werbung, die nicht nur klassischen Medien Umsätze genommen hat – deswegen kämpften die Verlage so vehement für ein Leistungsschutzrecht, das ihnen Vor- und den neuen Konkurrenten Nachteile bescheren sollte –  sondern auch die ökonomischen Anreize bestimmt, aus denen die Entwicklungs- und Optimierungsziele der Betreiber und damit Gestaltungsentscheidungen resultieren. Dass wirtschaftliche Abhängigkeit von der Werbung in der Programmgestaltung für eine Gratwanderung zwischen Krawall zur Publikumsbindung und Seichte zur Befriedigung der Werbekundenwünsche führt, kennen wir schon aus dem Privatfernsehen.

Algorithmen sind demgegenüber nur der verlängerte Arm des Unternehmens, das sie einsetzt. Sie bestimmen nicht die Richtung, sondern sie wirken als ausführendes Organ. Ihre Funktion folgt notwendig den Zielen und Prioritäten derer, die sie einsetzen. Wer sich an Algorithmen abarbeitet statt an Unternehmen und ihre Geschäftsmodellen, müsste folgerichtig angesichts des Volkswagen-Skandals, Verzeihung, der Dieselproblematik auch eine Motorenethik fordern. Doch darüber würden wir zu Recht lachen.

PS: Eine gute Vorstellung davon, wie Empfehlungssysteme funktionieren, vermittelt dieser Artikel: How The New York Times is Experimenting with Recommendation Algorithms.
(2019-10-24)

PPS: Eine neue Studie beschäftigt sich mit der Frage, ob man eine eventuelle Radikalisierung auf YouTube überhaupt „den Algorithmen“ zuschreiben kann.
(2019-10-25)

Überwachungsfolklore

Zu den Grundüberzeugungen deutscher Datenschützer gehört die Annahme, jede Beobachtung – insbesondere, aber nicht nur mittels Kameras – lenke auf magische Weise das Verhalten der Beobachteten und mache sie wie von selbst zu artigen Konformisten. Zuletzt argumentierte so das Oberverwaltungsgericht Münster, das der Polizei verbot, öffentliche Demonstrationen zum Zweck der Öffentlichkeitsarbeit zu fotografieren. Denkt man das Argument zu Ende, so bleibt nur noch ein kleiner Schritt bis zur Unterbindung jeglicher Berichterstattung über Demonstrationen, wie sie von autoritären Regimes praktiziert wird. Andernfalls müsste man sich den Vorwurf der Inkonsequenz gefallen lassen, denn wenn der fotografierende Polizist die Demonstranten einschüchtert, warum dann nicht auch der fotografierende Journalist neben ihm, dessen Fotos sich die Polizei im Netz anschauen kann?

Hinweisschild mit der Aufschrift: „Smile, You’re on camera…“ auf einem Bahnhof in England

Das jüngste Urteil aus Münster ist kein Einzelfall. Selbst der bloßen Anscheinsüberwachung mit Kameraattrappen, gegen entschlossene Täter so wirksam wie eine Vogelscheuche, sagt man die Erzeugung von „Überwachungsdruck“ nach. Empirisch überprüft oder auch nur ernsthaft in Frage gestellt hat man die These von der verhaltenslenkenden Wirkung der Überwachung nie. Gleich einem Mem wurde sie zur Wahrheit durch ständige Wiederholung, indem sie einer dem anderen nachplapperte. Dabei ist sie nicht einmal plausibel: Einer bloßen Beobachtung fehlt schon die zum Lenken nötige Richtung, denn wer nur passiv beobachtet wird, weiß gar nicht, wie er sich verhalten soll und wie nicht. Eine solche Richtung und damit eine lenkende Wirkung ergibt sich erst aus der Systematik von Interventionen. Nicht die bloße Beobachtung lenkt das Verhalten von Menschen, sondern die wahrscheinlichen Konsequenzen. Deutlich machte dies etwa das Ende der DDR vor dreißig Jahren. Damals füllten sich die Straßen schlagartig mit Demonstranten, als sich zeigte, dass das Regime am Ende war, seine Sicherheitskräfte nicht mehr wirksam gegen die eigene Bevölkerung einsetzen konnte und keine Hilfe aus Moskau zu erwarten hätte. Eine Nummer kleiner erleben wir dieselbe Tatsache tagtäglich im Straßenverkehr, wo vor aller Augen ungeniert Regeln gebrochen werden, solange niemand die Verstöße ahndet.

Zweifel am Mem von der verhaltenslenkenden, freiheitsgefährenden Wirkung der Videobeobachtung nährt eine aktuelle Statistik. Comparitech hat für 121 Städte aus aller Welt die Anzahl der Überwachungskameras pro 1.000 Einwohner erfasst und Statista aus den Top 12 eine Infografik erstellt:

Balkendiagramm: „The Most Surveilled Cities in the World”
Die am stärksten videoüberwachten Städte der Welt (Auszug aus einer Zählung von Comparitech).

Auf den ersten Blick scheint dieses Diagramm alle Vorurteile zu bestätigen, liegen doch acht der aufgeführten zwölf Städte im als Überwachungs- und Unterdrückungsstaat verschrienen China. Vor dessen Hauptstadt Peking, vor das wegen drakonischer Strafen bereits für kleine Vergehen berüchtigte Singapur und in der vollständigen Tabelle auch vor Städte wie Sankt Petersburg, Istanbul und Baghdad schiebt sich die britische Hauptstadt London auf Platz sechs.

Diese Platzierung überrascht zunächst nicht, gelten doch London und Großbritannien insgesamt als Hochburgen des Einsatzes von Closed-Circuit Television (CCTV). Jedoch stellen die Daten die herrschende Theorie in Frage, denn ihr zufolge wären die Menschen in Peking, Singapur, Sankt Petersburg, Istanbul und Baghdad freier als in London. Gemäß der herrschenden Theorie des Datenschutzes wären die Londoner auf der Straße vor allem damit beschäftigt, sich zum Wohlgefallen Ihrer Majestät zu betragen. Wer die Stadt einmal besucht hat, weiß, dass dies nicht der Fall ist. Tatsächlich zeigen die Daten von Comparitech nicht einmal eine Wirkung in der Hauptsache – es gibt keinen erkennbaren Zusammenhang zwischen der Kameradichte einer Stadt und der dort herrschenden Kriminalität, die meist den Überwachungsanlass bildet.

Dass Videoüberwachung nicht per se Verbrechen verhindere, erkennen Datenschutzaktivisten auf der Stelle an und führen es sogar selbst als Argument dagegen ins Feld. Sie sollten stutzig werden, wenn sie direkt daneben allerlei Nebenwirkungen behaupten, die noch weniger belegt sind als die bestrittene Hauptwirkung. Wenn die Verwendung von Kameras noch nicht einmal das Sicherheitsgefühl beeinflusst, wird sie kaum Demonstranten beeindrucken. Tatsächlich sind Kameras nur ein Werkzeug, das von einigen ideologisch aufgeladen wird. Hoffen wir, dass diese Einsicht eines Tages auch die Gerichte erreicht.

Spezifischer Generalverdacht

Anlässlich eines Festivals, das am vergangenen Wochenende in der Nähe von Leipzig stattfand, befürchtete die Polizei Übergriffe durch rumänische Diebesbanden. Diese Erwartung stützt sich auf frühere Fälle organisierter Taschendiebstähle auf Festivals. Vor dem Festival sandte die Polizei Schreiben an Hotels in der Umgebung des Festivalorts und bat deren Betreiber, den Aufenthalt rumänischer Staatsangehöriger in ihren Hotels während des Festivals der Polizei zu melden. Nun werfen einige der Polizei Racial Profiling und Rassismus vor; das Vorgehen der Polizei stelle „alle rumänischen Staatsbürger*innen pauschal unter Verdacht“. Der zuständige Datenschutzbeauftragte hingegen sieht kein Problem.

Ist die Kritik berechtigt? Diese Frage beantwortet sich, wenn man das Geschehen kontextualisiert und realistische Alternativen beleuchtet.

Hotels sind verpflichtet, die Identitäten ihrer Gäste zu erfassen, diese Daten eine Zeitlang aufzubewahren und sie auf Verlangen den zuständigen Behörden zu übermitteln. Bemerkenswert sind deshalb einzig die Aufforderung zur aktiven Meldung sowie das damit verbundene Auswahlkriterium der Staatsangehörigkeit.

Eine Alternative zur aktiven Meldung durch die Hotels wäre die regelmäßige Kontrolle aller neu ausgefüllten Meldescheine durch die Polizei in kurzen Abständen. Sie wäre zum einen zuverlässiger – Hotelangestellte könnten den Anruf bei der Polizei schon mal vergessen – und zum anderen aufwändiger. Für die letztlich Betroffenen ändert sich dadurch wenig.

Alternativ zur Nennung des Auswahlkriteriums könnte die Polizei auch alle Meldedaten der betreffenden Hotels einsammeln und selbst filtern. Auch diese hätte auch die letztlich Betroffenen keine nennenswerten Änderungen zur Folge. Jedoch nähme die Transparenz – eines der Gewährleistungsziele des Datenschutzes – ab, denn nun behielte die Polizei für sich, wonach die warum suche.

Bleibt noch das Auswahlkriterium selbst. Tatsächlich handelt es sich um eine Kombination von Kriterien, nämlich (1) die rumänische Staatsangehörigkeit, (2) der Aufenthalt in einem Hotel (3) während und in der Nähe eines bestimmten Festivals. Diese Kriterienkombination ist weit spezifischer als die bloße Staatsangehörigkeit. Gleichwohl besteht bestenfalls ein loser Zusammenhang zwischen diesen Kriterien und den gesuchten Straftätern.

