Archiv der Kategorie: Datenschutz

Dialektik des Datenschutzes

Bereits das bloße Gefühl, beobachtet zu werden, könne Unwohlsein verursachen und Menschen dazu bringen, ihr Verhalten zu ändern, argumentieren Datenschutzaktivisten gerne. Selbst der bloße Anschein einer Beobachtung sei daher problematisch.

Dieselben Aktivisten finden es völlig in Ordnung, wenn nicht gar erforderlich, mit riesigen Schildern auf Videokameras zur Beobachtung des öffentlichen Raumes hinzuweisen, auf dass auch niemand den gebückten Gang vergesse. Passt das zusammen?

***

Wenn von Überwachungs- und Repressionstechnologie die Rede ist, denken wir an Videokameras, an künstliche Intelligenz, an Drohnen und so weiter. Auch Maßnahmen dagegen verhandeln wir oft in Gestalt technischer oder organisatorischer Bausteine wie Anonymisierung, Verschlüsselung und so weiter.

In den chinesischen Healthcode-Systemen, die zur Bekämpfung der jüngsten Corona-Pandemie aufgebaut wurden, spielen QR-Codes eine wichtige Rolle. QR-Codes als technischen Baustein werden jedoch praktisch nie thematisiert, wenn es um Datenschutz oder die Auswirkungen neuer Technik auf unsere Freiheit geht. Warum nicht?

***

Videokonferenzen werden von Datenschützern kritisch beäugt. Wer nicht davon lassen kann, muss allerlei Datenschutzvorschriften beachten. Auf klassische Weise telefonieren darf man einfach so. Woran liegt das und wäre es auch so, hätte man den Datenschutz vor dem Telefon erfunden und nicht umgekehrt?

***

Silicon-Valley-Konzerne gelten hierzulande traditionell als „Datenkraken,“ als von „Datensammelwut“ befallene Halbverbrecher. (Obendrein bildeten sie Monopole und würden zu mächtig, heißt es, aber das ist kein Datenschutz-Thema.) Dagegen, dass Apple und Google als Plattformbetreiber das Herzstück der Corona-Warn-App bereitstellen, regt sich jedoch kein Widerspruch. Ebenso wenig dagegen, dass an ihrer Lösung kaum ein vernünftiger Weg vorbeiführt. Sind sie doch nicht so böse, wie immer wieder behauptet wurde, oder haben wir den Kampf verloren?

***

Der Datenschutz verdankt seine Entstehung dem Aufkommen des Computers. Heute widmen sich Datenschützer mit Hingabe auch mit Formen der Datenverarbeitung, die damals längst normal waren, wie der Fotografie oder der Erfassung von Kontaktdaten mit handgeschriebenen Formularen und Listen. Gehen sie sich damit nicht manchmal selbst auf den Wecker?

***

Die Wichtigkeit des Datenschutzes wird in Deutschland und Europa gerne mit dem Holocaust begründet, den die Erfassung persönlicher Daten erleichtert, wenn nicht gar ermöglicht habe. Datenschutz diene nicht zuletzt dazu, eine Wiederholung zu verhindern.

Man könnte ganz ähnlich über die Bedeutung von Landkarten im Zweiten Weltkrieg reden, ihre Schlüsselfunktion in der Zerstörung von Warschau, Stalingrad, Coventry, Rotterdam und vieler anderer Städte und in der Kriegsführung generell. Dies tut jedoch niemand. Meinen wir das Argument ernst oder ist es nur vorgeschoben, um sich unangenehmen Diskussionen zu entziehen?

***

Wer als Datenschützer hartnäckig vor der Nutzung von WhatsApp warnt, ohne jemals dadurch verursachte Schäden nachweisen zu können, genießt gesellschaftliches Ansehen.

Wer als Bürger hartnäckig von den Gefahren des Mobilfunks raunt, ohne jemals dadurch verursachte Schäden nachweisen zu können, gilt als irrationaler Paranoiker und Verschwörungstheoretiker.

Gibt es dafür eine andere nachvollziehbare Erklärung als unterschiedliche Positionen der jeweiligen Sprecher in der gesellschaftlichen Machthierarchie?

***

Seit der EuGH das Abkommen „Privacy Shield“ zwischen der EU und den USA gekippt hat, ist die Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika nicht mehr ohne weiteres zulässig. Auf diese Weise werden die Rechte und Freiheiten der betroffenen Europäerinnen und Europäer geschützt.

Weiterhin keinen Einschränkungen unterliegt hingegen – abgesehen von vorübergehenden Regelngen aufgrund der COVID-19-Pandemie – der Export ganzer Personen ins Ausland durch Fluggesellschaften und Reiseveranstalter. Gefährdet die Übermittlung unserer Daten in die USA unsere Rechte und Freiheiten stärker als eine Reise dorthin?

***

Deutsche Datenschützer und europäische Politkommisarinnen preisen Datenschutz als Digitalisierungsmotor und Wettbewerbsvorteil an.

Datengetriebene Unternehmen wie Verisk, ein amerikanischer Anbieter von Risikomanagementlösungen insbesondere für Versicherungen, benennen neben dem Verlust des Datenzugangs verschärfte Datenschutzregulierung und die DSGVO als Geschäftsrisiken. Zugleich ist Irland mit seiner zahmen Datenschutzaufsicht ein beliebter Standort für die Europa-Niederlassungen von Internetunternehmen.

***

In Restaurants werden zurzeit Kontaktdaten der Besucher gesammelt, um die Kontaktverfolgung im Fall von Coronavirus-Infektionen zu erleichtern. Wenn die Daten schon einmal da sind, werden sie manchmal auch von der Polizei für Ermittlungen genutzt. Das ist wahrscheinlich legal.

Datenschützer protestieren. Sie protestieren jedoch nicht gegen diese – gesellschaftlich akzeptierte – Vorratsdatenspeicherung, sondern gegen die Nutzung der gespeicherten Daten durch die Polizei: Solche zusätzlichen Datennutzungen aus vergleichsweise nichtigen Anlässen schade der anscheinend sehr wertvollen Vorratsdatenspeicherung und untergrabe das Vertrauen der Bürgerinnen und Bürger in sie.

***

Gesundheitsämter in Baden-Württemberg dürfen im Rahmen der Kontaktverfolgung bei Coronavirus-Infektionen keine unverschlüsselten E-Mails an Kontaktpersonen schicken, es sei denn, ihnen liegt eine ausdrückliche Einwilligung vor. Eine Infrastruktur, über die Ämter mit allen Bürgerinnen und Bürgern verschlüsselt kommunizieren könnten, liegt nur theoretisch in Form des selten genutzten Dienstes De-Mail vor, so dass die Verwendung von E-Mail in diesem Zusammenhang praktisch ausgeschlossen ist.

Unverschlüsselte E-Mail ist bis heute die Regel, weil fast niemand ein Sicherheitsproblem hat, das sich durch E-Mail-Verschlüsselung adäquat und zu einem angemessenen Preis lösen ließe. Fast niemand hat also das Problem, das der Datenschutz hier zu lösen versucht.

***

Gesichtserkennung ist schlimmer als Rachepornos. Weil sie Begehrlichkeiten wecke.

CoronApp-News (2020-07-19)

Neue Regierungen bekommen hundert Tage Zeit, neue Apps nur vier Wochen:

  • Einen Monat nach ihrem Start zieht das RKI eine positive Zwischenbilanz und meldet knapp 16 Millionen Downloads. Wie viele Menschen die App tatsächlich benutzen, bleibt unklar. Etwa 500 positiv Getestete hatten bisher die Möglichkeit, eine Warnung ihrer Kontakte auszulösen. Wie viele Warnungen an wie viele Kontaktpersonen tatsächlich verschickt wurden, weiß man jedoch nicht.
  • Die Entwicklungsarbeit an der Corona-Warn-App geht weiter. Neben Fehlern und den zugangsbeschränkenden Systemanforderungen der App – neben alten Smartphones bereitet auch das neueste iOS 14 Probleme – bleibt die Anbindung der Testlabore kritisch. Als Folge davon wurde noch kein einziger Corona-Test auf dem eigentlich vorgesehenen Weg per QR-Code in der App registriert. Die alternativen Meldewege führen zu Verzögerungen.
  • Zweifel gibt es weiter an der Verlässlichkeit der Bluetooth-Entfernungsmessung, die in die Risikobewertung von Kontakten einfließt. Auch funktionale Fragen tauchen immer wieder auf.
  • Auf sich warten lässt die EU-weite Integration der nationalen Warn-Apps. Auf der Smartphone- und Bluetooth-Seite gibt es wenig Integratioshindernisse zwischen jenen Apps, die ich auf das Exposure Notification Framework von Apple und Google stützen, doch die Vernetzung der Backends braucht offenbar etwas länger.
  • Langsam dämmert auch den Letzten, dass sich die Bundesregierung im April nicht so sehr für eine datenschutzfreundliche dezentrale Architektur entschieden hat, sondern tatsächlich wohl vor allem für das Framework von Apple und Google. Pragmatisch war das unter den gegebenen Umständen nahezu alternativlos, aber es handelt sich eben nicht um eine freie, souveräne Architekturentscheidung.
  • Zu guter Letzt bleibt jenseits der Coron-Warn-App das Thema Kontaktdatenerfassung in Restaurants etc. auf der Tagesordnung. Einige sind überrascht davon, dass in einigen Fällen die Polizei die gesammelten Daten für Ermittlungen nutzt, aber das ist wahrscheinlich erlaubt. Auf eine Erweiterung der Corona-Warn-App zur Erfassung solcher Besuche warten wir hingegen vergebens, ebenso auf einen flächendeckenden digitalen Ersatz für manuell ausgefüllte Formulare.

Bis nächstes Wochenende.

CoronApp-News (2020-07-12)

Eigentlich könnten wir uns in Sachen Corona-App zurücklehnen und abwarten, aber die Debatten gehen weiter:

Voraussichtlich wird es auch nächste Woche wieder Neues zu melden geben.

CoronApp-News (2020-06-21)

Habemus Appam! Vielleicht genau zur rechten Zeit, denn die Fallzahlen steigen wieder.

Wie angekündigt ist die Corona-Warn-App seit Dienstag verfügbar und wurde nach Angaben des RKI bis gestern mehr als zehn Millionen Mal heruntergeladen. Falls sie danach auch von allen aktiviert wurde, entspricht das einem Verbreitungsgrad von 13%, womit jeder 65. zufällige Kontakt erkannt werden könnte. Den Datenverkehr der App wollen die Mobilfunk-Provider kostenlos spendieren. Wie man die App aktiviert und benutzt, erklärt unter anderem Heise Online. Eine Datenschutzfolgenabschätzung wurde kurz vor der App selbst veröffentlicht.

Die Bundesregierung ist stolz wie Oskar, weil die Entwicklung seit der Entscheidung für Apple, Google, SAP und Telekom ziemlich gut funktioniert hat, und das Projekt wird auch von anderen gelobt. Jedoch verstummt die Kritik nicht ganz. Der Verein Digitalcourage hält die App für ein Plazebo mit Nebenwirkungen, das Twitter-Echo darauf fiel jedoch eher negativ aus. Der Chef des VZBV empfiehlt die App, warnt jedoch noch einmal vor App-gestützten Einlasskontrollen. Diese Befürchtung wurde zum Release vielfach geäußert, hat sich bislang jedoch offenbar kaum bewahrheitet. Alvar Penning, Jonas Höchst und Bernd Freisleben kritisieren die relative Offenheit der Entwicklung als halbseiden, da ein wichtiges Teilsystem von Apple und Google bereitgestellt werde und eben nicht offen sei. So ganz Made in Germany ist die App eben doch nicht und anderswo fühlt man sich gar von Apple und Google bevormundet.

Wie sehr wir uns vor der Corona-Warn-App fürchten und warum, untersucht der Der Lehrstuhl Sozialpsychologie: Medien und Kommunikation der Universität Duisburg-Essen mit einer Umfrage.

Die App-Entwicklung ging manchen zu langsam und verlief anfangs holprig, wenn nicht gar als Drama mit entgleister Debattenkultur. Im Vergleich zu anderen öffentlichen IT-Projekten erscheint der Weg zu App dennoch recht reibunglos. Allerdings blieb sich auch die Komplexität vergleichsweise gering, nachdem die Smartphone-Plattformen den Lösungsweg und zentrale Komponenten vorgegeben hatten.

Einige Probleme gibt es dennoch. So klagen die Gesundheitsämter seit dem Start der App über unzählige Anrufe verwirrter Nutzerinnen und Nutzer. Auch im Hintergrund läuft noch nicht alles rund, denn viele Testlabore und Gesundheitsämter müssen erst noch angebunden werden, um App-Nutzern direkt Testergebnisse übermitteln zu können. Hier macht sich der Digitalisierungsstau im Gesundheitswesen und in der Verwaltung bemerkbar.

Auch sonst ist die Entwicklung der Corona-Warn-App noch lange nicht abgeschlossen. Neben Meldungen über Fehler und Unzulänglichkeiten sammeln die Entwickler auch Ideen für weitere Funktionen und zeigen ihre – noch recht knappen – Pläne für künftige Verbesserungen. Auch die europaweite Integration der nationalen Lösungen steht noch aus und wird einige Schwierigkeiten mit sich bringen.

International steht Deutschland plötzlich als leuchtendes Beispiel da. Fast zeitgleich mit dem Start hierzulande musste Norwegen seine schon länger bereitstehende App Smittestopp wegen Datenschutzbedenken auf Eis legen. Amnesty International hielt die norwegische App für eine der gefährlichsten weltweit und stellte sie in eine Reihe mit denen aus Bahrain und Kuwait. Das brexitanische App-Projekt versinkt unterdessen im Chaos und verschiebt seinen Release-Termin auf den nächsten Winter. Nachdem eine von Apples und Googles Exposure Notification Framework unabhängige Lösung bereits im Testbetrieb war, setzt man nun doch auf die Plattform-Lösung und stuft zugleich die Priorität der App herab. Die französiche App StopCovid, die ebenfalls ohne das Framework auskommt, scheint eher ein Flop zu werden.