Jedoch gehören vage Suchkriterien unvermeidlich zur Polizeiarbeit. Wenn Zeugen einen flüchtigen Täter als „männlich, etwa 1,80 Meter groß und dunkel gekleidet“ beschreiben, wird die Polizei in der Umgebung des Tatorts nach Menschen Ausschau halten, auf die diese Beschreibung passt, und möglicherweise mehrere Unbeteiligte kontrollieren. Begrenzt werden die Auswirkungen auf die Betroffenen durch die begrenzten Ressourcen der Polizei – Großfahndungen nach Kleinkriminellen sind nicht praktikabel – sowie durch die rechtsstaatlichen Kontrollmechanismen, insbesondere die Rechtsweggarantie.

Spezifischere Auswahlkriterien sind auch nicht per se besser. Das der Fahndung anhand wenig spezifischer Kriterien entgegengesetzte Extrem ist die Fahndung nach konkret bezeichneten Personen anhand ihrer persönlichen Daten oder mit Hilfe von Fotos. Die Zahl der potenziell Betroffenen wäre wegen der spezifischen Auswahl geringer, dafür könnte die Polizei wenige Personen intensiv bearbeiten. Die Einbindung der Öffentlichkeit würde bestimmte identifizierbare Personen betreffen statt einer grob umrissene und im Alltag nur ausnahmsweise eindeutig zu identifizierenden Gruppe.

Grund zur Empörung gibt es also kaum, zumal die Kritiker auch keinen Vorschlag unterbreiten, wie die Polizei ihre Arbeit besser machen könnte.

PS (2019-09-23): Es bestehen Zweifel, ob der Anlass der Aktion überhapt bestand.

Datenschutzfolklore

Sommerloch 2019: FaceApp, ein seit zweieinhalb Jahren existierendes Spielzeug, das Gesichter auf Fotos manipuliert, wird zum Social-Media-Trend. Dies macht Datenschützer auf FaceApp aufmerksam und sie zeigen sich pflichtgemäß alarmiert. Originell ist daran nichts. So oder so ähnlich wurde dieses Stück mit anderen Hauptdarstellern bereits dutzendfach aufgeführt. Dennoch hält es einige Lehren bereit.

Zuerst fällt auf, dass die Gefahrenprognose vage und unkonkret bleibt. Schlimmes drohe, wenn man die App sorglos nutze, doch was dies sei, erfährt man selbst auf Nachfrage nicht. „Daten, Server, Russland, Geschäftsbedingungen!“, raunt es. Und weiter? Jedes Gesicht, das sich regelmäßig in der Öffentlichkeit bewegt, ist tausendfach fotografiert und auf Server in aller Welt hochgeladen worden. Wenn das ein Problem ist, dann eines, von dem man für gewöhnlich nichts bemerkt – also kein besonders großes.

Statt über konkrete Gefahren, mit deren Voraussage sie richtig oder falsch liegen könnten, reden Datenschützer zweitens lieber über Formalismen, insbesondere über die juristischen Begleittexte der Datenverarbeitung. Dass es daran immer etwas auszusetzen gibt, liegt an einer geschickt konstruierten widersprüchlichen Doppelbotschaft. Datenverarbeiter müssen ihr Tun mit formalen Erklärungen legalisieren. Diese Texte möglichst extensiv abzufassen, so dass sie alle Eventualitäten abdecken und alle Verantwortung auf andere abschieben, ist für sie sinnvoll. Genau dies jedoch werfen ihnen Datenschützer später vor. Im Fall von FaceApp kommt hinzu, dass der Anbieter seinen Sitz außerhalb der EU sitzt, sich deshalb nicht um die Datenschutz-Grundverordnung schert und sich in seinen AGB noch mehr Rechte nimmt als hierzulande üblich. Ob daraus reale Probleme resultieren, bleibt freilich offen.

Zu guter Letzt macht man sich die Ökonomie vager Gefahrenprognosen zunutze. Die Mahnung vor Risiken verspricht kurzfristige Gewinne an Aufmerksamkeit, denen selbst bei systematisch falschen Prognosen langfristig keine Kosten gegenüberstehen. Die wahrscheinlichste Zukunft ist jene, in der FaceApp nach einiger Zeit so vergessen sein wird wie Pokémon Go oder die Blockchain-Technologie. Voraussichtlich wird also niemand je nachfragen, was den sorglosen Nutzerinnen und Nutzern von FaceApp denn nun widerfahren sei. Bereits jetzt fragt niemand nach Opfern und Schäden aus den vergangenen zweieinhalb Jahren.

Als Taktik der Öffentlichkeitsarbeit ergibt das alles einen Sinn, solange niemand lautstark widerspricht. Ob im Ergebnis jedoch irgend jemand effektiv vor irgend einer realen Gefahr geschützt wird, bleibt offen. Hinweise auf die Qualität dessen, was der böse russische Datenkrake einsammelt, liefert uns unterdessen Twitter. Habt Ihr Angst? Wenn ja, wovor?

PS: Peter Schaar betrachtet FaceApp aus der traditionellen Perspektive des Datenschutzes. (2019-07-22)

Datenschutzzirkus

Schwerin, Marienplatz. Öffentlicher Raum. Kein Ort der Heimlichkeit und der Privatheit. Was hier geschieht, kann jeder sehen. So auch die Polizei, die den Platz mit Hilfe von Videokameras beobachtet. Daran regt sich Kritik: die Aufnahmen werden unverschlüsselt übermittelt.

Die ersten Idee zu einem Recht auf „Privacy“ – Ungestörtheit in einer individuellen Privatsphäre – verdanken wir dem Aufkommen der Fotografie sowie der Presse. Diese damals neue Entwicklung motivierte Samuel Warren und Louis Brandeis 1890 zu ihrem Essay „The Right to Privacy”, der als Wurzel aller nachfolgenden Diskussionen über die Privatsphäre und später über den Datenschutz gilt.

Hundert Jahre später erregte die „Videoüberwachung“ – die Aufnahme, Übertragung und Aufzeichnung von Bewegtbildern insbesondere für polizeiliche und verwandte Zwecke – den Zorn aller Datenschutzaktivisten und daran hat sich bis heute wenig geändert. Aus der Sicht eines Datenschutzaktivisten gehören Videokameras im öffentlichen Raum zu den schlimmsten Dingen, die uns dort begegnen können. Dies gelte sogar für eine bloße Anscheinsüberwachung durch Kameraattrappen, meinen sie, denn Ausgangspunkt ihrer Kritik ist die selten hinterfragte These, selbst eine nur scheinbare Möglichkeit der Fernbeobachtung oder Aufzeichnung verändere auf wundersame Weise das Verhalten der Beobachteten1.

Mit der Realität hat dies wenig zu tun. Wir sind heute allerorten von Kameras umgeben, allen voran jene in unseren Taschenkommunikatoren, gefolgt von anderen Kameras, die zu allerlei Zwecken in der Landschaft hängen. Von nahezu jedem Ereignis mit Nachrichtenwert taucht früher oder später mindestens ein verwackeltes Händivideo auf. Die Erwartung, sich noch irgendwo in der Öffentlichkeit, jedoch nicht vor einem Kameraobjektiv aufhalten zu können, ist absurd.

Ebenso absurd ist die Vorstellung, die allgegenwärtigen Kameras könnten uns manipulieren und unterdrücken. Wäre dem so, hätten wir es nämlich längst bemerkt. Haben wir aber nicht, also stimmt die Vermutung wahrscheinlich nicht. In Wirklichkeit tun Kameras im öffentlichen Raum niemandem weh, denn sie sehen nur das, was Menschen in aller Öffentlichkeit tun.

Mit Ausnahme der Datenschützer versteht das auch jeder und so regt sich zu Recht kaum noch Protest gegen den Kameraeinsatz. Doch so leicht geben sich Aktivisten nicht geschlagen. Für Datenschützer nimmt eine Kamera nicht nur Bilder und Videos auf, sie verwandelt auch den Anblick eines öffentlichen Raums in personenbezogene Daten, die nach Schutz verlangen.

Ob diese Daten aus einer öffentlichen Quelle stammen, spielt dabei keine Rolle, denn alle personenbezogenen Daten gelten dem Datenschutz als gleich schützenswert (mit Ausnahme der besonders schützenswerten Daten, zu denen etwa die Information gehört, dass der Papst und seine Kardinäle katholisch sind). So kommt es, dass Aufnahmen aus dem öffentlichen Raum nach Auffassung der Datenschützer verschlüsselt versendet werden müssen.

Dass dies sinnlos ist und niemanden vor irgend etwas schützt, spielt keine Rolle, denn der Datenschutz schützt Daten und nicht Menschen. Der Sensor einer Digitalkamera verwandelt ungezwungene Öffentlichkeit in ein amtliches Geheimnis.


1 Gedankenexperiment: Jemand geht in eine Bank/Spielhalle/Tankstelle, hält eine Videokamera vor sich und ruft: „Geld her, ich habe eine Kamera!“ – Würde das funktionieren? Wenn ja, warum? Wenn nein, warum nicht?

Bedrohungkonjunktive

Risiko ist ein quantifizierter Konjunktiv: Etwas kann passieren, man kann nicht genau vorhersagen, wann und wem es passiert, aber die Wahrscheinlichkeit und die Folgen lassen sich abschätzen. Seriöse Risikoanalysen betrachten deshalb das Zusammenspiel zwischen Wahrscheinlichkeiten und Auswirkungen oder irgendeinen Surrogat dafür.

Unseriöse Diskussionen lassen die Wahrscheinlichkeiten unter den Tisch fallen und konzentrieren sich auf die bloße Möglichkeit. Das Ergebnis sind Bedrohungskonjunktive, mit denen man Propaganda treiben, aber sonst wenig anfangen kann.

Wie das funktioniert, führt H.-J. Tenhagen in seiner Kolumne zum Händibezahlen bei Spiegel Online vor: Die erste Hälfte seines Textes besteht aus blumigen Erklärungen, was Finanzunternehmen und Cloudkonzerne mit den Transaktionsdaten eines Verbrauchers alles anstellen könnten.

Dabei drückt er sich um den springenden Punkt, denn es gibt unzählige Dinge, die man tun könnte, aber üblicherweise nicht tut. Die Bundeswehr könnte die Regierung absetzen, RWE das ganze von Düsseldorf bis Köln wegbaggern und nebenbei die Bevölkerung verstromen, die BASF alle deutschen Städte in die Luft sprengen und gleichzeitig das gesamte Trinkwasser vergiften und die Lufthansa Flugzeuge in Kernkraftwerke lenken.

All dies ist möglich, aber nicht sehr wahrscheinlich, weshalb uns solche Schauergeschichten keine Angst machen. Genauso sollten wir es handhaben, wenn uns jemand ins Ohr raunt, was die bösen Datenkraken alles tun könnten. Was sie könnten, ist egal; es kommt darauf an, was sie tatsächlich tun.

Nichts zu verbergen – nicht zu diesem Preis

Der Spruch, man habe ja nichts zu verbergen, ist der Lieblingsstrohmann aller Datenschutzaktivisten und Polizeigegner. An ihm arbeiten sie sich ab, um zu zeigen, dass doch jeder etwas zu verbergen habe und demnach auf ihrer Seite stehen müsse im Kampf gegen den jeweilige Datenkraken des Tages.

Nun ist es legitim, für die Beschränkung polizeilicher, geheimdienstlicher und sonstiger Befugnisse einzutreten. Der Nichts-zu-verbergen-Strohmann unterstellt jedoch eine allgemeine individuelle Betroffenheit, um das Strohmann-Argument sodann mit der Annahme einer ebenso universellen Geheimnisträgerschaft zurückzuweisen.

Wo die Schwäche dieses oft replizierten, jedoch selten reflektierten Arguments liegt, wird deutlich, wenn man es sauberer formuliert. Wie auch sonst überall – genauer, außerhalb der bloßen Ideologie – muss man in Sicherheitsfragen Nutzen und Kosten abwägen. Dabei hat jeder Beteiligte und jeder Betroffene seine eigene Sicht; was dem einen schadet, muss dem anderen nicht in gleichem Maße nützen und umgekehrt.

Da wir über Zukunftsaussichten mutmaßen, haben alle Annahmen Wahrscheinlichkeitscharakter und wir rechnen mit Erwartungswerten. Die bekannte Risikoformel – Risiko gleich Eintrittswahrscheinlichkeit mal Schadenshöhe – ist nichts anderes als die Definition eines Erwartungswerts.

Sagt nun jemand, er habe nichts zu verbergen, so bedeutet dies sauber formuliert, er sehe für sich kein hinreichendes Risiko n der diskutierten Maßnahme, welches ihre Ablehnung rechtfertigen würde, sondern einen ausreichenden Nutzen, um sie hinzunehmen. Diese Einschätzung mag im Einzelfall richtig oder falsch sein, doch handelt es sich nicht per se um ein falsches Argument.

In einem funktionierenden Rechtsstaat haben Bürger, die sich nichts zuschulden kommen lassen, wenig zu befürchten. Dafür sorgt nicht in erster Linie Technik, sondern Recht, Gewaltenteilung und das daraus resultierende Institutionengefüge. Dieser Apparat, der die Staatsmacht ausübt und gleichzeitig zügelt, ändert sich nicht fundamental, nur weil einzelne Institutionen wie die Polizei neue Einsatzmittel und -möglichkeiten erhalten.

Es ist deshalb legitim, sich auf den Rechtsstaat und die Demokratie zu verlassen, das eigene wie das gesellschaftliche Risiko aus neuen Einsatzmitteln der Exekutive als gering einzuschätzen und daraus resultierend Vorschläge zu befürworten oder hinzunehmen. Das – oft erfolglos – Zustimmung heischende Strohmannargument, jeder habe etwas zu verbergen, ignoriert die Risikobetrachtung. Es ist deshalb unsachlich, fundamentalistisch und überholt.

Datenschutz mit blinden Flecken

Ein simpler Bewegungsmelder wird zur Überwachung, sobald er in China Bewegung meldet und europäische Medien darüber berichten. Dächten wir über solche Nachrichten aus Fernost nach, statt uns nur in unseren Vorurteilen zu bestätigen, könnten wir etwas über Datenschutz, Überwachung und Erziehung lernen. Doch dann müssten wir uns eingestehen, dass wir mit dem Datenschutz das Pferd von hinten aufzäumen.

Über China kursieren im Westen viele Legenden. Das Land ist weit genug weg, dass es nur wenige gut aus eigener Anschauung kennen, seine Kultur ist uns fremd genug, um uns geheimnisvoll zu erscheinen, und China ist zu bedeutend, als dass man es wie seinen Nachbarn Nordkorea als belanglose Randerscheinung belächeln könnte.

China gilt uns als der Überwachungsstaat schlechthin und Überwachung als Inbegriff des Bösen. Wollen Datenschutzaktivisten einen Teufel an die Wand malen, so greifen sie gerne zu Geschichten vom Social Credit Scoring und der alles überwachenden Kommunistischen Partei. Kulturelle Unterschiede werden dabei ebenso nonchalant verdrängt wie der Umstand, dass unsere Werte und Eigenheiten nicht weniger willkürlich sind als die der anderen.

Wie bei vielen Themen stammt die Berichterstattung aus einem Topf voll wieder und wieder rezitierter Meme, die zwar manchmal ihr Kostüm wechseln, sich im Kern jedoch kaum wandeln. Sie kennen das aus der Blökchain. Darunter mischt sich ein Hang zur Besserwisserei, denn wer wollte ernsthaft dem Datenschutzweltmeister widersprechen, der wir so gerne sein möchten? Zu kurz kommt, was einen Erkenntnisgewinn verspräche: dass man sich im Vergleich verschiedener Kulturen seine eigenen Vorurteile und blinden Flecken bewusst machte.

Ein Beispiel. Die FAZ verbreitet dieses Video mit dem Titel „Überwachung in China: Dusche für ‚Bei-Rot-Geher‘“:

Das Video dauert nur eine Minute und zeigt Mechanismen, mit denen man in China Fußgänger zur Einhaltung der Verkehrsregeln bewegen möchte. Ein Mittel dazu sind Poller an einem ampelgeregelten Übergang, die bei Rot gehende Fußgänger mit einem Bewegungsmelder erkennen und mit Wasser bespritzen. Später erwähnt der Beitrag noch Verkehrskameras an Kreuzungen und eine darauf gestützte Ansprache von Fußgängern über installierte Lautsprecher. Ob es sich jeweils um die üblichen Mittel handelt oder nur um Versuche, erfahren wir übrigens nicht.

Was das Video nicht so deutlich sagt, jeder westliche Datenschutzaktivist jedoch gerne glauben möchte: Hier zeige sich der Chinesische Überwachungsstaat und wir mögen froh sein, über Datenschutzaktivisten und eine EU-Datenschutzgrundverordnung (DS-GVO) zu verfügen. Doch in Wirklichkeit ist die Sache komplizierter. Zum einen gelten die Verkehrsüberwachung und die Ahndung von Verstößen auch hierzulande im Prinzip als legitim, wenn auch deutsche Datenschützer gerne mal eine Totalüberwachung wittern, wo es in erster Linie um die effektive Durchsetzung von Fahrverboten geht. Zum anderen hätte unser Datenschutz mit den im Video vorgestellten Erziehungspollern weit weniger Probleme, als Datenschutzaktivisten lieb sein kann.

Der europäische Datenschutz stellt die Verarbeitung personenbezogener Daten in den Mittelpunkt seiner Bemühungen. Kurz gefasst geht er von der Vermutung aus, je mehr jemand über einzelne identifizierbare Personen wisse, desto problematischer sei dies. Darauf gestützt regelt die Datenschutz-Grundverordnung den Umgang mit solchen Daten und die begleitende Bürokratie. In ihrer eigenen Logik folgerichtig fordert die DS-GVO unter dem Schlagwort „Datenschutz durch Technikgestaltung“ („Privacy by Design“) die Anonymisierung oder Pseudonymisierung personenbezogener Daten, wo immer dies möglich sei. Damit gehe der Personenbezug verloren (Anonymisierung) oder er werde verborgen (Pseudonymisierung), was die Betroffenen der Datenverarbeitung vor negativen Folgen schütze, so die Idee.

Die Beispiele aus dem Video zeigen, wo der Haken liegt. Wir sehen dort situationsbezogene Erziehungsmechanismen: Wer gegen die Verkehrsregeln verstößt und bei Rot über die Straße geht, bekommt sofort negatives Feedback, ähnlich einem abzurichtenden Hund, dessen Ungehorsam sein Herrchen auf der Stelle straft. Man mag diesen Ansatz primitiv finden, doch unterscheidet er sich nur dadurch vom roten Blitz, der auf zu schnelles Fahren oder das Ignorieren einer roten Ampel folgt, dass ihm später kein Schreiben der zuständigen Bußgeldstelle folgt.

Die im Video vorgestellten Erziehungsmechanismen funktionieren anonym. Sie erkennen ein Verhalten und wirken direkt auf die betreffende Person, ohne erst Akten und Datensätze zu wälzen. Überwachung ist das schon, nur eben nicht personen-, sondern situationsbezogen. Nach europäischen Datenschutzmaßstäben wären solche Maßnahmen akzeptabler, sogar korrekter als das hiesige Verfahren mit den namentlich adressierten Verwarnungs- oder Bußgeldbescheiden. Als Datenschutz-Erregungsanlass taugen sie deshalb wenig, sobald man sich einmal von oberflächlichen Analogien und dem üblichen Raunen gelöst hat.