Zu guter Letzt hat der Chef eines mittelständischen Betriebs in Köln so viel Angst vor der App, dass er sie seinen Beschäftigten rundweg verbietet.

 

In der Doppelbotschaft verheddert

Wer WhatsApp oder Facebook nutze, könne bedenkenlos auch die Corona-Warn-App installieren, tönt es durchs Netz – das stimmt zwar vielleicht trotz der Bedenken um Einlasskontrollen, ist aber dennoch kein gutes Argument.

Einige Schlaumeier erklären uns gerade, wer WhatsApp et al. nutze, könne getrost auch die Corona-Warn-App installieren oder wer angesichts der Corona-Warn-App Überwachungsangst verspüre, müsse konsequenterweise auch auf WhatsApp et al. verzichten. Hier zum Beispiel:

und da und dort. Das ist nett gemeint, führt jedoch nicht weit, denn es handelt sich um eine widersprüchliche Doppelbotschaft. Ihre Adressaten sollen entweder die Harmlosigkeit der Corona-Warn-App anerkennen und dann auch WhatsApp benutzen dürfen, oder sie sollen die Gefährlichkeit von WhatsApp anerkennen und dann auf beide verzichten. Unausgesprochen, weil sie nicht so gut ins Argument passt, bleibt die Option, die Corona-Warn-App zu nutzen, WhatsApp jedoch nicht.

Wahrheitstabelle der Implikation WhatsApp → CWA

Formallogisch scheint zunächst alles in Ordnung. Es handelt sich um die Implikation: „wenn WhatsApp dann Corona-Warn-App“. Widersprüche tun sich erst beim Versuch auf, den so als falsch deklarierten Fall zu rechtfertigen, dass jemand WhatsApp nutzt, aber die Corona-Warn-App ablehnt. Das geht, aber man muss dazu diese Implikation zurückweisen. Mehrere Möglichkeiten bieten sich an.

Man könnte trotzig antworten, man wolle halt das eine und das andere nicht. Dabei stünde man immerhin mit beiden Beinen fest auf dem Boden der informationellen Selbstbestimmung, die genau diese Entscheidungsfreiheit gewährt und keine Begründung verlangt. Gehört man selbst nicht zur Gruppe derjenigen, die WhatsApp nutzen, aber die Corona-Warn-App ablehnen, könnte man auch mit der empirisch-statistischen Frage antworten, ob die angesprochene Gruppe überhaupt in einem nennenswerten Umfang existiere. Möglicherweise sind die meisten Aluhutträger tatsächlich so konsequent, auch einen anderen Messenger als WhatsApp einzusetzen, oder tragen ihren Aluhut erst, seit sie Telegram für sich entdeckt haben.

Man könnte auch analytisch antworten, die Verengung auf das Merkmal Datenschutz sei unangemessen, In Wirklichkeit handele es sich um eine mehrdimensionale Kosten-Nutzen- und Risiko-Nutzen-Abwägung, welche in diesem Fall so und in jenem anders ausfalle. Schließlich verspricht WhatsApp einen erheblichen persönlichen Vorteil, während der Nutzen der Corona-Warn-App vorwiegend als externer Effekt in der Gesellschaft eintritt.

Wer dezente Gemeinheit nicht scheut, kann zu guter Letzt auch sein Gegenüber im eigenen Argument einwickeln: Man habe jetzt jahrelang immer wieder die Gefahren von WhatsApp gepredigt, ohne dass viel passiert sein – wo solle nun die Glaubwürdigkeit herkommen, zumal man über die Corona-Warn-App auch noch das genaue Gegenteil  sage? Oder anders verpackt in Abwandlung des gestrigen Tagesthemen-Kommentars:

„Diejenigen, die die App kategorisch empfehlen, weil sie zu Recht keine Gefahren befürchten, sollten bitte auch mal kurz prüfen, ob sie WhatsApp oder Facebook ablehnen.“

Wendet das Gegenüber daraufhin ein, dies sei doch etwas völlig anderes, nickt man nur noch andächtig und sagt: „Genau.“ Wer mag, kann noch einen Treffer landen mit der Frage, wieso angesichts der Corona-Warn-App jetzt auf einmal die Gefahr und die (Un-)Zulässigkeit von Einlasskontrollen anhand der App diskutiert werde, während WhatsApp über ein Jahrzehnt nie jemanden auf diese Idee gebracht habe.

Nein, dass jemand WhatsApp nutzt, ist kein gutes Argument dafür, auch die Corona-Warn-App zu nutzen. Dass viele Menschen WhatsApp nutzen, ohne sich große Sorgen zu machen und wohl auch, ohne objektive Nachteile aufgrund mangelnden Datenschutzes zu erleiden oder zu verursachen, sollte uns hingegen Anlass sein, unser Verständnis und unsere Prioritäten nachzujustieren. WhatsApp und andere zeigen, dass Erfolg auch gegen die Kritik der Datenschützer möglich ist. Die Corona-Warn-App wird uns zeigen, wo die Grenzen mit dem Segen der Datenschützer liegen. Statt Populismus zu betreiben, sollten wir uns mehr mit den tatsächlichen, vieldimensionalen Erfolgsvoraussetzungen von Anwendungen beschäftigen und mit den Gestaltungsprozessen, die Anforderungen erkunden, abwägen und umsetzen.

CoronApp-News (2020-06-06)

Die Corona-App-Nachrichten der Woche:

Bis nächste Woche.

Nachtrag:

Datenschutz reicht nicht

Datenschutz gilt im Zusammenhang mit der Corona-Warn-App als überragend wichtig. Zugleich zeigt er jedoch gerade daran seine Grenzen.

Im engeren Sinn steht Datenschutz für Maßnahmen, die informationelle Selbstbestimmung ermöglichen. Mit einigen Ausnahmen soll jede selbst entscheiden dürfen, wer was über sie erfährt und zu welchen Zwecken ihre personenbezogenen Daten verwendet werden. Aus dieser klassischen Perspektive geht es vor allem um die Zugriffs- und Verwendungskontrolle von Daten. Der moderne europäische Datenschutz vertritt dagegen einen umfassenderen Anspruch und möchte allgemein Gefahren für die Rechte und Freiheiten natürlicher Personen durch die Datenverarbeitung abwehren. An Grenzen stößt er, wo nicht mehr das zentralisierte Sammeln und Auswerten von Daten die Auswirkungen des Technikeinsatzes bestimmt, Begriffe und Werkzeuge aber auf Daten fokussiert und damit der engen Sicht verhaftet bleiben.

Persönliche Geräte und ihre Anwendungen wie aktuell die Corona-Warn-App sind so ein Fall. Sie begleiten uns überallhin und interagieren mit uns, nicht nur reaktiv als benutzergesteuerte Geräte, sondern auch aktiv mit Nachrichten und Aufforderungen. Die Corona-Warn-App hat sogar ausdrücklich zum Ziel das Verhalten ihrer Benutzerinnen und Benutzer zu beeinflussen, denn diese sollen sich auf eine Nachricht der App hin in Quarantäne begeben. Eine auf den „Spion in der Tasche“ und mögliche Missbräuche zentraler Datensammlungen reduzierte Betrachtung wird den daraus resultierenden Fragen und Problemen nicht gerecht.

Der unnötigen zentralen Aufbewahrung personenbezogener Daten und dem Missbrauch zentral vorliegender Daten schieben die Corona-Warn-App und die zugrundeliegenden Plattformmechanismen von Apple und Google einen effektiven Riegel vor. Nur im Fall einer nachgewiesenen Infektion erhalten die zentralen Server überhaupt Informationen und dann nur über praktisch anonyme Kontakte der infizierten Person in einem begrenzten Zeitraum. Zur Massenüberwachung taugt das System daher kaum, weil dafür geeignete Daten gar nicht in ausreichendem Umfang anfallen.

Dieses Zugeständnis an den Datenschutz fällt leicht, denn das Wirkprinzip der Corona-Warn-App beruht eben nicht auf Überwachung, sondern auf gezielt übermittelten Verhaltensmaßregeln. Zu ihrer näheren Verwandtschaft gehören nicht Überwachungskameras, Datenbanken und die Rasterfahndung, sondern das Microtargeting der Online-Werbung und die Prompts, mit denen alle möglichen Apps um Aufmerksamkeit und Streicheleinheiten betteln. Aus dem Prinzip der teilautomatisierten Verhaltensbeeinflussung ergeben sich ungeklärte Fragen sowie Missbrauchsmöglichkeiten.

Ungeklärt bleibt bis heute, wie es für Kontaktpersonen nach einer Benachrichtigung weitergeht, wie etwa aus der Bitte um freiwillige Selbstisolation eine dafür nötige Arbeitsbefreiung wird und welche Konsequenzen es hat, wenn jemand in Kenntnis einer erhaltenen Warnung Kontakt mit anderen Menschen hat. Zugunsten der Freiwilligkeit mag man hinnehmen, dass Warnungen ignoriert werden, wenn der Selbstisolation Hindernisse im Weg stehen, zumal die herkömmliche Kontaktverfolgung parallel weitergeht. Folgenlos bleibt dies jedoch nicht, denn wenn die Warn-App den versprochenen Nutzen hat, führen ignorierte Warnungen zu vermeidbaren Ansteckungen, übrigens unabhängig davon, ob und wie die unnötig Angesteckten selbst die App nutzen. Von hier ist es nicht mehr weit zum Vorwurf der Körperverletzung, wenn jemand nach Erhalt und in Kenntnis einer Warnung Kontakte pflegt und dabei jemanden ansteckt. Vor der forensischen Untersuchung des betreffenden Smartphones schützt die Datensammelbremse des Systems dann wohl nicht mehr.

Gleichermaßen liege Missbrauchspotenziale im System selbst und nicht nur in seinen Daten. Bereits vielfach diskutiert und von einzelnen Politikern sogar befürwortet wurden dezentrale Kontrollen der App-Nutzung beispielsweise am Arbeitsplatz oder Supermarkteingang; das bekäme man mit der DSGVO vielleicht noch in den Griff. Aber auch die Kernfunktion – Kontakterfassung und Benachrichtigung – lässt sich zweckentfremden. Technisch gesehen erfasst die Corona-Warn-App gemeinsame Aufenthalte ihrer Benutzerinnen und Benutzer an einem Ort von einer gewissen Dauer. Dass es dabei um Ansteckungsrisiken mit dem Corona-Virus gehe, bleibt letztlich eine Konvention. Deren Einhaltung garantiert nicht das System selbst, sondern seine Anwendungsumgebung. Ohne große Umstände könnte man mit derselben technischen Infrastruktur all jene für zwei Wochen in Quarantäne bitten, die letzte Woche im Puff waren oder sich mit einem Datenschutzbeauftragten getroffen haben. Dass dies tatsächlich jemand versuchte und mehr noch, dass es ungestraft gelänge, halte ich in einem demokratischen Rechtsstaat für sehr unwahrscheinlich, aber dabei handelt es sich um externe Faktoren und nicht um inhärente Zwänge im System.

Was hier zu klären ist, reicht über den Horizont und Instrumente des klassischen Datenschutzes hinaus. Weder das allgemeine Datenschutzrecht noch der technische Datenschutz können alle Fragen, die eine Corona-Warn-App aufwirft, befriedigend beantworten. Ich schließe mich deshalb der verschiedentlich geäußerten Auffassung an, dass die Corona-Warn-App eine spezifische Rechtsgrundlage erfordert. Allgemeiner und auf lange Sicht stehen wir auch vor der Frage, nach welcher Regulierung zentral steuerbare, aber dezentral agierende Geräte- und Anwendungsökosysteme jenseits des Datenschutzes verlangen.

 

 

CoronApp-Links (2020-05-16)

Das Wetter ist zu schön, um das Wochenende vor dem Computer zu verbringen. Trotzdem hier eine Auswahl der Links rund um Corona-Apps und verwandte Themen, die sich während der vergangenen Woche angesammelt haben:

Bei so viel Text wünscht man sich fast eine Quarantäne, um genügend Zeit zum Lesen zu haben.

Geschichten erzählen

Das deutsche Corona-Warn-App-Projekt hat einen ersten Anforderungskatalog vorgelegt. Von den politischen Belastungen seiner Vorgeschichte kann es sich nicht lösen. Die Entwickler skizzieren ein Minimum Viable Product ausgehend von den bekannten willkürlichen Festlegungen. Auf eine ergebnisoffene Einbindung der Stakeholder in die Anforderungsanalyse warten wir weiter vergebens.

Für die deutsche Corona-Warn-App, die im Auftrag der Bundesregierung von SAP und der Telekom entwickelt wird, liegt jetzt ein erster Anforderungskatalog vor. Große Überraschungen finden sich darin nicht, die Entwickler bleiben in den politisch vorgezeichneten Bahnen. Das ist verständlich, aber schade, denn so unterbleibt weiter die Auseinandersetzung mit dem Anwendungskontext und den realen Bedürfnissen der Nutzer und Stakeholder. Dass die Anforderungen als User Stories formuliert sind, lässt die daraus resultierenden Defizite deutlich hervortreten.

Eine User Story beschreibt eine funktionale Anforderung an ein System in der Form: „Als <Rolle> möchte ich <Ziel/Wunsch>, um <Nutzen>“, oder ähnlich. Das Wie spielt zunächst keine Rolle. Als Informationsobjekte werden User Stories im Entwicklungsprozess zu verschiedenen Zwecken verwendet. Entwickler und Designer knüpfen daran ihre Entwurfsarbeit, das Produktmanagement kann damit in Abstimmung mit den Stakeholdern Ziele und Prioritäten festlegen und das agile Projektmanagement steuert mit Hilfe eines priorisierten Backlogs noch nicht umgesetzter User Stories die Entwicklungsarbeit.

Damit User Stories gut werden, muss man sich bei ihrer Formulierung ernsthaft mit seinen künftigen Nutzern auseinandersetzen, das heißt intensiv mit ihnen interagieren. Dazu gibt es eine Reihe von Methoden von Fragebögen über Interviews  und Workshops bis zu frühen Usability-Tests mit Papierprototypen. Ohne diese Interaktion läuft man Gefahr, spekulative Vorstellungen zu entwickeln, die sich später als falsch erweisen. In der echten agilen Entwicklung muss man allerdings nicht alles vorher klären, weil man den Nutzern regelmäßig neue Versionen einer Anwendung zur Verfügung stellt und sich dazu jeweils Feedback holt.

Die veröffentlichten User Stories für die Corona-Warn-App (in der Fassung vom 14. Mai 2020) zeigen drei Auffälligkeiten:

(1) Geringe Nutzerorientierung. Die Entwickler wandeln die Schablone ab zu: „Als <Stakeholder> möchte ich <Handlung durchführen>, um <gewünschtes Ergebnis zu erzielen>.“ Aus dem Ziel wird eine Handlung, aus dem Nutzen ein gewünschtes Ergebnis. Dieses subtil abgewandelte Format erleichtert es, aus der Luft gegriffene Gestaltungsideen den Stakeholdern gewissermaßen in den Mund zu legen, indem man sie als User Story ausgibt.

Das tun die Entwickler auch sogleich und formulieren zum Beispiel: „Als App-Nutzer möchte ich beim erstmaligem Applikationsstart über die Nutzungsbedingungen und Datenschutzbestimmungen (Data Protection Screen) informiert werden und meine Zustimmung geben, um über den Umgang mit meinen Daten innerhalb der Anwendung aufgeklärt zu sein.“ (E01.02) oder: „Als App-Nutzer möchte ich das Impressum der Applikation einsehen können, um zu sehen, wer für Entwicklung und Inhalte der Applikation verantwortlich ist.“ (E02.04). Das ist Käse, Datenschutz-Formalia und Impressum wollen nicht die Nutzer haben, sondern die Daten- und Verbraucherschützer. Nutzer freuen sich darüber so sehr wie über ein Cookie-Banner auf einer Website.

In diesem Stil geht es auch bei den Kernaufgaben der App weiter: „Als App-Nutzer möchte ich, dass bei Vorliegen meines positiven Testergebnisses nach meiner Zustimmung die pseudonymisierten IDs, unter denen ich an den vergangenen Tagen für andere App-Nutzer sichtbar war, an den Warn Server übermittelt werden, damit Kontaktpersonen durch ihre Apps gewarnt werden können.“ (E06.03), oder: „Als App-Nutzer möchte ich die Möglichkeit zur Eingabe einer TAN innerhalb der App haben, damit ich die mir telefonisch mitgeteilte TAN zur Zuordnung meines Testergebnisses zu der von mir genutzten Instanz der App nutzen kann.“ (E06.05). Das sind keine lösungsneutralen Ziele realer Nutzer, sondern Gestaltungsideen der Entwickler.

(2) Fehlende Stakeholder. Als Stakeholder sind nur App-Nutzer, Hotlines sowie das Robert-Koch-Institut (RKI) genannt. Hingegen fehlen die zuständigen Gesundheitsämter sowie auch der verantwortliche Betreiber der gesamten Anwendung und damit mittelbar die Öffentlichkeit.

Zu den seit dem Aufkommen der App-Idee geflissentlich ignorierten Anforderungen der Gesundheitsämter hat sich der Landkreistag vor einiger Zeit bereits geäußert. Von dort bekäme man User Stories wie: „Als Beamter einer Gesundheitsbehörde möchte ich Kontaktpersonen identifizieren, um ihnen Empfehlungen und Anordnungen zu übermitteln.“, oder: „Als Beamter einer Gesundheitsbehörde möchte ich Quarantäneanordnungen aussprechen, die einer gerichtlichen Prüfung standhalten.“ Dass es solche Anforderungen gibt, heißt nicht, dass man sie zwingend umsetzen müsste. Wer sie gar nicht erst erfasst, drückt sich jedoch davor, wichtige Aspekt des Problems überhaupt zur Kenntnis zu nehmen.

Um die Errichtung oder Beauftragung einer verantwortlichen Betreiberinstitution drückt sich seit ebenso langer Zeit die Bundesregierung. Ein verantwortlicher Betreiber hätte unter anderem die Aufgabe, den Systembetrieb zu überwachen und die Öffentlichkeit darüber auf dem Laufenden zu halten, wie gut oder schlecht die automatische Kontaktverfolgung funktioniert. Von einem Verantwortlichen bekäme man User Stories wie: „Als Verantwortlicher möchte ich die Arbeit des Systems fortlaufend überwachen, um Fehler und Probleme schnell zu erkennen.“, „Als Verantwortlicher möchte ich täglich aktuelle Statistiken über die verteilten Warnungen erhalten, um die Öffentlichkeit zu informieren.“, oder: „Als Systembetreiber möchte ich Nutzerfeedback einholen, um die App fortlaufend verbessern zu können.“ Hier läge übrigens auch der passendere Kontext für Anforderungen wie das Impressum oder den unvermeidlichen Datenschutz-Sermon.

(3) Unvollständige Anforderungen. Während sich viele User Stories mit sekundären Themen wie dem Installationsprozess, der Konfiguration und der Barrierefreiheit beschäftigen, bleibt der Kern der App sehr dünn. Ausführlich und mit zu vielen technischen Details wird der Erhalt eines Testergebnisses und das darauf folgende Auslösen einer Warnung beschrieben. Allerdings fehlt die Möglichkeit zur Entwarnung etwa für den Fall, dass ein Testergebnis falsch gemeldet oder zugeordnet wurde.

Für den Kontaktfall – ein App-Nutzer wird über eine mögliche Ansteckung irgendwie, irgendwo, irgendwann benachrichtigt – müssen hingegen ganze zwei User Stories genügen. Im Wesentlichen sagen sie: Der Nutzer erhält eine Nachricht und kann daraufhin Verhaltensempfehlungen aufrufen. Aus Nutzersicht gibt es an dieser Stelle noch einiges zu klären. Grundidee der Corona-Warn-App ist, dass sich die Informierten umgehend selbst isolieren, bis klar ist, ob sie sich angesteckt haben, also entweder ein verlässliches negatives Testergebnis vorliegt oder aber Symptome auftreten.

Ich vermisse hier User Stories wie: „Als Kontaktperson eines Infizierten möchte ich schonend und mitfühlend erklärt bekommen, dass ich möglicherweise mit einem potenziell tödlichen Virus infiziert bin, damit ich mich nicht mehr als unvermeidlich aufrege.“, „Als Kontaktperson eines Infizierten möchte ich wissen, wo ich mich testen lassen kann, um möglichst schnell Klarheit über eine Ansteckung zu erlangen.“, oder: „Als benachrichtigter App-Nutzer, der sich umgehend in Quarantäne begibt, möchte ich einen Nachweis zur Vorlage bei Arbeitgebern, Behörden und Gerichten abrufen, um meine Abwesenheit beziehungsweise verpasste Termine zu entschuldigen.“

Neben solchen praktischen Fragen stellen sich an dieser Stelle auch grundsätzliche. Eine Befehlsgewalt über Menschen erhält das Smartphone nicht, da alles freiwillig sein soll. Wie aber muss eine Benachrichtigung aussehen, damit sie für die Nutzer plausibel ist und die daran geknüpften Verhaltensempfehlungen freiwillig befolgt werden? Ich könnte mir vorstellen, dass das mit ein paar Details besser funktioniert: „Jemand aus Ihrer Sportgruppe, die sich am Montag getroffen hat, ist infiziert.“, oder: „Sie saßen vorgestern im ICE von Frankfurt nach Mannheim im gleichen Wagen wie ein Corona-Infizierter.“ Solche Aussagen sind konkret und der persönliche Bezug nachvollziehbar, während die Warnungen der geplanten App vage bleiben.

Nun muss man bei agiler Entwicklung nicht von Anfang an alles richtig machen. Ausgehend von einer vagen Idee kann man die Einzelheiten und allerlei unerwartete Fragen nach und nach entdecken, denn agile Entwicklung ermöglicht und impliziert eine empirische Anforderungsanalyse über die gesamte Entwicklungszeit hinweg. Angesichts der Vorgeschichte sowie des Zeitdrucks – einige sprechen schon vom „digitalen BER“ (https://www.mdr.de/nachrichten/politik/inland/corona-tracing-app-warten-100.html), obwohl das weit übertrieben scheint – habe ich jedoch den Eindruck, dass man hier einfach mit politisch geformten Vorgaben in einen kleinen Wasserfallprozess geht. Daran ändert ein an User Stories erinnerndes Gerüst für die vorbestimmten, an willkürlichen technischen Entscheidungen ausgerichteten Anforderungen wenig.

Schon vor einem Monat, als das Projekt der Stunde noch PEPP-PT hieß, war zu erkennen, dass ein nur auf perfekten technischen Datenschutz fokussierter Ansatz die Anforderungsanalyse zu kurz kommen lassen würde. Nicht zuletzt den am Projekt Beteiligten selbst fiel dies anscheinend auf und sie verabschiedeten sich vom dezentralen Extremismus. Genaueres weiß die Öffentlichkeit nicht, denn PEPP-PT erlaubte keine Einblicke in den Entwicklungsprozess. Zumindest dies hat der zweite Anlauf verbessert. Ob das bloße Vorzeigen jedoch etwas am absehbaren Ergebnis ändert, bleibt offen.

CoronApp-Links (2020-05-09)

Auch diese Woche haben sich allerlei Meldungen und Artikel zum Thema Corona-App angesammelt:

Die deutsche App soll nach aktuellem Stand im Juni erscheinen. Das Thema wird uns also noch eine Weile begleiten.

Dezentrale Engstirnigkeit, zentraler Realismus

Auch in der automatischen Kontaktverfolgung per Smartphone-App traut sich Großbritannien, einen eigenen Weg zu gehen. Dort beginnt gerade der Testbetrieb einer Corona-App, der eine zentrale Datenverarbeitung zugrunde liegt. Die Briten verfolgen damit in jeder Hinsicht das Gegenteil des deutschen Ansatzes: Während dort eine zentrale Lösung weitgehend einsatzreif ist, hat man hier gerade dezentral von vorne angefangen, nachdem das bereits laufende Projekt PEPP-PT mit seiner Entscheidung gegen eine streng dezentralisierte Lösung politisch in Ungnade gefallen war. Die hierzulande mitschwingenden paneuropäischen Großmachtphantasien fanden auf der Insel naturgemäß ohnehin keinen Raum.

Die Gretchenfrage: „Zentral oder dezentral?“ entstand als Artefakt einer öffentlichen Debatte, weil sie zu Positionierungen einlud, ohne Sachkenntnis zu verlangen. Den Anschein überragender Bedeutung erlangte sie zum einen durch die im Nachhinein ungeschickt wirkende Ankündigung von PEPP-PT, den technischen Datenschutz in den Mittelpunkt zu rücken, zum anderen durch das eigennützige Handeln einiger Beteiligter. Während PEPP-PT im Laufe seiner Entwicklungsarbeit offenbar das Problem und den Lösungsraum besser verstand und sich vom dezentralen Extrem verabschiedete, spitzten dreihundert Professoren die ohnehin zu enge Fokussierung auf technischen Datenschutz noch zu. Als ginge es darum, unter idealisierten Voraussetzungen zwischen zwei einander widersprechenden Hypothesen die richtigere auszuwählen, konstruierten sie ein Entweder-Oder zwischen zentral und dezentral und gaben sogleich ohne Experiment die Antwort, selbstverständlich müsse es dezentral sein. Unterdessen sprangen Apple und Google auf den bereits abfahrenden Zug auf und präsentieren sich seither so geschickt als Retter der Privatsphäre, dass sogar Margrethe Vestager darauf hereinfällt und galant darüber hinwegsieht, wie das Duopol seine Plattform-Macht ausspielt.

Welche Erfolgsaussichten die Kontaktverfolgung per Smartphone und Bluetooth insgesamt hat, bleibt unabhängig von der technischen Architektur vorerst unklar. Setzt man diese Idee jedoch um, und sei es nur als Experiment, sollte man sich dabei um die bestmögliche Lösung bemühen. Was eine Lösung gut oder weniger gut macht, bestimmt dabei nicht ein zentrales technisches Detail, sondern der reale Nutzen im Anwendungskontext.

Für zentrale Elemente wie in Großbritannien spricht einiges. Erstens ist eine komplett dezentrale Architektur ohnehin nicht realistisch. Zum einen braucht man selbst bei Datenspeicherung auf den Endgeräten irgendeine zentrale Instanz zur Nachrichtenverteilung und Koordination, wenn man zugleich jede Datensammlung anonym halten und nicht Adressen wie zum Beispiel Telefonnummer für die spätere Benachrichtigung speichern möchte. Zum anderen gehören zu den verwendeten Plattformen unvermeidlich zentrale Instanzen wie Appstores und Telemetrie. Ausgehend von einem Aluhut-Bedrohungsmodell können sich Nutzerinnen und Nutzer in solch einer Umgebung sowieso auf keine Eigenschaft einer App verlassen, denn jederzeit könnte eine neue Version automatisch installiert werden, die alles ganz anders macht.

Zweitens gehören Feedbackmechanismen heute zum Stand der Technik. Seit Software nicht mehr auf Datenträgern in Pappschachteln, sondern online vertrieben und auf vernetzten Geräten benutzt wird, haben Entwickler die Möglichkeit, Telemetriedaten aus der Software selbst sowie Nutzerfeedback unmittelbar zu erhalten und auszuwerten. Das erleichtert und beschleunigt die Fehleerkennung und -behebung sowie die Weiterentwicklung enorm und erlaubt sogar interaktive Experimente mit realen Benutzerinnen und Benutzern. Beim Einsatz einer noch wenig getesteten Technologie sind Feedbackmechanismen besonders wichtig, denn sehr wahrscheinlich erlebt man Überraschungen und muss unerwartete Probleme lösen. Eine letztlich experimentelle App im Zuge der Pandemiebekämpfung einfach herauszugeben und dann sich selbst zu überlassen, wäre grob fahrlässig, zumal über das neue Coronavirus noch zu wenig bekannt ist.