Der Datenschutz schütze nicht Daten, heißt es oft, sondern Menschen, doch wo aus Daten Handlungen werden, oder eben auch nicht, hat er einen großen blinden Fleck. Dem Datenschutz liegt die Unterstellung zugrunde, Daten über identifizierte Individuen führe zu Handlungen und Vorenthalten dieser Daten könne diese Handlungen verhindern. Dies mag in manchen Fällen richtig sein. Gebe ich beispielsweise meine Telefonnummer nur an ausgewählte Personen weiter, so verhindere ich damit jene – mutmaßlich unerwünschten – Anrufe, die sich für den Anrufer so wenig lohnen, dass er dafür weder meine Nummer recherchieren noch zufällig gewählte Nummern nacheinander anrufen würde.

Die smarten Poller aus China jedoch zeigen, dass diese Schlusskette nur manchmal funktioniert. Viel häufiger begegnet uns im Alltag die anonyme Manipulation, der es auf unsere Identität nicht ankommt. Von Glücksspielen über Payback-Coupons bis zur Werbung sind wir ständig interaktiven Beeinflussungsversuchen ausgesetzt, die sich auf alles mögliche stützen, nur nicht darauf, dass jemand möglichst viele explizite Angaben mit unserem Namen assoziiert. Sie funktionieren dennoch.

Ein Spielautomat zum Beispiel manipuliert seine Zielgruppe mit durchschaubarer Psychologie, viel Geld zu verspielen: mit der Illusion zum Beispiel, sorgfältig kalkulierte Gewinnchancen durch das Drücken  von Knöpfen beeinflussen zu können, und mit kleinen Gewinnen zwischendurch, die der Spieler doch nur an den Automaten zurückgibt. Das funktioniert nicht bei allen, aber Spielautomaten ziehen diejenigen an, bei denen es funktioniert. Die Hersteller müssen diese Zielgruppe gut verstehen. Personenbezogene Daten über Spieler brauchen sie hingegen nie.  Sie haben dies mit nahezu allen Formen der Beeinflussung vom Nudging bis zum Betrug gemeinsam.

Das heißt nicht, dass der Datenschutz komplett sinnlos wäre, doch als Mittel zum Risikomanagement und als Freiheitsgarant setzt er häufig am falschen Ende an. Er konzentriert sich auf die Daten und ignoriert tendenziell die Handlungen, während in Wirklichkeit die Handlungen oft ohne jene Daten auskommen, die der Datenschutz im Auge hat. Die Ironie dabei: Der Datenschutz beruft sich auf Grundrechte, allen voran das allgemeine Persönlichkeitsrecht, aber seine Aufmerksamkeit endet, wo Menschen zu bloßen Nummern pseudonymisiert oder wie Tiere dressiert werden.

Der Datenschutz soll, so seine Verfechter, Machtgefälle nivellieren und den Einzelnen davor schützen, zum bloßen Objekt der Datenverarbeitung durch staatliche Stellen oder durch Unternehmen zu werden. Doch sein Fokus auf mit Identitätsbezug gespeicherte Datensätze macht ihn blind für das Handeln der Mächtigen. So wird jeder Staat, der Verkehrsregeln aufstellt, deren Verletzung bekämpfen – dazu ist die Staatsmacht da. Der deutsche Staat tut dies in einem Verwaltungsverfahren gegen eine namentlich benannte Person, der chinesische anscheinend auch durch direkte Erziehung ohne Verfahren.

China ist so gesehen kein Überwachungs-, sondern ein Erziehungsstaat. Dies ist nicht einmal per se falsch, denn verschiedene Kulturen können soziale Probleme verschieden bewerten und lösen und nicht alle europäischen Grundrechte sind auch universelle Menschenrechte. Nach der europäischen Datenschutzlogik jedoch macht China im Video alles richtig und taugt nicht als mahnendes Beispiel.

Statt sich mit Machtverhältnissen und mit Mechanismen der Machtausübung zu beschäftigen, verzettelt sich der institutionalisierte Datenschutz lieber in Diskussionen um technische Details wie Cookies und IP-Adressen. Welche Wirkungen man sich davon verspricht, können die Datenschützer selbst nicht erklären.

Die bekannte Auswüchse, auch die ungewollten und aufgebauschten, wie die auf Fotos gesichtslos gemachten Schulkinder, die verbotene Anscheinsüberwachung mit Attrappen oder die beinahe ihrer Namen auf dem Klingelschild beraubten Mieter sind eine Folge davon. Der formale Datenschutz kann mit wenigen Ausnahmen keinen plausiblen Wirkmechanismus vorweisen, während viele relevante Vorgänge jenseits seines Horizonts liegen. Er schmort deshalb im eigenen Saft.

Erregungsanlass Datenerhebung

2018 war das große Jahr der Datenschutz-Grundverordnung, jedenfalls in puncto Aufmerksamkeit. Datenschutzaktivisten und die Datenschutzbranche feierten den 25. Mai, an dem die Übergangsfrist ablief und die die Regeln der DS-GVO wirksam wurden, als wäre es ein zweites Weihnachten gewesen. Wie beim echten Weihnachtsfest war das Völlegefühl danach so groß wie die Vorfreude im Advent und es hält bis heute an – die Datenschutzaufsicht ist unter der Last der neuen Verordnung weitgehend zusammengebrochen. Derweil verbreiten sich hin und wieder groteske Geschichten über entfernte Klingelschilder oder aus Fotos radierte Kindergesichter, an denen die DS-GVO schuld sei.

Zweifelhaft ist jedoch wie vor, ob die DS-GVO den große Wurf darstellt, als den sie große Teile der Datenschutzszene  vor ihrer Überlastung durch eben jene DS-GVO feierten. Positiv ist gewiss die europäische Harmonisierung, die den Adressaten innerhalb Europas den Umgang mit dem Datenschutz erleichtert. Weit weniger deutlich lassen sich inhaltliche Fortschritte gegenüber dem traditionellen Datenschutz aus den 1970er und 1980er Jahren erkennen.

Trotz einiger Modernisierungen bleibt die DS-GVO in vielen Punkten orthodox,das heißt auf Oberflächenphänomene und Vorsorge fokussiert. Der traditionelle Datenschutz ist erhebungszentriert: Gespeicherte Daten gelten pauschal als gefährlich, wenn nicht gar als Grundrechtseingriff, weshalb man die Datenerhebung als die zur Speicherung und Verarbeitung unvermeidliche Voraussetzung regulieren müsse. Risiken bemessen sich aus dieser Perspektive nicht danach, was eine Organisation mit Daten tut oder welche Folgen daraus realistisch resultieren könnten, sondern alleine danach, welche Daten sie erhebt.

Ein anschauliches Beispiel für die Defizite dieser Perspektive liefert heute die Mitteldeutsche Zeitung auf der Grundlage eines YouTube-Videos. Das Skandälchen: Die Polizei betrieb ein Geschwindigkeitsmessgeräte an der Autobahn 38 und blitzte Autofahrer, obwohl dort gar kein Tempolimit galt. Wie die MZ in ihrer Recherche herausfand, handelte es sich schlicht um einen Test des Messgeräts, an dem man einen Fehler vermutete – eine gute Sache, die den betroffenen Fahrern keinen Schaden zufügt.

Objektiv bestand nie ein Grund zur Aufregung. Selbst wenn es sich nicht um einen Test gehandelt hätte, bliebe das Schadenspotenzial gering, denn ein Foto vom Straßenrand führt hierzulande nicht zu willkürlichen, unbeschränkten Eingriffen in die Leben der Fotografierten, sondern lediglich zu einem rechtsstaatlichen Verfahren. Abgesehen davon, dass so etwas lästig sein kann und Fehler auch in der Justiz zuweilen vorkommen – ein allgemeines Lebensrisiko – haben die Betroffenen nicht mehr zu fürchten als ihre gerechte Strafe. Mangels Tempolimit im vorliegenden Fall droht ihnen also gar nichts und bei einer gerechtfertigten Anzeige eine moderate Buße. Davon abgesehen bestand hier nicht einmal die Absicht, dem Test überhaupt irgendwelche gegen die Betroffenen gerichteten Maßnahmen folgen zu lassen.

Eine tendenziell gesetzestreue Beamtenschaft, die Garantie eines rechtsstaatlichen Verfahrens sowie nach Schwere der Tat abgestufte Strafvorschriften sind hier die zentralen Mechanismen des Risikomanagements. In einer einseitig auf die Erhebung fokussierten Perspektive, die gespeicherten Daten unschätzbare Gefahren unterstellt, geraten genau diese Mechanismen aus dem Blickfeld. Aus dieser Perspektive ist äquivalent, was auf den ersten Blick ähnlich aussieht, und gleichermaßen gefährlich, was dieselben Daten erfasst.

Diese Ignoranz gegenüber systemischen Sichten zeigt sich vielerorts im Datenschutz. Bestes Beispiel ist die Online-Werbung. Im Fokus des Datenschutzes stehen die damit verbundenen Trackingmechanismen, mit denen die Werbewirtschaft im Internet ihre – am Ende immer noch geringen – Erfolgsraten und die daraus resultierenden Einnahmen optimiert. Aus der Erhebungsperspektive scheint das alles ganz schlimm, denn „Datenkraken beobachten jeden Klick im Internet“ und bilden Profile sogar über Gerätegrenzen hinweg.