Drittens kollidieren Anforderungen aus dem Anwendungskontext mit extremistischen Datenschutzkonzepten. Die Kontaktverfolgung ist kein belang- und folgenloses Smartphonespiel wie Pokémon Go, sondern sie soll reale Konsequenzen haben. Beim herkömmlichen Vorgehen gehören zu diesen Konsequenzen Quarantäneanordnungen der Gesundheitsämter. Solche Anordnungen benötigen einen Adressaten und im Rechtsstaat müssen sie auch begründet sein, um ggf. einer gerichtlichen Prüfung standzuhalten. Im Sozialstaat ist darüber hinaus geregelt, wer welchen Teil der Lasten trägt und wie beispielsweise eine quarantänebedingte Arbeitsunfähigkeit abgefedert wird. Die Verfechter eines dezentral-anonymen Ansatzes haben bis heute keine Vorschläge unterbreitet, wie das eine oder das andere funktionieren soll. Weder können die Gesundheitsämter damit irgend etwas durchsetzen, noch erhalten Betroffene eine ausreichende Begründung oder gar eine Bescheinigung zur Vorlage bei Vertragspartnern und öffentlichen Stellen.

Viertens drängen sich Nebenfunktionen einer für den Masseneinsatz bestimmten App geradezu auf. Eine offensichtliche ist die Erfassung statistischer Daten, um den Gesundheitsbehörden ein klareres Bild des Pandemieverlaufs zu vermitteln. Dazu muss man doch wieder Daten an eine zentrale Stelle übermitteln und es kann gut sein, dass sich dann aus einem integrierten Ansatz schnell Synergieeffekte ergeben.

In Großbritannien hat man sich offenbar mit den Anforderungen der Anwendung auseinandergesetzt, während Deutschland kontextarm über Technik stritt. Dort möchte man zum Beispiel besonders gute Virenverteiler anonym ausfindig machen und darauf Risikoeinschätzungen stützen. Ob das funktionieren kann, wird sich zeigen; um eine an der Oberfläche nicht offensichtliche Idee handelt es sich allemal. Ein zentralerer Ansatz ist auch nicht automatisch ein Zeichen für Nachlässigkeit oder Primitivität der Implementierung, er kann für alle realistischen Belange einen gleichermaßen effektiven Datenschutz gewähren. Nur eines haben die Briten ebenso versäumt wie die Bundesregierung: die entwickelte Technik rechtlich und organisatorisch mit vertrauensbildenden Maßnahmen zu flankieren. Ich wünsche ihnen dennoch viel Erfolg. Schneller fertig werden sie schon mal, wie auch einige andere Länder, die dem dezentralen Extremismus eine Absage erteilten.

Links zur Corona-App (2020-05-02)

Statt eines eigenen Kommentars heute einige Links zum Thema Kontaktverfolgung und Corona-App, die sich in der vergangenen Woche angesammelt haben:

Das sollte fürs Wochenende genügen.

Eristische Datenschutzdialektik

An der auf automatische Kontaktverfolgung und Datenschutz verengten Debatte um eine Corona-App kann man die Kunst, Recht zu behalten studieren. Datenschutzaktivisten gehen mit Axiomen und Finten in die Diskussion, die, so man sie akzeptiert, vernünftigen Argumenten kaum eine Chance lassen.

Datenschutzaktivisten unterstellen, jede Verarbeitung personenbezogener Daten gerate gewissermaßen von selbst außer Kontrolle. Es gebe eine „Datensammelwut“ und jede Datenverarbeitung wecke unweigerlich „Begehrlichkeiten“, denen man dann hilflos ausgeliefert sei. Aus diesen Gründen müsse man rechtzeitig vor allem über den Datenschutz sprechen und über nichts anderes.

Genau dies ist im Fall der Corona-App geschehen: Datenschutz galt der öffentlichen Debatte als sehr wichtig, während konzeptionelle Fragen und Anforderungen keine Rolle spielten. Der Ansatz der automatischen Kontaktverfolgung wurde als einzig möglicher und deshalb als gegeben angenommen. Mit den Stakeholdern, insbesondere den Gesundheitsdiensten sowie den Bürgerinnen und Bürgern, redete niemand.

Vernachlässigte Stakeholder melden sich jedoch häufig von selbst und machen ihre Bedürfnisse geltend. So auch hier, wo die Landkreise für ihre Gesundheitsbehörden anstelle der diskutierten Datenschutztechnik den Zugang zu und die Verarbeitung von Identitätsinformationen forderten. Diese Forderung ist ohne weiteres nachvollziehbar, wenn man sich mit der Arbeit der Gesundheitsämter im Zusammenhang mit einer meldepflichtigen Infektion beschäftigt.

Für Datenschutzaktivisten jedoch stellt die unaufgeforderte und verzögerte Äußerung unerwarteter Bedürfnisse genau das dar, wovor sie die ganze Zeit schon gewarnt haben: Begehrlichkeiten, Datensammelwut, Maßlosigkeit, die schiefe Bahn. Wahrscheinlich ist ihnen nicht einmal bewusst, dass sie damit alle und auch sich selbst hereinlegen und einer tautologischen Selbstbestätigung aufsitzen.

Auch um diesen Irrtum zu vermeiden, sollten Debatten stets beim Problem und den Anforderungen an technische Lösungen oder Lösungsunterstützung beginnen und nie bei der Datenschutztechnik.

Echte Corona-App: SORMAS

Wie sehr sich das digitalpolitische Berlin mit seiner Debatteninszenierung um eine „zentrale“ oder „dezentrale“ App zur Kontaktverfolgung blamiert hat, macht eine existierende Lösung deutlich:

Das Surveillance Outbreak Response Management & Analysis System (SORMAS) aus dem Helmholtz‐Zentrum für Infektionsforschung (HZI) unterstützt Gesundheitsdienste beim Kontaktpersonen- und Fallmanagement. Es ist ausgelegt auf die Nutzung mit mobilen Geräten auch in Ländern mit schwacher Infrastruktur, das heißt vielen Funklöchern.

SORMAS hat mehr als fünf Jahre Entwicklungsarbeit und Einsatzerfahrung hinter sich. Die Lösung wurde unter anderem in der Bekämpfung von Ebola-Ausbrücken erfolgreich eingesetzt und ist mittlerweile in mehreren afrikanischen Ländern dauerhaft im Einsatz.

SORMAS steht bereits seit Anfang März auch in einer eingedeutschten und an Covid-19 angepassten Version zur Verfügung. Die Open-Source-Software kann von allen Gesundheitsdiensten kostenfrei genutzt werden.

Keiner der Spezialexperten, die sich in den vergangenen Wochen die automatisierte Kontaktverfolgung zum Thema der Stunde erklärt und sich zum Randaspekt Datenschutz öffentlich einen runtergeholt haben, hat SORMAS je erwähnt. Ich schließe mich da ein, ich hatte es auch nicht auf dem Radar und bin erst heute in einer LinkedIn-Diskussion darauf gestoßen.


PS: In Berlin wird SORMAS seit einigen Tagen eingesetzt.

Aufs Glatteis geführt

Seit Mitternacht schweigen nun an einer Front die Waffen: Die Bundesregierung kapituliert bedingungslos vor dem Aufschrei einiger Datenschutztechnikexperten und entscheidet sich für eine dezentrale Architektur zur Kontaktverfolgung. Nur dies schaffe das nötige Vertrauen, lässt sich Kanzleramtsminister Braun zitieren. Inwieweit sich damit die Anforderungen der Praxis erfüllen lassen, bleibt unterdessen unklar, denn mit solchen Fragen hat sich offenbar niemand beschäftigt. Die Regierung hat sich in Sachen Digitalisierung wieder einmal aufs Glatteis führen lassen. Das Projekt Corona-App wird voraussichtlich die Misserfolgsgeschichten der Gesundheitstelematik, des elektronischen Personalausweises und der Blockchain-Strategie fortsetzen. Das liegt nicht an der Technik, sondern an mangelnder Kompetenz in der Technikgestaltung.

Begonnen hatte alles vor einigen Wochen mit den öffentlichen Auftritten von DP-3T und PEPP-PT, anfangs noch in einer Allianz und scheinbar am gleichen Strang ziehend. Damit begann eine von Anfang an verzerrte Debatte über „die Corona-App“. Zum einen stand unvermittelt ein spezifischer Ansatz im Raum, nämlich die automatisierte Kontaktverfolgung und Benachrichtigung von Kontaktpersonen. Sinnhaftigkeit, Erfolgsaussichten und Erfolgsbedingungen dieses Ansatzes sowie andere Wege der digitalen Seuchenbekämpfung wurden kaum diskutiert; alle wollten an unsere wundersame Rettung durch Technomagie glauben. Nur ein Kritikpunkt ließ sich nicht umschiffen: Die automatisierte Kontaktverfolgung würde nur funktionieren, wenn fast alle mitmachten. Ausgerechnet Datenschützer mit ihrem Faible für Selbstbestimmung wiesen früh darauf hin, dass dies bei freiwilliger Nutzung unrealistisch sei, ohne deswegen freilich einen Zwang zu fordern. Ein kleinerer Zweig der Debatte dreht sich daher um die Frage der Freiwilligkeit.

Den Schwerpunkt hingegen setzte PEPP-PT selbst: In Voraussicht auf typisch deutsche Technikkritik und den Hang einiger Akteure, die Verarbeitung personenbezogener Daten für eine Risikotechnologie mit nuklearem Gefahrenpotenzial zu erklären, rückte man statt des Anwendungsentwurfs den technischen Datenschutz in den Mittelpunkt seiner Selbstdarstellung. Wie und wie gut der eigene Ansatz funktionieren würde, wusste man bestenfalls ungefähr, was ist in frühen Phasen der Entwicklung auch völlig normal und unvermeidlich ist. Jedoch werde die eigene Lösung auf jeden Fall perfekte technische Datenschutzvorkehrungen umfassen, denn nur so sei bei den Bürgerinnen und Bürgern das nötige Vertrauen zu gewinnen. Dass Kanzleramtsminister Braun dem Projekt PEPP-PT später mit genau diesen Worten den Todesstoß versetzen würde, war da noch nicht absehbar – dass jemand auf dem Holzweg war, hingegen schon. Im weiteren Verlauf der Entwicklungsarbeit, die immer auch ein Lernprozess ist, musste man sich anscheinend von diesem anfänglichen Extremismus verabschieden, auch dies nicht ungewöhnlich.

Unterwegs gingen zwei Dinge schief. Erstens hatte man sich den Weg zu einer offenen Anforderungsanalyse verbaut, denn alles musste sich nun dem Datenschutz-Ideal unterordnen. Mit den Gesundheitsämtern vor Ort zum Beispiel redete – anders die Entwickler von TraceTogether in Singapur oder vermutlich auch jene der südkoreanischen Lösung – anscheinend niemand und so macht der Deutsche Landkreistag seine Vorstellungen in einem Brief an den Gesundheitsminister und das Kanzleramt geltend (paywalled).  Statt einem Weg, anonyme und folgenlose Nachrichten in den Cyberspace zu rufen, hätte man dort gerne Namen und Orte. Ob das es am Ende so umgesetzt werden sollte, sei dahingestellt; auf jeden Fall stecken hinter solchen Forderungen Bedürfnisse, die ein Entwicklungsprojekt erfassen und berücksichtigen muss. Vermutlich hat PEPP-PT so etwas sogar versucht oder einfach unterwegs das Problem besser verstanden, doch von dem öffentlich eingeschlagenen Pflock „perfekter technischer Datenschutz“ kam man nicht mehr los.

Zweitens verselbständigte sich die Datenschutzdiskussion und wandelte sich schnell zu einer Glaubensfrage. Zwar lagen zumindest der Öffentlichkeit weiter nur vage Ideen einer App zur Kontaktverfolgung vor, die irgendwo vom Himmel gefallen waren, doch statt über grundlegende konzeptionelle Fragen zu reden, positionierten sich alsbald allerlei Personen und Einrichtungen in einem der Lager „zentral“ oder „dezentral“. Teils handelte es sich um ehrliche, aber überfokussierte Eiferer wie den CCC, teils waren wohl auch handfeste Interessen im Spiel wie bei den Professoren, die sich nach der Abkehr vom Forschungsprototypen DP-3T ihrer Bedeutung beraubt sahen. Obendrein mischten sich auch noch Google und Apple, trotz interessanter technischer Ansätze als Plattformanbieter Inbegriffe der Zentralisierung, mit eigenen Angeboten ein und weckten teils Vertrauen in ihre Fähigkeiten, teils aber auch antiamerikanische Instinkte.

Schnell schoss sich die Szene medienöffentlich auf die Forderung nach einem dezentralen Ansatz ein,  während dagegen sprechende Anforderungen nur langsam zu Tage treten. Unterdessen hielt die Bundesregierung ihre Füße still und ließ der Debatte freien Lauf, ohne selbst etwas beizutragen. Sie zweifelte nie an der unbelegten These von der Vertrauen durch Datenschutztechnik und verzichtet bis heute darauf, öffentlich die rechtlichen und organisatorischen Rahmenbedingungen für den Einsatz einer Corona-App zu klären. Dabei ist die kritiklos übernommenen Ursprungsidee nicht einmal plausibel, denn zum einen versteht kaum jemand die technischen Details, zum anderen zeigen die (wahrscheinlich zu Recht) ungehört verhallenden Mahnungen der Datenschützer vor massenhaft genutzten Diensten wie Google, Facebook, WhatsApp oder aktuell Zoom, dass Vertrauen gerade nicht durch den Segen von Datenschützern und Aktivisten entsteht.

Statt das Ihre zur Vertrauensbildung zu tun, ergibt sich die Bundesregierung nun einer überschaubaren öffentlichen Erregung und schließt sich der Forderung nach (scheinbar) perfektem Datenschutz an, während eine Debatte über Anforderungen und Anwendungsentwürfe weiter unterbleibt. Damit tritt das Projekt Corona-App in die Fußstapfen wenig erfolgreicher Vorgänger. Die Gesundheitstelematik – ihr Konzept inzwischen so altbacken wie die Bezeichnung – sollte das Gesundheitswesen vernetzen und dabei Gesundheitsdaten perfekt kryptografisch vor unbefugtem Zugriff schützen. Nach fünfzehn Jahren Entwicklungszeit ist kaum mehr herausgekommen als ein VPN sowie ein Stammdatendienst. Wenig später sollte der elektronische Personalausweis allen Bürgerinnen und Bürgern einen Identitätsnachweis fürs Internet verschaffen. Seine Datenschutzmechanismen sind nahezu perfekt, doch da man Anwenderbedürfnisse ignoriert und das Konzept über die vergangenen zehn Jahre auch kaum weiterentwickelt hat, benutzt fast niemand die eID-Funktion. Bei der Blockchain schließlich ging es zwar nicht um Datenschutz doch auch hier stand eine Technik im Mittelpunkt, von der man Wunderbares erwartete. Diesen Glauben ließ man sich in Berlin nicht von geringer Plausibilität der Anwendungsideen erschüttern. Darüber hinaus brachten die Blockchain-Evangelisten das Schlagwort „dezentral“ ins Spiel und verkauften es unbegründet als Qualitätsmerkmal. Sollte hier die wahre Wurzel der Entscheidung liegen?

Am Beispiel der Corona-App zur Kontaktverfolgung zeigt Deutschland erneut, wie es an politisch belasteten Digitalprojekten scheitert. Mit Ruhm bekleckert hat sich keiner der Beteiligten. An entscheidenden Stellen mangelt es an Kompetenz, hinzu kommen Meme aus der EDV-Steinzeit, die sich niemand zu beerdigen traut. So wird das nichts. Dass es wieder etwas länger dauern wird, steht schon mal fest.


PS: Ich frage mich auch, ob eine Projektstruktur tragfähig ist, in der technische Entscheidungen nach politischer Wetterlage von Ministern getroffen werden, wobei der Gesundheitsminister hü sagt und das Kanzleramt wenig später hott. Ich frage mich außerdem, wieso die Gematik als Projektgesellschaft für die Digitalisierung des Gesundheitswesens in der ganzen Diskussion nicht einmal vorkommt. Eigentlich sollte sie prädestiniert sein, ein Vorhaben wie die Corona-App voranzutreiben und umzusetzen. Tatsächlich ist sie es wohl nicht.

PS (2020-04-28): Seit heute gibt es zumindest eine Projektstruktur, von deren Tragfähigkeit allerdings nicht alle restlos überzeugt sind.

Privacy by Design or Poor Requirements Engineering?

Privacy – or security or any other desirable, ethereal property – by design sounds like a great thing to do. Alas, design is complicated and hard to guide or control as a process. One common misunderstanding has become obvious in current efforts to develop and deploy contact tracing technology contributing to epidemic control. Some of these efforts such as DP^3T, TCN, or Apple’s & Google’s announcement promote privacy to the top of their list of objectives and requirements. This is wrong. It would be appropriate in an R&D project developing experimental technology, but contact tracing is an actual, real-world application and must fulfill real-world requirements. Premature optimization for technical privacy protection does not help its cause.

First and foremost, an application needs to support a basic set of use cases and provide the necessary functions in such a way that the overall approach makes sense as a solution of the given problem(s). For contact tracing, essential use cases include:

  • contact identification,
  • contact listing, and
  • contact follow-up.

In addition, any large-scale application of contract tracing needs to support:

  • safeguards against abuse, and
  • monitoring and governance.

Each use case entails requirements. Contact identification must be sufficiently reliable and comprehensive; it must also take place quickly after an infection has been detected. Contact listing needs some form of risk assessment, a method to notify contacts, and a way to justify mandatory quarantine requests. Contact follow-up needs some idea how and when to interact with listed contacts. Underlying the whole design must be some conception of which contacts matter, what an identified contact implies, what to do with or require from identified contact persons, and what to achieve through contact tracing. There needs to be some definition of success and failure for the system and individual cases, and some monitoring of how well the system operates. One also has to think about possible abuses and misuses of the system such as evasion, manipulation, or exploitation, and find ways to prevent them or to deal with them when they occur.

Such questions are to be answered in the high-level design of a contact tracing system. They can and should be pondered at the level of paper prototypes, forcing developers to get specific but allowing quick modification and user testing. Technology has to be considered at this point primarily as a constraint: What is realistically possible or available and would the design be feasible to implement? However, some fundamental design decisions have to be made at this level after evaluating alternatives, for example, which parts of the system to automate and which ones to leave to humans, or which technologies, platforms, and devices to consider and use.

Like any design process, this high-level system design may take any number of iterations before converging toward something that might work when implemented. New questions will likely come up in the process. If, for example, the system is to leave tracing to humans, how much time can they spend per case, how many of them will be needed, how will they work, and which types of data and support would really help them?

Secondary requirements like performance or privacy can and should already be considered at this stage. Privacy by design means just that, to consider privacy protection as dimensions of the design spaces from the beginning on. However, privacy is a dependent design dimension and like all other requirements it is subject to trade-offs. Dependent means that any design decision can affect the privacy properties of a system. One cannot delegate privacy to a system component or function that would take care of it comprehensively regardless of the design of any other aspect of the system. Trade-offs occur when once has to choose between design alternatives; each option will likely have some advantages over the others but also some disadvantages, so that one has to compromise and keep a balance.

Misunderstanding privacy by design as privacy technology über alles, demonstrated by current proposals for privacy-preserving contact tracing, is a recipe for disaster. Starting with perfect technical privacy protection as the primary requirement constitutes a premature optimization that de-prioritizes all other requirements and design dimensions, delays important design decisions while arbitrarily constraining them without impact assessment, and prevents well-considered trade-offs from being made. The most likely result is a system that performs well at most in the privacy dimension, reflecting the priorities of its designers.

As a symptom, none of the proposals for privacy-preserving contact tracing has yet answered question like the following: How does it assure the reliability of the data it collects or produces? Which failure modes and error rates does it produce? How is the system to be monitored for problems and abuses? In which institutional framework is it designed to operate? How does it distribute responsibilities between involved parties? How are outputs of the system to be interpreted and used in the real world, which consequences should they have and which ones are not desirable? How can its operation become transparent for its users? Should participation be mandatory or voluntary and how can the design be optimized for either case? If participation is mandatory, how would this be enforced, how can the system be made universally accessible for everyone, and how may people evade it? If voluntary, which incentives does the system create and which features let users trust or distrust the system? Such questions need to be discussed and addressed long before the technical minutiae of data protection.

Placing technical privacy protection in the center of attention can make sense in a research project, where one develops new technology to evaluate its properties and capabilities. The stakes are low in such a project, where the results are prototypes and research papers. Developing a real-world system, especially one to be used at the intended scale of contact tracing apps, requires a broader perspective and comprehensive requirements analysis.


P.S. (2020-04-18): Government Digital Services of Singapore with their TraceTogether app apparently got their requirements analysis and design process right:

One thing that sets TraceTogether apart from most private efforts to build a Bluetooth contact tracer, is that we have been working closely with the public health authorities from day 1. (…) The team has shadowed actual real-life contact tracers in order to empathise with their challenges.

P.S. (2020-04-19): The closest to a requirements document I have seen so far is this: Mobile applications to support contact tracing in the EU’s fight against COVID-19,  Common EU Toolbox for Member States (via).

P.S. (2020-04-22): The Ada Lovelace Institute published a quick evidence review report titled: Exit through the App Store? A rapid evidence review on the technical considerations and societal implications of using technology to transition from the COVID-19 crisis, which makes a number of reasonable recommendations.

 

Datenschützer im eigenen Saft

Unsere Datenschützer zeigen in der Krise, was sie können: Memetik, Bürokratie und Realitätsverlust. In der Tradition der 1970er/80er Jahre halten sie die elektronische Datenverarbeitung für eine Risikotechnologie vergleichbar der Kernkraft, die es mit allen Mitten einzudämmen gelte. Über die Jahre haben sich vorläufige Antworten auf einst berechtigte Fragen zu Memen verselbständigt, die man nur noch unreflektiert wiederkäut. Als Begründung des eigenen Treibens hat man sich in den ätherischen Wert unserer Rechte und Freiheiten verirrt, der alles und nichts begründen kann und jede Falsifikation zu Lasten der Datenschützer ausschließt, ihnen zugleich jedoch die Illusion vermittelt, stellvertretend für uns unsere Grundrechte wahrzunehmen.

Die aktuelle Corona-Pandemie stellt vieles auf den Kopf und lässt uns keine andere Wahl als unseren Digitalisierungsrückstand endlich zu verringern. Mehr Kartenzahlung, mehr Fernarbeit, mehr digitale Kommunikation und Kollaboration, Corona-Apps, Hackathons und vielleicht irgendwann sogar mehr E-Government – wir machen nach einer langen bleiernen Zeit gerade einen großen Sprung in Richtung Gegenwart. Nicht alles wird funktionieren wie erhofft oder versprochen, aber nach einem Vierteljahrhundert Internet für alle dürfen wir guten Gewissens überwiegend positive Auswirkungen erwarten.

Auch Datenschützer können dieser Entwicklung einiges abgewinnen, gibt sie ihnen doch – publish or perish – reichlich Gelegenheit, sich mahnend zu äußern. Davon machen sie effizient Gebrauch und wiederholen ihre ewiggleichen Meme, ohne sich um lästige Einzelheiten wie Kohärenz oder nachvollziehbare Begründungen zu kümmern.

So veröffentlicht etwa der Berliner Datenschutzbeauftragte eine mahnende Handreichung nebst Checkliste für die „Durchführung von Videokonferenzen während der Kontaktbeschränkungen“. Der Inhalt überzeugt nicht. Während seine Handreichung die Bedeutung einer verschlüsselten Übertragung herausstreicht, rät die Checkliste, das mit den Videokonferenzen am besten ganz zu lassen und möglichst zu telefonieren. Wie man jedoch verschlüsselt telefoniert, erklärt der Beauftragte nicht und wenn er es täte, lachten wir ihn aus, denn gemessen an Aufwand und Nutzen haben verschlüsselte Telefonate nur in Ausnahmefällen einen Sinn. Warum das bei einer Videokonferenz anders sei, erläutert er nicht und auch eine praktisch relevante Risikoreduktion durch die empfohlenen Maßnahmen kann er nicht belegen.

Überhaupt fehlt den Papieren eine plausible Risiko- und Bedrohungsanalyse und damit die Begründung. Stattdessen stecken alte Meme darin. Videokameras gelten den Datenschützern traditionell als verdächtig, wenn auch zuvörderst beim Einsatz zur Videoüberwachung. Später kam der Trend hinzu, Laptop-Kameras ostentativ zuzuklebensinnlos, aber sichtbar und leicht nachzuahmen. Auch der digitale Veganismus – der Datenschutzbeauftragte rät, existierende Dienste zu meiden und besser selbst einen aufzusetzen – hat eine lange Tradition.

Wie sehr diese Meme und Phrasen in der Vergangenheit verhaftet sind, wird deutlich, wenn man sie mit dem Stand der Technik abgleicht. Wenig haben die Offiziellen etwa zum gemeinsamen Bearbeiten von Dokumenten zu sagen. Das ist zwar seit vielen Jahren Stand der Technik und mindestens so nützlich wie Videokonferenzen, bei den alten Männern mit Röhrenbildschirmen in den Datenschutzbüros jedoch noch nicht angekommen. Schließlich wollen sie Vorbild gemäß ihrem Weltbild sein und agieren im Umgang mit der IT daher so übervorsichtig, dass es einer Selbstblockade gleichkommt. Dasselbe empfehlen sie allen anderen.

Wo sich der IT-Einsatz nicht ganz verhindern lässt, versucht man ihn in Bürokratie zu ersticken. Dies demonstrierten vor einigen Tagen Datenschutz-Aktivistinnen im Namen des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF): Zur laufenden Diskussion um den Einsatz von Smartphone-Apps zur Kontaktverfolgung im Rahmen der Seuchenbekämpfung legten sie eine sage und schreibe hundertseitige Datenschutz-Folgenabschätzung vor – für ein Phantom, denn bisher liegt kein ausgereiftes Einsatzkonzept für eine solche App vor, auf das sich eine qualifizierte Diskussion stützen könnte. So weit es sich beim Überfliegen dieses Konvoluts mit normativem Anspruch einschätzen lässt, steht darin kein relevanter Einwand, den nicht Susan Landau oder Ross Anderson knapper formuliert hätten. Auf die Idee, Datenschutzprobleme institutionell zu dämpfen, wie es bei der Erhaltung und Verharmlosung der Stasi-Akten gelungen ist, kommen die Aktivistinnen wohl gar nicht erst.

♠♠♠

Falsch abgebogen ist der Datenschutz früh in seiner Geschichte und sein Geburtsfehler wurde nie richtig korrigiert. Als der Datenschutz vor vier, fünf Jahrzehnten das Licht der Welt erblickte, entdeckte die Welt gerade die Schattenseiten damals moderner Großtechnologien wie der Kernenergie. Etwa zeitgleich mit den ersten Schritten zum Datenschutz entwickelte sich die Technikfolgenabschätzung, schrammte ein Kernreaktor in Harrisburg knapp an einer größeren Katastrophe vorbei, malte Robert Jungk den dann doch nicht eingetretenen Atomstaat an die Wand. Nebenbei herrschte noch kalter Krieg, der jederzeit in einen heißen letzten Weltkrieg münden konnte.