Aus der systemischen Sicht hingegen geht es die ganze Zeit nur um Werbung. Werbung ist per se übergriffig, auch als Plakat am Straßenrand, weil sie uns anheischt, den Interessen anderer gerecht zu werden. Werbung nervt, weil sie mit anderer Werbung sowie mit relevanten Informationen um unsere Aufmerksamkeit kämpft. Werbung ist jedoch auch nützlich und geduldet, wo sie uns Dienste und Inhalte im Netz finanziert. Alles in allem ist Werbung vor allem eins: ziemlich harmlos, denn sonst hätte sie uns längst alle umgebracht.

Diese Harmlosigkeit kann der erhebungszentrierte Datenschutz nicht erfassen, ausdrücken und seinen Maßnahmen zugrunde legen. Im Gegenteil, dort wird ungeniert mit frei erfundenem „Überwachungsdruck“ argumentiert, welcher sogar die Anscheinsüberwachung durch Kameraattrappen zum Problem mache. So kommt es, dass niemand mehr nachvollziehen kann, wovor ihn der Datenschutz eigentlich schütze.

Erfolgsfaktoren für den Datenschutz durch Technikgestaltung

Die Forderung nach Datenschutz und Sicherheit „by Design“ ist schnell erhoben und gerade nach Sicherheitsvorfällen sieht rückblickend oft alles nach offensichtlicher Schlamperei aus, die man doch einfach hätte vermeiden können. Wer tatsächlich IT-Systeme gestaltet und dabei Datenschutz- und Sicherheitsanforderungen berücksichtigen soll, steht jedoch einigen Problemen gegenüber. Zum Beispiel kann man zu viel Sicherheit anstreben und sich im Ergebnis selbst blockieren, wie es die Entwicklung der Gesundheitstelematik seit ungefähr anderthalb Jahrzehnten vorführt*, oder vor unmöglichen Entscheidungen stehen, weil es zu vielfältigen Wechselwirkungen zwischen Datenschutz und Sicherheit auf der einen und allen übrigen Anforderungen und Entwurfsdimensionen auf der anderen Seite kommt. Beim Datenschutz kommt hinzu, dass anders als bei der Sicherheit Stakeholder und Angreifer zusammenfallen: Der Datenschutz beschränkt Handlungen, von denen Betreiber und Nutzer eines Systems profitieren.

Mit diesen Schwierigkeiten beschäftigt sich der Beitrag „Erfolgsfaktoren für den Datenschutz durch Technikgestaltung“ zur Konferenz „Die Fortentwicklung des Datenschutzes”, die Anfang November 2017 in Berlin stattfand. Er baut auf vorangegangenen Vorträgen (Was kommt nach „Security by Design“? Chancen der Partizipation im Software Engineering 2016 in Kassel und Security by Design? 2017 in Limburg auf. Im Konferenzband zur Tagung konnte unser Beitrag letztlich nicht erscheinen, da der Verlag über eine faire Rechteübertragung hinaus unannehmbare Forderungen an die Autoren erhob und zu Verhandlungen über die Konditionen nicht bereit war.

*) Großprojekte mit vielen Stakeholdern haben allerdings noch weitere Probleme neben dem Thema Sicherheit, an denen sie scheitern können.

Opt-out

Vor drei Monaten feierten Politiker und Datenschützer die Ende Mai 2018 wirksam gewordene EU-DSGVO, während Vereine und Kleinunternehmen über die damit verbundene Bürokratie stöhnten und nach Auswegen suchten. Bis auf einzelne Geschichten von Fotografierverboten und geschwärzten Kindergesichtern – in Deutschland heißt es nach wie vor: „Vorschrift ist Vorschrift!“ – war seither wenig zum Thema zu hören.

Jene, denen es mit der DSGVO angeblich hätte an den Kragen gehen sollen, allen voran die Online-Werbewirtschaft, können weiter ruhig schlafen. Sie haben einen Weg gefunden, ihre Interessen im Einklang mit der DSGVO-Bürokratie weiter zu verfolgen: Dark Patterns, unanständige Entwurfmuster. Die Gestaltung von Benutzerschnittstellen kann das Verhalten ihrer Benutzer beeinflussen, indem sie Handlungen und Vorgänge einfacher oder schwieriger macht, schneller oder zeitraubender, versteckter oder offensichtlicher, fehleranfälliger oder robuster. Das ist nicht per se falsch, denn Benutzerschnittstellen sollen sich den Benutzern erklären. Die Grenze zum Dark Pattern ist schwer zu definieren, aber sie ist klar überschritten, wo eigennützige Manipulationsabsichten offensichtlich werden.

Dieses Video zeigt ein Beispiel:

Websites arbeiten mit Werbenetzen, Analytics-Diensten und anderen Dienstleistern zusammen, die das Benutzerverhalten beobachten und auswerten. Über diese Verarbeitung muss jeder Nutzer in der Regel selbst entscheiden können. Das Video zeigt, wie eine offensichtlich interessengeleitete Gestaltung der Benutzerschnittstelle in der Praxis funktioniert – man müsste eine Viertelstunde im Web herumklicken, ohne am Ende zu wissen, was es gebracht hat. Ebenso weit verbreitet sind Zwangsfunktionen, welche die Nutzung von Websites verhindern oder erschweren, bis man in irgend etwas „eingewilligt“ hat.

Vermutlich ist diese Gestaltung nicht legal, doch bislang ist dazu vom organisierten Datenschutz wenig zu hören – er ist unter einer Welle von Anfragen zur DSGVO zusammengebrochen. Überraschend kommt diese Entwicklung allerdings nicht. Zum einen ist die formale Einhaltung von Vorschriften bei gleichzeitiger Optimierung auf die eigenen ökonomischen Interessen die typische Reaktion von Unternehmen auf Compliance-Vorschriften. Wer beispielsweise Geld anlegen möchte, muss seiner Bank heute hundert Seiten Papier unterschreiben – angeblich zu seinem Schutz, tatsächlich jedoch, damit die Bank unter allen denkbaren Umständen über genügend Dokumente verfügt, um sich aus der Affäre zu ziehen und ihre Hände in Unschuld zu waschen („Rechtssicherheit“).

Zum anderen passt das Interaktionsparadigma des Datenschutzes – eine Art Vertragsschluss bei Beginn der Verarbeitung – nicht dazu, wie das Internet funktioniert. Wir emittieren heute permanent Daten in den Cyberspace und die Idee, diese Emission über Verfügungen pro Interaktionskontext zu regeln, führt nicht zu tragfähigen Lösungen. Was man wirklich einmal regeln müsste, wären die Interaktion und die Machtverhältnisse im Web.

Digitaler Umweltschutz?

In der Süddeutschen fordert Adrian Lobe einen digitalen Umweltschutz und argumentiert dabei mit Datenemissionen. Das ist mir im Ansatz sympathisch, weil ich die Vorstellung der permanenten Datenemission für ein geeigneteres Modell der heutigen Datenverarbeitung halte. Andererseits geht mir jedoch seine Ausweitung des Gedankens auf eine Analogie zu Emissionen im Sinne des Umweltschutzes zu weit.

Unabhängig davon, was wir insgesamt von der personenbezogenen Datenverarbeitung halten und welche Schutzziele wir im Einzelnen verfolgen, brauchen wir als Grundlage ein passendes Modell davon, wie Daten entstehen, fließen und verarbeitet werden. In dieser Hinsicht beschreibt das Emissionsmodell die heutige Realität besser als die Begriffe des traditionellen Datenschutzes, die auf das Verarbeitungsparadigma isolierter Datenbanken gemünzt sind.

Der klassische Datenschutz in der Tradition des BDSG (alt) ist begrifflich und konzeptionell eng an die elektronische Datenverarbeitung in isolierten Datenbanken angelehnt. Daten werden „erhoben“ (jemand füllt ein Formular aus) und sodann „verarbeitet“, das heißt gespeichert, verändert, übermittelt gesperrt oder gelöscht, sowie vielleicht sogar „genutzt“ (diesen Begriff verfeinert das alte BDSG nicht weiter).

Diese Vorstellungen passen nicht zu einer Welt, in der jeder ein Smartphone in der Tasche hat, das permanent Daten in die Cloud sendet. Sie passen nicht einmal dazu, dass einer die Adresse und Telefonnummer eines anderen in der Cloud speichert. Aus dem Konflikt zwischen der veralteten Vorstellung und der heutigen Realität resultieren regelmäßig Blüten wie der Hinweis des Thüringer Datenschutzbeauftragten, die Nutzung von WhatsApp sei rechtswidrig, die den Datenschutz als realitätsfern dastehen lassen.

Mit dem Emissionsmodell bekommen wir eine neue Diskussionsgrundlage, die näher an der tatsächlichen Funktionsweise der Datentechnik liegt. Wenn wir die Schutzziele des Datenschutzes auf dieser Grundlage diskutieren, finden wir eher praktikable und wirksame Maßnahmen als auf der Basis veralteter Vorstellungen. Das ist die positive Seite des Emissionsgedankens.

Die negative Seite zeigt sich, wenn man den Gedanken zu weit treibt und daraus eine Analogie zu Emissionen im Sinne des Umweltschutzes macht. Das ist zwar verführerisch – wenn ich mich richtig erinnere, haben wir diese Frage beim Schreiben von „Emission statt Transaktion“ auch diskutiert – aber ein rückwärtsgewandter Irrweg.

Ein entscheidender Unterschied zwischen Umwelt- und Datenemissionen liegt darin, dass Umweltemissionen eine zwangsläufige Wirkung haben: Im verschmutzten Fluss sterben die Fische, Kohlendioxid ändert das Klima und Plutonium im Tee macht krank. Nach der Freisetzung lässt sich die Wirkung nur noch durch eine – meist aufwändige – Sanierung steuern und unter Umständen nicht einmal das.

Daten haben diese zwangsläufige Wirkung nicht. Wie wir miteinander und wie Organisationen mit uns umgehen, können wir unabhängig von Daten regeln. Wenn wir zum Beispiel Diskriminierung verbieten und dieses Verbot wirksam durchsetzen, dann kommt es auf die verwendeten Mittel nicht mehr an – was eine Organisation weiß, ist egal, denn sie darf damit nichts anfangen.