In diese Zeit fiel die zunehmende Verbreitung der elektronischen Datenverarbeitung (EDV) in Wirtschaft und Verwaltung. Auf dem Weg ins EDV-Zeitalter, so hofften viele, würde man alles besser machen als bei der Einführung anderer Großtechnologien, in die man scheinbar euphorisch und blind für ihre Gefahren hineingestolpert war.

Seither gehört zum Fundament des deutsch-europäischen Datenschutzes der Glaube, die elektronische Verarbeitung von (personenbezogenen) Daten sei eine Risikotechnologie vergleichbar der Kernkraft; man müsse sie ähnlich streng regulieren und überwachen sowie sorgfältig und umfassend technisch absichern. Genau genommen müsste man sie sogar verbieten, und genau davon geht der Datenschutz bis heute aus – die Verarbeitung personenbezogener Daten sei in der Regel verboten, sofern die nicht ausnahmsweise doch erlaubt sei. Diese Grundannahme erklärt, warum Datenschützer zum Beispiel so ein Theater um WhatsApp und dessen Nutzung persönlicher digitaler Adressbücher machen, obwohl sich außer ihnen kein Mensch daran stört und wohl auch niemand tatsächlich dadurch gefährdet wird. Für Datenschützer steht die IT traditionell unter Generalverdacht.

Heute steht Deutschland kurz davor, seine letzten Kernkraftwerke abzuschalten, während sich das Verbrennen von Kohle als eine viel größere und schwerer zu bändigende Gefahr erwiesen hat. Daneben meldet sich die Natur mit einem neuen Coronavirus, welches im Gegensatz zur EDV Menschenleben bedroht und mangels Impfstoff oder Heilmittel Vorsichtsmaßnahmen verlangt, die tief in unser gewohntes Leben und unsere bürgerlichen Freiheiten eingreifen. Doch unverdrossen verkauft uns eine Allianz aus Aktivisten, Datenschutzbeauftragten und Opportunisten den Datenschutz als Supergrundrecht und die Datenverarbeitung als explosive Risikotechnologie, von der man am besten die Finger lasse.

Anders als bei jeder anderen Risikotechnologie, deren Schäden sich als Sach- und Personenschäden quantifizieren lassen, fehlt dem Datenschutz und der fundamentalen EDV-Kritik jedoch ein klarer Risikomaßstab. An seine Stelle trat die radikale Vorsorge eines generellen Verbots der personenbezogenen Datenverarbeitung mit Ausnahmen, vergleichbar den Regeln für den Betrieb kerntechnischer Anlagen, die einer Genehmigung bedürfen.

Die Entscheidung über Ausnahmen legte man teils in die Hände des Gesetzgebers und teils in die der Betroffenen. So ward die informationelle Selbstbestimmung geboren, die das Bundesverfassungsgericht 1983 in seinem Volkszählungsurteil in den Rang eines Grundrechts erhob. In den folgenden Jahrzehnten unterblieben nötige Modernisierungen des Datenschutzes weitgehend und auch die DSGVO hat noch viel mit dem alten (west-)deutschen Bundesdatenschutzgesetz gemein.

Die IT entwickelte sich schnell weiter und entfernte sich nach und nach von den Voraussetzungen des etablierten Datenschutz, was man ihr nicht verübeln kann. Zugleich eigneten sich die Träger des Datenschutzes, die Beauftragten und Aktivisten, das Grundrecht der Betroffenen an und beanspruchen seither dessen stellvertretende Wahrnehmung. Mit dieser Waffe in der Hand müssen sie keine Kritik mehr fürchten, denn zum einen bleiben die Grundrechte zu abstrakt, um damit direkt und einfach argumentieren zu können, und zum anderen bedarf die Inanspruchnahme von Grundrechten – im Regelfall anders als im Datenschutz durch ihre Trägerinnen selbst – keiner Rechtfertigung. Begleitend entstand über die Jahre mit Anbietern von Compliance-Dienstleistungen ein Wirtschaftszweig, der von möglichst willkürlichen und bürokratischen Anforderungen profitiert und der deshalb um so andächtiger nickt als die Nachfrage nach seinen Angeboten steigt.

Deswegen werden wir jetzt vor Videokonferenzen gewarnt, besonders vor den einfach zu nutzenden. Ob jemals eine Videokonferenz jemandem ein Haar gekrümmt hat, bleibt offen, denn auf reale Risiken kommt es dem Datenschutz nicht an. Er begründet sich aus sich selbst und immunisiert sich damit gegen Kritik, ja sogar gegen die bloße Sinnfrage.

 

PS (2020-05-06): Microsoft weist die Warnungen des Berliner Datenschutzbeauftragten für seine Produkte ausdrücklich zurück.

PS (2020-05-16): Microsoft geht den nächsten Schritt und mahnt Berlin ab.

#WirHabenJaSonstNichtsZuTun

Wo sind eigentlich die ganzen Schlaumeier geblieben, die bei jeder Videokamera einen Generalverdacht wittern und der automatischen Gesichtserkennung Untauglichkeit zur Fahndung nach Terroristen vorwerfen, weil sie unvermeidlich mehr falsche als wirkliche Terroristen melde?

Gegenwärtig reden wir über Ausgangssperren zur Bekämpfung eines Virus, das einen Bevölkerungsanteil in der Größenordnung von einem Promille befallen hat. Ein Corona-Soforttest mit hoher Falsch-Positiv-Rate fände vermutlich breite Akzeptanz, wenn man mit seiner Hilfe eine knappe Mehrheit – oder vielleicht sogar eine genügend große Minderheit – der Bevölkerung von Einschränkungen befreien könnte.

Von welchen Axiomen muss man ausgehen und welche Unterschiede zwischen beiden Szenarien berücksichtigen, um mit einem logisch konsistenten Weltbild eine automatische Fahndung wegen begrenzter Zuverlässigkeit abzulehnen, erhebliche Einschränkungen des öffentlichen Lebens und der persönlichen Freiheit zur Virusbekämpfung hingegen zu befürworten?

***

#WirHabenJaSonstNichtsZuTun regt zum Zeitvertreib Grundsatzdiskussionen an

Digitaler Veganismus

Kelbers wohlfeile Datenschutztipps an die falsche Adresse sehe ich als Symptom eines allgemeineren Trends. Nicht nur suchen sich amtliche Datenschützer mit den Bürgerinnen und Bürgern die falsche Zielgruppe, sie verbreiten dabei auch gerne fragwürdige Verhaltensmaßregeln, die zu ignorieren meist sehr vernünftig scheint. Ich nenne diese Maßregeln digitalen Veganismus, weil sie willkürlich sind, nur eine ideologische Begründung haben und sie den Alltag erschweren, ohne nennenswerten Nutzen zu stiften.

Veganer können nicht einfach zum Bäcker gehen und ein Brot kaufen, sondern müssen dort erst die Zutatenliste studieren, um herauszufinden, ob nicht jemand einen Schluck Milch oder einen Löffel Butter oder eine unglückliche Küchenschabe in den Teig gerührt hat. Glücklich wird, wer sich dabei einen Distinktionsgewinn einreden kann; die meisten Menschen hingegen kaufen einfach das Brot, das ihnen schmeckt und sind damit zufrieden. Als individuell gewählte Lebensweise ist das eine wie das andere völlig in Ordnung. Öffentliche Stellen, die den Veganismus empfählen, gibt es meines Wissens nicht.

Im Datenschutz hingegen geben Aufsichtsbehörden, Universitäten, Aktivist*innen und andere nur zu gerne Tipps für das, was sie gerne „digitale Selbstverteidigung“ nennen. Im Wesentlichen laufen diese Tipps meist darauf hinaus, sich allerorten von „Datenkraken“ verfolgt zu fühlen und Zuflucht in einem digitalen Aluhut in Form originellen, das heißt von den Gebräuchen des Mainstreams abweichenden Verhaltensweisen zu suchen. Das Angebot Data Kids der Berliner Datenschutzbeauftragten zum Beispiel warnt vor „diebi­schen dreis­ten Daten­wolken“ und „Krakina Kompli­zia“ und empfiehlt dagegen das Ritual, eine Abdeckung für eine Kamera zu bauen als sei der meist nur eingebildete Kameramann im Laptop ein relevantes Problem. Wie man dagegen rechtzeitig bemerkt, dass ein Kammergericht in ihrem Zuständigkeitsbereich in Sachen Sicherheit und Datenschutz nicht einmal näherungsweise auf der Höhe der Zeit ist, weiß die Beauftragte anscheinend  nicht, sonst hätte sie es ja bemerkt. Das ist freilich auch etwas anspruchsvoller als Kindern das Märchen von Krakina Komplizia und den sieben Clouds zu erzählen.

An die ewigen Warnungen offizieller Datenschützer, WhatsApp sei haram sei, weil es Adressbücher aus einer Cloud in eine andere hochlade, haben wir uns längst gewöhnt. Kein Mensch schert sich darum; WhatsApp ist so alltäglich geworden wie das Telefon, weil es umstandslos und ohne Schmerzen (naja) funktioniert. Nur wo die Datenschützer Macht haben, ist WhatsApp abweichend vom Normalen verboten – man möge bitteschön Alternativen nutzen.

Auf diesem Niveau bewegen sich die meisten Empfehlungen aus dem Reich des digitalen Veganismus: Andere Messenger als die meisten Menschen möge man benutzen, einen anderen Browser, ein anderes Betriebssystem, andere Suchmaschinen und andere Landkarten. Seine E-Mail möge man verschlüsseln, die Cloud links liegenlassen und bei Bedarf besser eine eigene betreiben als hätte man alle Zeit der Welt und nichts Wichtigeres zu tun. Und wer einen Termin mit anderen abstimmen wolle, solle nicht irgendeinen Terminplaner benutzen, sondern bitteschön Nuudle, am besten mit dem Tor-Browser über das Tor-Netz (im Volksmund Darknet genannt).

Einen objektiven Nutzen hat diese Kasteiung nicht, doch kann man sich selbst dafür belohnen, indem man sich einredet, zu den Erleuchteten zu gehören und im Gegensatz zur vermeintlich blöden Masse der „Sheeple“ das Richtige zu tun. Das ist zwar ziemlich arrogant, aber wer diesen Teil im Stillen abwickelt und nach außen nur seine oberflächlich als hilfreich und wohlmeinend verpackten Ratschläge zeigt, bekommt wenig Gegenwind. Wenig Erfolg auch, denn die meisten Menschen fragen sich hier ebenso wie im Angesicht eines Zutatenlisten wälzenden Veganers, was das denn solle und bringe, warum sie sich so etwas antun sollten. Erfolg ist jedoch gar nicht gewollt, denn er würde alles zerstören: Begänne eine Mehrheit damit, den Ratschlägen zu folgen, wäre das Wohlgefühl der Ratgeber dahin.

PS (2020-04-27): Die Schattenseiten der gerne als gleichwertig hingestellten Alternativen werden im Artikel Endlich glückliche Freunde bei Golem.de deutlich. Dort geht es um den Messenger Signal, der WhatsApp im Funktionsumfang merklich hinterherläuft. Darin findet sich zudem ein Verweis auf den älteren Artikel Wie ich die Digitalisierung meiner Familie verpasste, dessen Autor beschreibt, wie er sich durch WhatsApp-Verweigerung aus der Kommunikation seiner Familie ausschloss.

PS (2020-07-06): Selbst wer keine bunten Bildchen braucht, wird mit Signal nicht unbedingt glücklich.

 

Datenschutz durch Publikumsbeschimpfung

Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, empfiehlt in einem Interview der Welt Zurückhaltung bei der Nutzung von Apps und behauptet in diesem Zusammenhang, es gebe altersunabhängig fünf „Daten-Typen“:

„Den Ahnungslosen, der schlicht keine Vorstellung von den Risiken hat. Den Sorglosen, der blind vertraut. Den Gleichgültigen, der die Gefahren kennt, sich aber nicht davor schützt. Den Abstinenzler, der sich ohnehin außerhalb der digitalen Welt bewegt. Und den Digitalprofi, der tatsächlich etwas unternimmt.“

(„Wir rücken nicht von der Strafe ab. Was wäre das für ein Signal?“, welt.de, 2020-01-29)

Die größte Sorge, fährt er fort, bereite den Datenschützern die Gruppe der Sorglosen.

Diese Aussagen sind ein Meisterwerk der eristischen Dialektik, inhaltlich aber ein Irrweg. Kelber konstruiert einen Gegensatz zwischen negativ konnotierten Zuschreibungen – ahnungslos, sorglos, gleichgültig – auf der einen und akzeptablem Verhalten – Abstinenz – sowie einer unerreichbar vorbildlichen Heldenfigur – dem Digitalprofi, der etwas (was?) unternimmt – auf der anderen Seite.

In Kelbers Aufzählung fehlt zum Beispiel der Digitalprofi, der die Risiken oder das Verhältnis zwischen Risiken und Nutzen anders einschätzt als ein Datenschutzbeauftragter, dem Nutzenerwägungen von Amts wegen fern liegen. Ebenso fehlt der Normalbürger, der seinem Gegenüber selbstverständlich Vertrauen entgegenbringt, nicht blind und bedingungslos, sondern in der üblichen Weise: als positives Vorurteil, das die soziale Interaktion erleichtert, solange es nicht durch negative Erlebnisse erschüttert wird. Wir alle handeln so, wenn wir zum Beispiel ohne Brustpanzer aus dem Haus gehen und darauf vertrauen, dass uns auch heute niemand ein Messer zwischen die Rippen rammen oder mit einem Stein den Schädel zertrümmern werde.

Dass die ewigen Mahnungen der Datenschützer dieses Vertrauen nur selten erschüttern, liegt nicht zuletzt an ihnen selbst, bleiben sie doch oft vage und unbelegt. Wie oft haben wir zu hören bekommen, WhatsApp zum Beispiel sei haram, weil es Adressbücher aus der Cloud in die Cloud hochlade, und was die amerikanischen Datenkraken alles Böses trieben, und wie oft hat tatsächlich jemand handfeste negative Auswirkungen zu spüren bekommen, der moderne Dienste und Geräte sorglos nutzt? Wo Risikoszenarien plausibel, nachvollziehbar und durch reale Fälle belegt sind, nimmt die Sorglosigkeit erfahrungsgemäß ab. Polizisten im Einsatz etwa oder Journalisten in Kriegsgebieten tragen selbstverständlich Schutzausrüstung, denn ihre Risiken und Bedrohungen sind offensichtlich und belegt.

Kelbers erster Fehler liegt mithin darin, seinen Schutzbefohlenen Vernunft und Einsicht abzusprechen und ihnen Verhaltensmaßregeln zu erteilen. Die Möglichkeit, dass seine Mitmenschen mehrheitlich rational handelten und er sich irre, zieht er gar nicht in Betracht. Darüber hinaus blickt er in die falsche Richtung, wenn er sich mit den Betroffenen beschäftigt statt mit den Verarbeitern und Verantwortlichen.

Datenschutz ist für alle da, auch für die Sorg- und Ahnungslosen und die Gleichgültigen. Er soll die personenbezogene Datenverarbeitung im Zaum halten, um unsere Rechte und Freiheiten vor negativen Auswirkungen zu schützen. Aus dieser Sicht kann es sogar sinnvoll sein, auch vage und unbelegte Risiken zu berücksichtigen, doch alle Bemühungen müssen sich dann auf die Verarbeitung selbst konzentrieren. Aufgabe der Datenschutzaufsicht ist, Recht und Ordnung in Unternehmen, Behörden und anderen Organisationen durchzusetzen. Stattdessen den Betroffenen Ratschläge zu erteilen, wirkt demgegenüber wie eine Bankrotterklärung: Anscheinend gelingt es den Datenschützern schon nach eigener Einschätzung nicht, das Internet so vertrauenswürdig zu machen wie den Stadtpark, dessen sorg- und ahnungsloses oder gleichgültiges Betreten man niemandem vorwerfen könnte, ohne schallend ausgelacht zu werden.

Kelbers zweiter Fehler ist deshalb, dass er die falsche Zielgruppe anspricht. Er müsste dem Internet sagen, was es darf und was es lassen soll, und nicht dessen Nutzerinnen und Nutzern. Dies allerdings erschwert ihm seine Arbeitsgrundlage, das real existierende Datenschutzrecht. Die Datenschutzgrundverordnung weiß auch nicht so genau, was erlaubt oder verboten sein sollte, sondern sie gibt vor allem vor, wie die Datenverarbeitung zu verwalten sei. Trotz eines nominellen Verbots der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt, wie wir es bereits aus dem alten Bundesdatenschutzgesetz kennen, ist in der Praxis vieles erlaubt, solange die Verantwortlichen nur jederzeit alle Papiere vorzeigen können und sich nicht bei groben Schnitzern erwischen lassen. Das liegt nicht am Datenschutzbeauftragten, aber wenn es ein Problem gibt, liegt es hier.

Auch für Europa mit seiner stolzen DSGVO gilt, was Bruce Schneier vor einigen Tagen in einem Kommentar zur Aufregung um die Gesichtserkennung der Firma Clearview schrieb: Wir brauchen Regeln für alle wesentlichen Fragen der Datenverarbeitung, die sich an die Verarbeiter richten. Im Fall von Clearview sind das nach Schneiers Auffassung erstens Regeln dafür, unter welchen Bedingungen Unternehmen Personen identifizieren dürfen, zweitens Regeln für die Kombination von Daten und den Handel damit ohne Zustimmung und Kenntnis der Betroffenen, sowie drittens Regeln dafür, unter welchen Bedingungen Unternehmen Personen diskriminieren dürfen. Blickt man über den konkreten Fall von ClearView hinaus, kommen sicher noch einige Fragen hinzu. Die DSGVO bekleckert sich in dieser Hinsicht nicht mit Ruhm, ihre Vorgaben bleiben oft vage und unspezifisch. Kelber sieht keinen grundlegenden Änderungsbedarf, doch der liegt genau hier und nicht bei gleichgültigen, ahnungs- oder sorglosen Nutzerinnen und Nutzern.

Mythos personalisierte Werbung

“There is a rational explanation for everything.
There is also an irrational one.”
Schwa World Operations Manual

Eines der Gebiete, die Laien zur Algorithmenschelte einladen, ist die automatisierte Werbung. Wenn wir – ohne Adblocker – Websites besuchen, wählen geheimnisvolle Algorithmen aus, welche Werbung wir zu sehen bekommen, gespeist von Daten aus Trackern, die uns im Internet auf Klick und Reload verfolgen. Wahre Wunderdinge erzählt man sich von diesen Algorithmen: Sie kennten uns besser als wir selbst, wüssten um unsere Interessen und könnten unsere Kaufentscheidungen mit personalisierter Werbung manipulieren. Die Realität ist oft viel banaler. So geisterte vor Jahren eine Geschichte durchs Netz und die Medien vom Supermarkt mit dem passenden Namen Target, der einer Kundin mutmaßlich aufgrund der Daten aus einem Rabattprogramm à la Payback Werbung für Babysachen nach Hause schickte, bevor sie selbst wusste, dass sie tatsächlich schwanger war. Solche Ereignisse wiederholen sich bis heute, doch wenn die Algorithmen falsch liegen, entpuppt sich das ganze Wunder zum Beispiel als naheliegender Schluss aus den weiterverkauften Daten eines Zyklustrackers nach versäumter Dateneingabe. Auch im ersten Fall dürfte die Erklärung harmlos sein, handelt es sich doch um einen Einzelfall und wir wissen nicht, bei wie vielen Empfängerinnen Target falsch lag.

Das Modell vom algorithmisch durchleuchteten und manipulierten Konsumenten führt vielfach in die Irre. Es unterstellt „den Algorithmen“ Fähigkeiten, die sie so nicht haben, erklärt unerwartetes Verhalten fälschlich als Irrtümer einer Intelligenz und verengt die Vorstellung von Werbung auf personalisierten Druckverkauf von Consumer-Produkten. Aus dieser Perspektive erscheinen Beobachtungen grotesk, wie sie der Journalist Hendrik Wieduwilt machte und belustigt teilte:

Belustigter Tweet über Twitter-Werbung für militärische Transporthubschrauber
Psst, brauchst du Transporthubschrauber? Gute Stoff, NATO nimmt auch!

Was auf den ersten Blick und mit dem Modell der persönlich zugeschnittenen Werbung im Hinterkopf wie eine erheiternde Fehlfunktion wirkt, lässt sich in Wirklichkeit leicht erklären. Die Kaufentscheidung, um die es geht, fällt im Verteidigungsministerium. Seit Anfang des Jahres läuft das Beschaffungsverfahren für einen neuen Transporthubschrauber für die Bundeswehr. Einer der beiden Bieter* ist Boeing mit dem gezeigten Modell Chinook.

Ein wie auch immer gearteter direkter Einfluss dieser Werbung auf die Beschaffungsentscheidung der Bundeswehr ist nicht zu erwarten. Man investiert nicht mehrere Jahre in die Vorbereitung und Abwicklung eines Beschaffungsverfahrens, nur um am Ende die Ministerin nach Bauchgefühl und der am häufigsten gesehenen Anzeige entscheiden zu lassen. Dennoch ergibt die Werbung Sinn, wenn man sie Teil einer Imagekampagne betrachtet, mit der die öffentliche Meinung zugunsten des eigenen Angebots gepflegt werden soll. Welche Wirkung man davon am Ende erwarten kann, sei dahingestellt; schaden wird es nicht, der Öffentlichkeit bekannt zu sein.

Besonders gut zielen muss man mit einer solchen Kampagne nicht, sie soll ja viele erreichen. Eine Portion Targeting wird dennoch im Spiel sein und das versteht man am besten, wenn man es als Ausschluss offensichtlich unsinniger Versuche auffasst.

Henry Ford wird das in verschiedenen Fassungen kursierende Zitat zugeschrieben: „Ich weiß, die Hälfte meiner Werbung ist hinausgeschmissenes Geld, ich weiß nur nicht welche Hälfte.“ Die Chance, mit Werbung bei einem zufällig ausgewählten Individuum eine Wirkung zu erzielen, ist gering, meist viel geringer als fünfzig Prozent. Es gibt kein Geheimwissen, mit dem sich dies grundlegend ändern ließe. Denkt nur daran, wie viel Werbung Ihr Tag für Tag ignoriert, für wie viele Produkte Ihr Werbung erhaltet, die Ihr nie kaufen würdet.

Dennoch lassen sich die Erfolgsquoten einer Kampagne pro Kontakt und damit das Kosten-Nutzen-Verhältnis optimieren, indem man offensichtlich chancenlose Versuche gleich ganz bleiben lässt und die dafür sonst aufzuwendenden Kosten einspart. Im vorliegenden Fall zielt die Kampagne auf Deutschland. Man kann also schon mal auf alle Versuche verzichten, bei denen die Empfänger keinen Bezug zu Deutschland haben. Das ließe sich noch näherungsweise durch die Auswahl der Medien und sonstigen Werbeumfelder erreichen, wie man es früher getan hat und in Printmedien noch tut. Im Internet mit seinen zentralen Werbeplattformen ist man jedoch weniger eingeschränkt und so ließe sich diese Zielgruppenbeschränkung auch dann noch umsetzen, wenn jemand Slashdot oder El País oder eben Twitter besucht.

Je nach Ausrichtung der Kampagne könnte eine weitere Einschränkung sinnvoll sein, nämlich auf relevante Entscheider und Multiplikatoren, also ungefähr höhere Militärs und Verteidigungsbeamte sowie Journalisten und einflussreiche Blogger. Ob das hier der Fall ist, weiß ich nicht. Vielleicht bekommt auch jeder zurzeit Hubschrauberwerbung, ob Journalistin, Militär, Klempnerin oder Katzenbildblogger. Wer wahrscheinlich journalistisch tätig ist, kann Twitter wissen; ob es sich ohne weitere Verknüpfung aus Tracking-Daten herauslesen ließe, weiß ich nicht. Um hingegen jemanden halbwegs verlässlich als, sagen wir, Staatssekretär im BMVg einordnen zu können, wird man ihn de facto persönlich identifizieren oder sich auf seine Angaben verlassen müssen.

So fein müssen Zielgruppen freilich gar nicht immer abgegrenzt werden, auch wenn man zuweilen von Microtargeting liest. Brauchbare Einschränkungen beim Zielen auf Entscheidungsträger könnten Kriterien sein wie: „hat studiert und ist schon etwas älter“, oder „verfügt mutmaßlich über ein monatliches Einkommen von mehr als x-tausend Euro“. Wichtig ist nur, dass man halbwegs verlässlich möglichst große Zahlen derjenigen ausschließt, die man nicht erreichen möchte.

Das heißt nicht, dass die Werbewirtschaft nicht alle Daten sammeln würde, die sie kriegen kann, oder dass sie Hemmungen hätte, über jeden einzelnen von uns ein persönliches Dossier anzulegen. Doch die mächtigen  und geheimnisvollen Algorithmen, die uns durch unsere DSL-Anschlüsse gleichsam direkt ins Gehirn schauen und unser Verhalten vorhersagen könnten, diese Algorithmen gibt es nicht.


*) Als einziger Konkurrent tritt der ebenfalls amerikanische Hersteller Sikorsky an und die Ausschreibung war wohl so formuliert, dass auch niemand sonst überhaupt die Bedingungen erfüllen konnte. Angesichts dessen frage ich mich, warum wir bei der Bundeswehr nicht so einen Souveränitätszirkus veranstalten wie für die Cloud, obwohl wir doch auf diesem Gebiet mit Airbus sogar über einen eigenen Kandidaten verfügen.

Trendsport Algorithmenschelte

Warf man Internetkonzernen wie Google und Facebook einst vor allem vor, Datenkraken zu sein, hat heute de Algorithmenschelte den Spitzenplatz unter den Memen der Technikkritik übernommen. Die künstliche Intelligenz stehe kurz vor der Übernahme der Weltherrschaft, raunt es durch die Medien, und niemand verstehe so recht, was sich diese immer mächtiger werdenden Algorithmen dächten. Man müsse ihnen Zügel in Gestalt von Algorithmenethik und Not-Aus-Knöpfen anlegen, damit sie sich richtig entschieden, wenn sie etwa bei der Steuerung eines fahrerlosen Autos zwischen verschiedenen Unfallopfern zu wählen hätten.

Nun ist es gewiss nicht falsch, sich kritisch mit neuer Technik und ihren Anwendungen auseinanderzusetzen. Doch mittlerweile bekommt man manchmal den Eindruck, es sei legitim und notwendig, sich vor Algorithmen und künstlicher Intelligenz zu fürchten wie frühere Generationen vor dem Atomtod. Doch die gegenwärtigen Diskussionen sind geprägt von Missverständnissen, grandiosen Überschätzungen, Motiven aus der Science Fiction sowie modernen Legenden, die sich dank oberflächlicher Plausibilität durch ungeprüftes Nacherzählen verbreiten.

Eine dieser Legenden besagt, der Empfehlungsalgorithmus von YouTube fördere systematisch Schund und Schmutz und ziehe seine Nutzerinnen und Nutzer schnell und tief in extreme Filterblasen. Ich kann diese Erzählung aus eigener Erfahrung nicht nachvollziehen, denn meine persönlichen Empfehlungen sind an Harmlosigkeit kaum zu überbieten.

Ich habe freilich auch nicht die Methode angewandt, mit der die Empfehlungskritiker Belege für ihre These konstruieren: Getreu dem Axiom, dass stets nur die anderen als verstrahlte Manipulationsopfer in Frage kommen, während man selbst erleuchtet sei und alles durchschaue, betrachtet man einen hypothetischen Neunutzer ohne Vergangenheit, der YouTube zum ersten Mal nutzt und sogleich dessen Empfehlungen folgt. Das ist zwar offenkundiger Blödsinn, denn in dieser Situation kann auch das intelligenteste Empfehlungssystem nur raten, doch es liefert die gewünschte Geschichte. Mit Analysen, wie die Beobachtungen zustande kommen, hält man sich dabei nicht auf.