Dem traditionellen Datenschutz ist diese Perspektive jedoch fremd, denn er verfolgt das Vorsorgeprinzip für den Umgang mit epistemischen Risiken: Wenn wir die Gefahren von etwas noch nicht gut genug verstehen, um sie quantifizieren zu können, lassen wir besser sehr große Vorsicht walten. Dieser Gedanke ist im Umweltschutz weit verbreitet und bezieht seine Berechtigung dort aus dem Maximalschadenszenario der Zerstörung unserer Lebensgrundlage. Selbst mit dieser Drohung im Gepäck bleibt das Vorsorgeprinzip freilich umstritten, denn epistemische Ungewissheit über Gefahren impliziert auch Ungewissheit über die Kosten und Auswirkungen von Vorsichtsmaßnahmen.

Im traditionellen Datenschutz – der, ob Zufall oder nicht, etwa zeitgleich mit dem Erstarken der Umwelt- und Anti-Atomkraft-Bewegung entstand – finden wir diesen Vorsorgegedanken an mehreren Stellen: in der Warnung des Bundesverfassungsgerichts im Volkszählungsurteil vor einer Gesellschafts- und Rechtsordnung, „in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß“, im grundsätzlichen Verbot der Verarbeitung personenbezogener Daten, das nur ausnahmsweise durch eine Rechtsvorschrift oder die Erlaubnis der Betroffenen aufgehoben werde, sowie in der Forderung nach Datenvermeidung und Datensparsamkeit.

All dem liegt die Vorstellung zugrunde, die Speicherung und Verarbeitung personenbezogener Daten sei mit unschätzbaren Gefahren verbunden und daher nur äußerst vorsichtig zu betreiben. Allerdings wissen wir heute, dass man damals so manche Gefahr grob überschätzte. So warnte das Verfassungsgericht weiter: „Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen“, und: „Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“ Das war zu kurz gedacht – heute zelebrieren viele von uns ihre abweichenden Verhaltensweisen in der Öffentlichkeit von Twitter, Facebook, Instagram und YouTube und träumen dabei von einer Karriere als Influencer.

Heute leben wir in jener Welt, vor der das Verfassungsgericht einst warnte, genießen ihren großen Nutzen und spüren nur geringe Schmerzen. Von den befürchteten Gefahren für die freie Entfaltung er Persönlichkeit ist wenig zu sehen. Zudem können wir inzwischen ganz gut einschätzen, welche Gefahren bestehen und was man dagegen zu welchem Preis tun kann. Der Vorsorgegedanke ist damit überholt und deshalb passt die Analogie zum Umweltschutz nicht so gut. Andererseits ist der Umweltschutz nicht nur Vorsorge, sondern beinhaltet auch die risikoorientierte Gefahrenabwehr und in dieser Hinsicht mag man sich an ihm als Vorbild orientieren.

Diebstahlschutz durch Technikgestaltung: Metallsparsamkeit

Geländerverzierung kein Metall!
Diebstahlschutz durch Materialwahl und Information

Gegenstände aus Metall werden gerne gestohlen, weil sie sogar als Schrott noch einen Wert haben. Um diesem Risiko zu begegnen, hat man bei der Erneuerung zweier Fußgängerbrücken auf größere Metallteile verzichtet und sie durch ähnlich aussehende alternative Materialien ersetzt. Man könnte analog zur Datensparsamkeit von Metallsparsamkeit sprechen und die Idee ist dieselbe – was nicht da ist, kann nicht geklaut werden. Das Hinweisschild soll vor dem sekundären Risiko schützen, dass jemand nicht so genau hinschaut, bevor der Teile abschraubt.

Metallsparsamkeit ist einfach, wenn es wie hier nur um Verzierungen geht, die keinen technischen Zweck erfüllen. In diesem Fall schränken nur wenige andere Anforderungen die Materialwahl ein. Die Verzierungen eines Brückengeländers müssen gut aussehen und den parktypischen Belastungen – Wind, Wetter, Vogelkacke, turnenden Kindern, übermütigen Jugendlichen usw. – widerstehen, das ist alles.

Schwieriger wird die Metallsparsamkeit, wenn das Material weiter Anforderungen erfüllen muss. Ein Fahrrad zum Beispiel lässt sich noch so einfach aus alternativen Materialien fertigen. Ein Fahrrad muss leicht sein, typischen Belastungen standhalten und sich zu Kosten unterhalb des Verkaufspreises fertigen lassen. Zwar lassen sich einige Teile aus alternativen Materialien fertigen, namentlich Rahmen und andere Teile aus kohlenstofffaserverstärktem Kunststoff, aber zu deutlich höheren Kosten und mit weiteren Nachteilen. Ein Fahrrad nur zum Diebstahlschutz  aus alternativen Materialien zu fertigen, kommt deswegen nicht in Frage.

Massenhafte Individualmanipulation ist viel zu teuer

Der aktuelle Skandal um Facebook und Cambridge Analytica ist gar nicht so neu. Die Geschichte von der psychometrischen Wahlkampfbeeinflussung geistert schon länger durch die Medien. Ganz knapp lautet die Erzählung: Jemand verwendet Daten aus Quellen wie Facebook, um Persönlichkeitsprofile von Wählern zu erstellen, und nutzt diese Profile zur gezielten Beeinflussung.

Das ist eine wunderbare Gruselgeschichte, aber nicht besonders plausibel. Zweifel an der Effektivität wurden bereits vor einem Jahr laut und auch im Zuge der aktuellen Diskussion sieht so mancher mit Ahnung mehr Angeberei als reale Fähigkeiten. Zu recht, denn die Geschichte von der Manipulation durch Persönlichkeitsprofile passt besser zu naiven Vorstellungen als zum real existierenden Internet. Sie ergibt ökonomisch keinen Sinn.

Individuen wählen bereits ohne Nachhilfe aus den verfügbaren Informationen diejenigen aus, die zu ihrem Weltbild passen. Bestätigungsfehler nennt man das – wir richten unsere Überzeugungen nicht nach rational abgewogenen Argumenten, sondern wir legen uns zu unseren Überzeugungen die passenden Argumente zurecht und ignorieren, was ihnen widerspricht. Diesen Effekt könnt Ihr beispielsweise in jeder Diskussion über Fahrradhelme beobachten, wo nie jemand seine Ansichten ändert. Das ist natürlich in dieser Form etwas übertrieben, denn nicht alle Ansichten sind fest gefügt und etwas Spielraum für erfolgreiche Überzeugungsarbeit bleibt.

Wenn sich jeder zu seinem Weltbild die bestätigenden Inputs sucht und inkompatible Aussagen verwirft, gibt es keinen Grund, Kampagnen aufwändig an individuelle Ansichten und Vorlieben anzupassen. Man kann einfach alle mit allen Botschaften in allen möglichen Versionen zuschütten, selbst wenn man eigentlich nur auf ein paar Zweifler und Wankelmütige zielt. Nichts anderes geschieht in einem klassischen Wahlkampf oder auch bei herkömmlicher Werbung.

Dass man dennoch bei jeder Werbung, ob politisch oder nicht, eine Optimierung durch Targeting versucht, hat vor allem einen ökonomischen Hintergrund. Ein Werbekontakt, der von vornherein ohne Erfolgschance beibt, weil das Ziel am Inhalt kein Interesse hat, ist rausgeworfenes Geld. Man wird deshalb versuchen, absehbar überflüssige Werbekontakte zu vermeiden.

Bei einem Plakat am Straßenrand geht das nicht. In den herkömmlichen Medien kann man sich an der Demografie der Konsumentinnen orientieren und seine politische Werbung wahlweise in der FAZ, der taz, dem Neuen Deutschland oder dem Bayernkurier schalten und damit grob verschiedene Zielgruppen ansprechen. Außerhalb der Politik tun Zeitschriftenverlage nichts anderes als zielgruppenspezifische Werberahmenprogramme zu gestalten, etwa Computermagazine für Anfänger, Fortgeschrittene und Profis, Automagazine, Sportzeitschriften (getrennt nach Sportarten) und so weiter.

Absehbar überflüssig ist statistisch gesehen alle Werbung – die Reaktionsraten bleiben, Optimierung hin oder her, verschwindend gering. Das dürfte ähnlich auch für Beeinflussungsversuche gelten, die im Gewand von Nachrichten oder Gerüchten daherkommen (Test: Wer von Euch ist so leichtgläubig, dass er sich von plumpen Fake News beeinflussen ließe?). Weiter optimieren als mit einer groben Zielgruppensegmentierung lässt sich herkömmliche Werbung jedoch kaum, ohne dass der Aufwand zu groß würde.

Das Internet erlaubt in dieser Situation einen neuen Optimierungsansatz. Man kann hier mit geringen Kosten nahezu alle ansprechen – und aus den Reaktionen in Form von Klicks ersehen, wer für welche Ansprache anfällig ist. Cormac Herley hat sich unter dem Gesichtspunkt der IT-Sicherheit mit solchen Ansätzen beschäftigt und unter anderem dieses Paper veröffentlicht: „Why do Nigerian Scammers Say They are from Nigeria?“. Darin beschreibt er am Beispiel der Betrugsmasche der Nigeria Connection genau diesen interaktiven Ansatz. Die Betrüger streuen breit ihre absurde Geschichte von herrenlosen Millionen, die man außer Landes bringen wolle, und beschäftigen sich dann einzeln mit den wenigen Trotteln, die blöd genug sind, darauf einzugehen.

Der Schlüssel zum Erfolg ist hier die Interaktion. Man durchleuchtet nicht ganz viele Menschen, um dann auf die passende Weise mit ihnen zu reden, sondern man versucht es bei allen und lernt aus den Reaktionen.