In diese Kerbe haut nun auch die Mozilla-Stiftung mit ihrer Kampagne YouTube Regrets, in der sie Geschichten verstörter Zuschauerinnen und Zuschauer erzählt und Google als Betreiber der Plattform angreift. Die Motivation bleibt unklar, doch konkurrieren Mozilla mit Firefox und Google mit Chrome erbittert um Anteile am Browsermarkt.

Im Zentrum der Kampagne stehen die Statements 28 anonymer YouTube-Zuschauer, die sich mehr oder minder entsetzt zeigen ob der Videos, die ihnen die Plattform empfahl. So empört sich Zeuge Nr. 3, Pferdesportfan, darüber, dass YouTube ihr oder ihm immer wieder Videos kopulierender Pferde anbiete, obgleich man an Pornographie gänzlich desinteressiert sei. Nr. 13 schaute sich Anita Sarkeesians „Tropes vs Women in Video Games“ an und sah sich daraufhin mit Videos des Gamergate-Mobs konfrontiert. Nr. 22 berichtet, nach dem Genuss von Gaming-Videos unvermittelt auf Bongs gestoßen zu sein und vermutet, der Algorithmus habe einen Witz aus einem der Videos aufgegriffen. In einigen Statements wird sogar von Kindern berichtet, die offenbar unbeaufsichtigt vor dem Google-Apparat saßen und die das Programm darin verstört habe.

So weit, so spießig. Als Beitrag zur Erhellung war Mozillas Kampagne vermutlich nicht gedacht, doch illustrieren die verwendeten Statements Missverständnisse und Denkfehler, die populistischer Algorithmenschelte wie dieser zugrunde liegen. Das größte Missverständnis: Es handle sich um komplizierte, geheimnisvolle Algorithmen, die anhand einer Unmenge von Daten unser Innerstes durchleuchteten, um unsere Interessen zu verstehen, und persönliche Empfehlungen für jede Einzelne von uns berechneten.

Tatsächlich verstehen wir Empfehlungssysteme gut. Sie berechnen abstrakte Kategorien – meist andere als ein Mensch bilden würde – in die sie sowohl Nutzer als auch Inhalte einordnen und geben die danach am besten passenden Kombinationen aus. Ihr Weltwissen beziehen sie dabei aus dem beobachteten und statistisch aggregierten Verhalten der Nutzerschar. Schauen sich also viele als Pferdeliebhaber eingestufte Nutzerinnen und Nutzer Filme von kopulierenden Pferden an, wird das Empfehlungssystem diese statistische Assoziation reproduzieren. Von Pferden oder von Kopulation versteht der Algorithmus dabei nicht das Geringste.

Überhaupt dürfte das Empfehlungssystem wenig oder gar keine Informationen über den Inhalt eines Videos berücksichtigen, denn solche sind trotz aller Fortschritte immer noch schwer zu ermitteln, zumal im YouTube-Maßstab, wo in jeder einzelnen Sekunde Videomaterial mit einer Gesamtlaufzeit von mehreren Stunden hochgeladen wird. Stattdessen wird das Empfehlungssystem vor allem oder ausschließlich mit Metadaten arbeiten: Titel und Beschreibungen, Kanäle, Likes und so weiter.

Von unserem Innersten, unseren Interessen versteht das Empfehlungssystem noch weniger als vom Inhalt der Videos, denn es sieht von uns nur das, was wir auf YouTube tun. Auf dieser Grundlage lassen sich keine wirklich persönlichen Empfehlungen geben, wie man sie vielleicht von engen Verwandten oder langjährigen Freunden erhielte. Vielmehr rät YouTube, was uns gefallen könnte, weil es andere mit ähnlichen Sehgewohnheiten angeschaut haben, statt aus seinem riesigen Angebot eine noch willkürlichere Zufallsauswahl zu präsentieren. Die einzige gerechtfertigte Erwartung an ein solches System ist die, dass es nach häufiger Nutzung Empfehlungen präsentiere, die im Mittel etwas weniger unpassend seien eine willkürliche Auswahl. Ganz unschuldig ist die Internetwirtschaft an Überschätzung ihrer Möglichkeiten allerdings nicht, nimmt sie doch den Mund gerne voll und preist den Output recht banaler Software selbst als personalisiert an.

Dem Missverständnis folgt ein Denkfehler, wenn man Algorithmen wie einem Empfehlungssystem Schutz vor Schund und Schmutz oder gar Moral abverlangt. Zum einen können sie dies bei weitem nicht leisten, denn sie betreiben letztlich nur automatisiert eine clevere Statistik, während sich an Fragen von Moral und Ethik Generationen von Philosophen und Theologen die Zähne ausgebissen haben, ohne endgültige Antworten geben zu können. Doch selbst wenn man auf Beschränkungen der Technik keine Rücksicht zu nehmen hätte, vielleicht gar Menschen an ihre Stelle setzte, blieben solche Entwurfsziele problematisch.

Wessen Moral soll „der Algorithmus“ durchsetzen? Ist es richtig, ist es notwendig, Menschen vor dem Anblick kopulierender Pferde zu schützen oder stellt vielleicht die Vermittlung biologischer Allgemeinbildung über die Fortpflanzung der Säugetiere ein höherrangiges Ziel dar? Sollen Empfehlungen Filterblasen verstärken, abschwächen oder ignorieren und gilt die Antwort gleichermaßen für feministische Filterblasen wie für jene des Gamergate-Mobs? Und was sollen wir aus der Tatsache schließen, dass mehrere Statements der Mozilla-Kampagne explizit sagen, man selbst habe den Schmutz natürlich als solchen erkannt, aber andere müssten doch sicher davor geschützt werden?

Das Internet ist ein Spiegel der Gesellschaft. Empfehlungssysteme geben ein Echo, teils auf das Sehverhalten einzelner Nutzerinnen und teils auf kollektives Verhalten. Wie sich diese Faktoren im Einzelnen mischen und ein bestimmtes Ergebnis hervorbringen, mag manchmal so schwer zu durchschauen sein wie die Akustik eines Konzertsaals für jemanden, der schon im Physikunterricht nicht aufgepasst hat. Dies ist jedoch kein Grund, Algorithmen zu verteufeln oder Unmögliches von ihnen zu verlangen. Es handelt sich nur um banale Computerprogramme.

Das heißt nicht, dass es nichts zu diskutieren gäbe. YouTube und andere Plattformen haben die Medienlandschaft verändert und damit auch die Art und Weise, wie gesellschaftliche Diskurse verlaufen. Doch wer die daraus resultierenden Fragen auf Algorithmenschelte verkürzt, setzt an der falschen Stelle an und verliert wichtige Aspekte aus dem Blick. Allen voran ist dies die Finanzierung durch Werbung, die nicht nur klassischen Medien Umsätze genommen hat – deswegen kämpften die Verlage so vehement für ein Leistungsschutzrecht, das ihnen Vor- und den neuen Konkurrenten Nachteile bescheren sollte –  sondern auch die ökonomischen Anreize bestimmt, aus denen die Entwicklungs- und Optimierungsziele der Betreiber und damit Gestaltungsentscheidungen resultieren. Dass wirtschaftliche Abhängigkeit von der Werbung in der Programmgestaltung für eine Gratwanderung zwischen Krawall zur Publikumsbindung und Seichte zur Befriedigung der Werbekundenwünsche führt, kennen wir schon aus dem Privatfernsehen.

Algorithmen sind demgegenüber nur der verlängerte Arm des Unternehmens, das sie einsetzt. Sie bestimmen nicht die Richtung, sondern sie wirken als ausführendes Organ. Ihre Funktion folgt notwendig den Zielen und Prioritäten derer, die sie einsetzen. Wer sich an Algorithmen abarbeitet statt an Unternehmen und ihre Geschäftsmodellen, müsste folgerichtig angesichts des Volkswagen-Skandals, Verzeihung, der Dieselproblematik auch eine Motorenethik fordern. Doch darüber würden wir zu Recht lachen.

PS: Eine gute Vorstellung davon, wie Empfehlungssysteme funktionieren, vermittelt dieser Artikel: How The New York Times is Experimenting with Recommendation Algorithms.
(2019-10-24)

PPS: Eine neue Studie beschäftigt sich mit der Frage, ob man eine eventuelle Radikalisierung auf YouTube überhaupt „den Algorithmen“ zuschreiben kann.
(2019-10-25)

Überwachungsfolklore

Zu den Grundüberzeugungen deutscher Datenschützer gehört die Annahme, jede Beobachtung – insbesondere, aber nicht nur mittels Kameras – lenke auf magische Weise das Verhalten der Beobachteten und mache sie wie von selbst zu artigen Konformisten. Zuletzt argumentierte so das Oberverwaltungsgericht Münster, das der Polizei verbot, öffentliche Demonstrationen zum Zweck der Öffentlichkeitsarbeit zu fotografieren. Denkt man das Argument zu Ende, so bleibt nur noch ein kleiner Schritt bis zur Unterbindung jeglicher Berichterstattung über Demonstrationen, wie sie von autoritären Regimes praktiziert wird. Andernfalls müsste man sich den Vorwurf der Inkonsequenz gefallen lassen, denn wenn der fotografierende Polizist die Demonstranten einschüchtert, warum dann nicht auch der fotografierende Journalist neben ihm, dessen Fotos sich die Polizei im Netz anschauen kann?

Hinweisschild mit der Aufschrift: „Smile, You’re on camera…“ auf einem Bahnhof in England

Das jüngste Urteil aus Münster ist kein Einzelfall. Selbst der bloßen Anscheinsüberwachung mit Kameraattrappen, gegen entschlossene Täter so wirksam wie eine Vogelscheuche, sagt man die Erzeugung von „Überwachungsdruck“ nach. Empirisch überprüft oder auch nur ernsthaft in Frage gestellt hat man die These von der verhaltenslenkenden Wirkung der Überwachung nie. Gleich einem Mem wurde sie zur Wahrheit durch ständige Wiederholung, indem sie einer dem anderen nachplapperte. Dabei ist sie nicht einmal plausibel: Einer bloßen Beobachtung fehlt schon die zum Lenken nötige Richtung, denn wer nur passiv beobachtet wird, weiß gar nicht, wie er sich verhalten soll und wie nicht. Eine solche Richtung und damit eine lenkende Wirkung ergibt sich erst aus der Systematik von Interventionen. Nicht die bloße Beobachtung lenkt das Verhalten von Menschen, sondern die wahrscheinlichen Konsequenzen. Deutlich machte dies etwa das Ende der DDR vor dreißig Jahren. Damals füllten sich die Straßen schlagartig mit Demonstranten, als sich zeigte, dass das Regime am Ende war, seine Sicherheitskräfte nicht mehr wirksam gegen die eigene Bevölkerung einsetzen konnte und keine Hilfe aus Moskau zu erwarten hätte. Eine Nummer kleiner erleben wir dieselbe Tatsache tagtäglich im Straßenverkehr, wo vor aller Augen ungeniert Regeln gebrochen werden, solange niemand die Verstöße ahndet.

Zweifel am Mem von der verhaltenslenkenden, freiheitsgefährenden Wirkung der Videobeobachtung nährt eine aktuelle Statistik. Comparitech hat für 121 Städte aus aller Welt die Anzahl der Überwachungskameras pro 1.000 Einwohner erfasst und Statista aus den Top 12 eine Infografik erstellt:

Balkendiagramm: „The Most Surveilled Cities in the World”
Die am stärksten videoüberwachten Städte der Welt (Auszug aus einer Zählung von Comparitech).

Auf den ersten Blick scheint dieses Diagramm alle Vorurteile zu bestätigen, liegen doch acht der aufgeführten zwölf Städte im als Überwachungs- und Unterdrückungsstaat verschrienen China. Vor dessen Hauptstadt Peking, vor das wegen drakonischer Strafen bereits für kleine Vergehen berüchtigte Singapur und in der vollständigen Tabelle auch vor Städte wie Sankt Petersburg, Istanbul und Baghdad schiebt sich die britische Hauptstadt London auf Platz sechs.

Diese Platzierung überrascht zunächst nicht, gelten doch London und Großbritannien insgesamt als Hochburgen des Einsatzes von Closed-Circuit Television (CCTV). Jedoch stellen die Daten die herrschende Theorie in Frage, denn ihr zufolge wären die Menschen in Peking, Singapur, Sankt Petersburg, Istanbul und Baghdad freier als in London. Gemäß der herrschenden Theorie des Datenschutzes wären die Londoner auf der Straße vor allem damit beschäftigt, sich zum Wohlgefallen Ihrer Majestät zu betragen. Wer die Stadt einmal besucht hat, weiß, dass dies nicht der Fall ist. Tatsächlich zeigen die Daten von Comparitech nicht einmal eine Wirkung in der Hauptsache – es gibt keinen erkennbaren Zusammenhang zwischen der Kameradichte einer Stadt und der dort herrschenden Kriminalität, die meist den Überwachungsanlass bildet.

Dass Videoüberwachung nicht per se Verbrechen verhindere, erkennen Datenschutzaktivisten auf der Stelle an und führen es sogar selbst als Argument dagegen ins Feld. Sie sollten stutzig werden, wenn sie direkt daneben allerlei Nebenwirkungen behaupten, die noch weniger belegt sind als die bestrittene Hauptwirkung. Wenn die Verwendung von Kameras noch nicht einmal das Sicherheitsgefühl beeinflusst, wird sie kaum Demonstranten beeindrucken. Tatsächlich sind Kameras nur ein Werkzeug, das von einigen ideologisch aufgeladen wird. Hoffen wir, dass diese Einsicht eines Tages auch die Gerichte erreicht.