Mit einer ähnlichen Methode kann man Werbung gezielter verbreiten und ihre Erfolgsraten – im Rahmen der bescheidenen Möglichkeiten – optimieren. Dazu misst man, welche Werbung in welchem Kontext (Website, Inhalt, Nutzergruppe, Uhrzeit usw.) wie oft angeklickt wird, und optimiert die Auswahlkriterien anhand dieser Daten. Werbenetze tun so etwas, optimieren aber nicht stur die Klickrate, sondern ihre daraus resultierenden Einnahmen.

Dabei müssen sie gar nicht besonders persönlich werden. Im Gegenteil, über einzelne Nutzer erfährt man auch aus all ihren Facebook-Daten zu wenig, um individuelle Voraussagen über so ungewisses Verhalten wie die Reaktion auf eine Werbung oder Nachricht vorhersagen zu können. Hingegen erfährt man aus der wiederholten Einblendung einer Anzeige in verschiedenen Situationen nach und nach, unter welchen Umständen diese Anzeige häufiger oder weniger häufig Reaktionen hervorruft.

Ökonomisch nicht plausibel ist demgegenüber die Vorstellung, man könne ohne weiteres zwei Elemente kombinieren: die Skalierbarkeit einer Massenansprache mit sehr geringen Kosten pro Einzelfall und die individuelle Beeinflussung nach ausgefeilten Kriterien. Unabhängig davon, welche Daten ein Laden wie Cambridge Analytica über Menschen hat, kann er nicht zu geringen Kosten Millionen individuell zugeschnittener Botschaften entwerfen. Andererseits braucht man die ganze schöne Psychometrie überhaupt nicht, wo man Reaktionen messen und sie statistisch mit vielfältigen Parametern in Beziehung setzen kann. Deswegen ist die Erzählung von der massenhaften individualisierten Manipulation ökonomischer Blödsinn.

Beschränkter Horizont

Die Forderung nach Ende-zu-Ende-Sicherheit für das besondere elektronische Anwaltspostfach (beA) und andere Dienste geht auf missverstandene Anforderungen und eine eingeschränkte Sicht auf den Lösungsraum zurück. Die missverstandene Anforderung liegt in der Vorstellung, der rechtlicher Schutz der Kommunikation verlange nach technischen Garantien. Die eingeschränkte Sicht auf den Lösungsraum berücksichtigt nur ausgewählte technische Mechanismen, deren Wirkung sie überschätzt, und lässt andere Aspekte des Risikomanagements außer Acht.

✹✹✹

Die Befürworter der Ende-zu-Ende-Verschlüsselung argumentieren, der Schriftverkehr von Rechtsanwältinnen sei besonders sensibel und man müsse ihn deshalb technisch besonders gut vor unbefugter Kenntnisnahme schützen. Die besondere Sensibilität mag man annehmen, wenngleich das beA nicht der Kommunikation zwischen Anwältinnen und ihren Mandantinnen dient, sondern dem Schriftwechsel zwischen Anwältinnen und Gerichten sowie der Anwältinnen untereinander. Jedoch steht die Telekommunikation ganz allgemein unter rechtlichem Schutz durch das Telekommunikationsgeheimnis. Selbst wer sie abhören könnte, darf dies nicht und wird andernfalls verfolgt und bestraft.

Ein wirksamer rechtlicher Schutz macht kann technische Maßnahmen überflüssig machen. Umgekehrt sind individuelle Schutzmaßnahmen dort nötig, wo keine Hilfe zu erwarten ist. Im Alltag verstehen wir das auch und verzichten zum Beispiel meist darauf, unsere leicht verwundbaren Körper besonders gegen Angriffe zu schützen. Wir wissen, dass die Wahrscheinlichkeit eines körperlichen Angriffs gering ist, denn dafür sorgen Polizei und Justiz. Anders verhalten sich etwa Menschen in Kriegsgebieten, die mit solchem Schutz nicht rechnen können.Im Spektrum zwischen diesen Extremen gibt es Mischlösungen, deren Schwerpunkt auf der einen oder anderen Seite liegt. Das Ziel ist letztlich ein akzeptables Restrisiko, ganz gleich mit welchen Mitteln es erreicht wird.

Die Motivation für technische IT-Sicherheit entspringt der eingeschränkten Möglichkeit zur Strafverfolgung im Netz. Zwar gelten Gesetze auch online, doch können sich Täter leichter verstecken und selbst bekannte Täter entgehen der Verfolgung, wenn sie im Ausland sitzen. Ganz ohne Sicherheitstechnik wird ein Anwaltspostfach also nicht auskommen. Allerdings muss man sich sowohl den Schutzbedarf als auch die Sicherheitsstrategie genauer anschauen.

Interessanterweise haben Juristen in dieser Hinsicht realistischere Vorstellungen als Hacker, die perfekte Sicherheit fordern. Juristen gehen ganz selbstverständlich davon aus, dass man Sicherheitsanforderungen nicht überspitzen darf. Das Schutzniveau soll dem alternativer Kommunikationsmittel wie Telefax und Briefpost entsprechen. Auf ein theoretisches Ideal kommt es nicht an. Aus rechtlicher Sicht interessant sind dann rechtliche Implikationen, die sich beispielsweise aus der zeitversetzten Kommunikation ergeben.

Ende-zu-Ende-Verschlüsselung erfüllt keine reale Sicherheitsanforderung, sondern sie strebt ein technisch motiviertes theoretisches Ideal an. Wie ich im vorigen Beitrag erläutert habe, ist dieses theoretische Ideal im realen System kaum zu erreichen. Das ist jedoch kein Problem, da sich die realen Sicherheitsanforderungen am Sicherheitsniveau realer Kommunikationsmittel wie Post, Fax und Telefon orientieren.

✹✹✹

Den Lösungsraum verengt die Forderung nach Ende-zu-Ende-Sicherheit auf scheinbar ideale kryptografische Ansätze. Diese Ansätze sind jedoch nicht nur nicht sinnvoll, wenn man – im Gegensatz zur Gesundheits-Telematik – in endlicher Zeit ein funktionsfähiges System bauen möchte. Es gibt auch Alternativen und Aspekte, von denen die Fokussierung auf das theoretische Ideal ablenkt.

Die Befürworter der kryptografischen Ende-zu-Ende-Sicherheit kritisieren die Umschlüsselung von Nachrichten in einem Hardware-Sicherheitsmodul (HSM). Bei der Umschlüsselung wird eine Nachricht ent- und mit einem anderen Schlüssel verschlüsselt. Auf diese Weise lassen sich die Zugriffsrechte auf der Empfängerseite von der ursprünglichen Verschlüsselung auf der Absenderseite entkoppeln. So kann man Beispielsweise Vertretern Zugriff auf Nachrichten geben, die bereits vor Beginn der Vertretung vom Absender verschlüsselt wurden.

Dies schaffe einen Single Point of Failure, der das ganze System „extrem verwundbar“ mache, argumentieren die Kritiker. Das ist insofern richtig, als ein erfolgreicher Angriff auf die entsprechende Systemkomponente, ein Hardware-Sicherheitsmodul (HSM), tatsächlich sämtliche Kommunikation beträfe. Solche Angriffspunkte gäbe es freilich auch bei einer Ende-zu-Ende-Lösung noch. Alle Kommunikation ausspähen könnte beispielsweise, wer den beA-Nutzerinnen eine manipulierte Version der Software unterjubelt oder wer in die Produktion der zur Nutzung erforderlichen Smartcards eingreift.

Die damit verbundenen Restrisiken nehmen wir jedoch notgedrungen in Kauf und ergreifen Maßnahmen, um sie zu klein zu halten. So wird man beispielsweise die Smartcard-Produktion durch Zugangskontrollen und Überwachung so gut wie eben praktikabel vor unbefugten Eingriffen schützen. Nichts spricht grundsätzlich dagegen, dies auch für die Umschlüsselung zu tun – deswegen unter anderem das Sicherheitsmodul. Die Fokussierung auf das vermeintliche Allheilmittel Ende-zu-Ende-Verschlüsselung verstellt jedoch den Blick auf solche Maßnahmen, die zum Risikomanagement beitragen.

Falls wir in einem Single Point of Failure ein grundsätzliches Problem sähen und die damit verbundenen Risiken für nicht beherrschbar hielten, müssten wir jedoch nach ganz anderen Wegen Ausschau halten. Wir müssten dann nämlich nach einer organisatorischen und technischen Architektur suchen, welche die Auswirkungen eines einzelnen erfolgreichen Angriffs auf einen Teil des Systems, der Nutzer und der Inhalte begrenzt und verlässlich dafür sorgt, dass der Aufwand für erfolgreiche Angriffe proportional zu ihren Auswirkungen wächst.

Solche Ansätze hätten erst einmal überhaupt nichts mit Kryptografie zu tun, sondern mit Organisationsprinzipien. Man könnte beispielsweise ein Ökosystem verschiedener unabhängiger Lösungen und Anbieter schaffen und die Haftung angemessen regeln.  Angriffe auf einen Anbieter beträfen dann nur dessen Nutzer. Mit DE-Mail gibt es sogar bereits ein solches Ökosystem, welches weitgehend brachliegt und sich nach Anwendungen sehnt.

Auf solche Fragen und Ansätze – deren Nutzen und Notwendigkeit allerdings erst nach einer gründlichen Bedrohungs- und Risikoanalyse klar wird – kommt man gar nicht erst, wenn man eine Abkürzung nimmt und blind die Anwendung bestimmter technischer Entwurfsmuster fordert.

Von der Datentransaktion zur Datenemission

Datenschutz ist regelmäßig ein Thema in diesem Blog, denn seine Schutzziele und Mechanismen überschneiden sich mit denen der IT-Sicherheit oder stehen mit ihnen in Wechselwirkung. Datenschutz ist auch regelmäßig der Gegenstand öffentlicher Debatten. Das ist einerseits verständlich, denn wir sind heute überall von vernetzter IT umgeben. Andererseits verlaufen solche Debatten oft bizarr, weil der Datenschutz politisch instrumentalisiert und mit sachfremden Aspekten vermischt wird. Dabei ist die Frage für sich und ohne Ballast schon schwer genug: Was soll, was kann, was bedeutet Datenschutz heute und in Zukunft?

Mit einem Aspekt dieser Frage habe ich mich zusammen mit Jürgen Geuter und Andreas Poller in einem Beitrag zur Konferenz Die Zukunft der informationellen Selbstbestimmung des Forums Privatheit Ende 2015 beschäftigt, der jetzt endlich im Konferenzband erschienen ist. Wir beschäftigen uns darin mit der Frage, wie sich die Paradigmen der Informationstechnologie seit der Entstehungszeit des deutschen Datenschutzrechts verändert haben und unter welchen Bedingungen Persönlichkeitsrechte im Zusammenhang mit der Datenverarbeitung heute geschützt werden sollen.

Der Datenschutz hat seine Wurzeln in den 1970er und 1980er Jahren. Das vorherrschende Verarbeitungsparadigma der EDV, wie man die IT damals nannte, war das der Datenbank. Darauf sind die Regeln des BDSG erkennbar zugeschnitten; sie geben der Datenerfassung und -verarbeitung ein Gerüst aus expliziten Transaktionen zwischen Betroffenen und verarbeitenden Stellen, mit denen die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen.

Heute prägen andere Paradigmen die Informationstechnik: die allgegenwärtige Vernetzung, die eine detaillierte Kontrolle durch explizite Transaktionen unpraktikabel macht, und das maschinelle Lernen, welches das Verständnis der Verarbeitungsvorgänge und die Einflussnahme darauf erschwert. Die Vorstellung einer expliziten Datenerhebung nebst informierter Einwilligung passt deshalb nicht mehr zur Technik und ihren vielfältigen Anwendungen.

Wir haben die neuen Bedingungen in eine Emissionsmetapher gepackt: Jeder von uns sendet fortlaufend Daten aus, die sich im Netz verbreiten und dort von verschiedenen Akteuren aufgefangen und verarbeitet werden, vergleichbar der Art und Weise, wie sich Licht von einer Lichtquelle im Raum ausbreitet. Das schließt Eingriffe nicht aus, aber sie müssen auf diese Verhältnisse zugeschnitten sein. Eine umfassende Lösung dafür können wir nicht präsentieren, aber wir diskutieren einige Ansätze.

Der ganze Beitrag:

Sven Türpe; Jürgen Geuter; Andreas Poller: Emission statt Transaktion: Weshalb das klassische Datenschutzparadigma nicht mehr funktioniert. In: Friedewald, M.; Roßnagel, A.; Lamla, J. (Hrsg.) (2017): Informationelle Selbstbestimmung im digitalen Wandel. Wiesbaden: Springer Vieweg DOI: 10.1007/978-3-658-17662-4_14, © Springer.

What the Cypherpunks Got Wrong

Cypherpunk ideas have a long legacy and continue to influence how we are discussion matters of security and privacy, particularly in the relationship between citizens and governments. In a nutshell, cypherpunks posit that we can and should keep government intervention minimal by force-protecting our privacy by means of encryption.

Let us begin with what they got right:

“For privacy to be widespread it must be part of a social contract.”

 (Eric Hughes: A Cypherpunk’s Manifesto)

Social contracts are the basis of every society; they define a society and are represented in its formal and informal norms. Privacy is indeed a matter of social contract as it concerns very fundamental question of what the members of a society should know about each other, how they should they should learn it, and how they may or may not use what they know about others.

Privacy is not merely a matter of hiding information so that it cannot be found. The absence of expected features or utterances carries information, too. Some societies, for example, expect their members to actively demonstrate their allegiance. Members of such a society cannot merely hide what they think, they also have to perform their role as expected if they have no desire to become a leper.

What the cypherpunks got entirely wrong was their conception of social contracts and the hope that cryptography could be the foundation upon which they, the cypherpunks, would build their own. Cypherpunks believe that cryptography would allow them to define their own social contract on top of or next to the existing ones. This has not worked and it cannot work. On the one hand, this is not how social contracts work. They are a dimension of a society’s culture that evolves, for better or worse, with this society.

On the other hand, cryptography–or security technology in general–does not change power relationships as much as cypherpunks hope it would. Governments are by definition institutions of power: “Government is the means by which state policy is enforced.” Cypherpunks believe that cryptography and other means of keeping data private would limit the power of their governments and lay it into the cypherpunks‘ hands. However, the most fundamental power that any working government has is the power to detain members of the society it is governing.

In an echo of cypherpunk thinking, some people react to an increased interest of the U.S. Customs and Border Protection (CBP) in travelers‘ mobile devices with the suggestion to leave those devices at home while traveling. After all, the CBP cannot force you to surrender what you do not have on you, so the reasoning. This thinking has, however, several flaws.

First, from a security point of view, leaving your phone at home means to leave it just as unattended as it would be in the hands of a CBP agent. If the government really wants your data, nothing better could happen to them than getting access to your phone while you are not even in the country.

Second, the government is interested in phones for a reason. Cryptography and other security mechanisms do not solve security problems, they only transform them. Cryptography in particular transforms the problem of securing data into a problem of securing keys. The use of technology has evolved in many societies to the point where our phones have become our keys to almost everything we do and own online; they have become our primary window into the cloud. This makes phones and the data on them valuable in every respect, for those trying to exert power as well as for ourselves. You lose this value if you refrain from using your phone. Although it seems easy to just leave your phone at home, the hidden cost of it is hefty. Advice suggesting that you do so is therefore not very practical.

Third, this is not about you (or if it is, see #1 above). Everyone is using mobile phones and cloud services because of their tremendous value. Any government interested in private information will adapt its approach to collecting this information to the ways people usually behave. You can indeed gain an advantage sometimes by just being different, by not behaving as everyone else would. This can work for you, particularly if the government’s interest in your affairs is only a general one and they spend only average effort on you. However, this same strategy will not work for everyone as everyone cannot be different. If everyone left their phones at home, your government would find a different way of collecting information.

By ignoring a bit of context, cypherpunks manage to arrive at wrong conclusions from right axioms:

“We cannot expect governments, corporations, or other large, faceless organizations to grant us privacy out of their beneficence.”

“We must defend our own privacy if we expect to have any.”

(Eric Hughes: A Cypherpunk’s Manifesto)

This is true, but incomplete. Power must be contained at its source (and containment failures are a real possibility). Cryptography and other security technology does not do that. Cryptography can perhaps help you evade power under certain circumstances, but it will by no means reverse power relationships. What you really need is a social contract that guarantees your freedom ad dignity.

 

(Expanded version of a G+ comment)

 

Re: Offener Brief zu DNA-Analysen in der Forensik

Mahnungen vor dräuenden Gefahren verkaufen sich immer, sind doch vorhergesagte Probleme nie auszuschließen, ohne dass man ein Risiko eingeht und etwas ausprobiert. So lässt sich beliebig lange spekulieren, was alles passieren könnte, wenn man täte, was man wegen der Risiken besser bleiben ließe. Als neuester Gegenstand solcher „kritischen“ Betrachtungen bietet sich die Forderung nach einer Ausweitung der zulässigen DNA-Analysen in der Polizeiarbeit an. Folgerichtig haben Sozialwissenschaftler einen Offenen Brief zu DNA-Analysen in der Forensik verfasst der zur Vorsicht mahnt und seine Autorinnen als unverzichtbare Expertinnen anbietet. Der Tenor: Erweiterte DNA-Analysen seien viel zu kompliziert als dass man einfache Polizisten unbegleitet mit ihren Ergebnissen arbeiten lassen dürfe. Am Ende steht wenig mehr als die Schlussfolgerung, dass es zu Fehlern kommen könne. Dies jedoch ist eine banale Aussage: Fehler sind in der Polizeiarbeit Alltag und das System aus Gesetzgebung, Polizei und Justiz kann damit gut umgehen. Selbstverständlich muss man die Auswirkungen neuer Methoden betrachten, aber zur Panik gibt es keinen Anlass. Unser Rechtsstaat irrt sich recht zuverlässig zugunsten der Verdächtigen und die Forensiker wissen selbst ganz gut, wo die Grenzen der verschiedenen Analyseverfahren liegen. Unschätzbare Risiken können wir jeder Technik unterstellen, das hilft nur niemandem.

 

Lernmaschine

Vor vier Jahren schrieb ich Datenkrake Google, weil ich die landläufige Vorstellung von Google als einer großen Datenbank für unpassend hielt. In Wirklichkeit, so meine These, sei maschinelles Lernen der Kern von Google. Inzwischen gibt es daran nicht mehr viel zu zweifeln. Google hat mit AlphaGo Aufsehen erregt, einer KI, die menschliche Go-Meister schlägt. Mit Tensor Flow stellt Google eine KI-Bibliothek als Open Source bereit. Vor zwei Wochen wurde bekannt, dass man sogar spezielle Hardware für Deep-Learning-Anwendungen entwickelt hat: Tensor-Prozessoren, auf denen AlphaGo seine Berechnungen ausführte. Dazu passend hat Google gerade das Startup Nervana übernommen, das ebenfalls optimierte Hardwarearchitekturen für das maschinelle Lernen entwickelt hat.

Das kann in diesem Tempo noch eine Weile weitergehen. Halten unsere Debatten mit der Entwicklung Schritt?