Helmquoten veröffentlicht die Bundesanstalt für Straßenwesen regelmäßig. Trotz jahrelanger Propaganda konnte sich dieses Utensil bei Radfahrern nicht durchsetzen. Ausnahme: unmündige Kinder. Die PR der Styroporbranche versucht sich in den Spin zu retten, Kindern seien vernünftiger als Erwachsene.
»Ok, help me understand. Why is #Google buying #Nest seen as bad for privacy/data control/etc.?
I don’t get it, the data Google already has about individuals is better. Is it because Google is seen tied to objects that just exist around us (and are not our direct extensions such as smartphones)? Is it the usual underspecified feeling of „creepyness“?«
I went for the creepiness option. This is my reply, which I recycle here:
Maybe it’s because we’re mentally still living in the pre-cloud and in the database paradigm. Google represents like no other organization – maybe except the NSA – a technological progress that’s hard to grasp. We have no appropriate conception of information risk and risk management for a world in which a single organization can process various data about the wealthier half of the planet’s population and draw inferences from these data. Google represents this development, working at its forefront and pushing the limits.
We have no intuition what may, could, or will happen to us in the long run due to this new technology, and we have no idea ho to manage the risks (or non-risks) that we don’t understand. In a way we are in a similar situation as those who drafted our first data protection laws back in the seventies and early eighties: having to manage not only the uncertainty inherent in any risk consideration, but rather an uncertainty about the uncertainty. Back then, the tentative conceptual and legal solution was to ban all storing and processing of personally identifiable data and grant permission only on a case-by-case basis.
Progress has turned this approach into a delusion, but we lack a convincing replacement. We don’t know what’s risky and what isn’t; most of us don’t even understand what creates value in an Internet-scale data processing business. We project all our uncertainties on the pioneers.
»The desire for security and the feeling of insecurity are the same thing. To hold your breath is to lose your breath. A society based on the quest for security is nothing but a breath-retention contest in which everyone is as taut as a drum and as purple as a beet.«
Praktikanten verderben die Preise und heulen herum, weil man sie wie Praktikanten behandelt. Dieser langjährige Trend macht auch vor der Sicherheitsbranche nicht Halt. Die Deutsche Post führt vor, wie man 1000 Stunden Pentest für 22.000 Euro einkauft: Statt eine Dienstleistung zu beauftragen und für die geleistete Arbeit zu vergüten, veranstaltet sie einen Wettbewerb und bezahlt nur für Ergebnisse. Und bekommt dafür nicht etwa einen Vogel gezeigt, sondern trifft auf ein williges Prekariat, dem Geld egal ist, wenn es nur was mit Medien^H^H^H^H^H^HHacking machen darf. Damit ist die Post nicht alleine, Bug-Bounty-Programme verbreiten sich rapide und tun im Prinzip dasselbe, nur kontinuierlich. Ist das gut oder schlecht?
custom-made malware – $1,500 + monthly service fee
If you want to get rich, don’t waste your time on developing sophisiticated attack techniques. Look at the services available and devise a business model.
Homöpathie kann nicht schaden? Denkste! Manche glauben daran, andere nicht. Blöd, wenn die anderen Polizisten sind, das weiße Pulver im Paket aus Uruguay für Heroin halten und gegen die Empfänger ermitteln:
»De nada sirvieron sus explicaciones de que aquel polvo blanco era su tratamiento homeopático contra su mielitis idiopática, que dificultaba su caminar.«
Für den Tagesspiegel nimmt Kevin P. Hoffmann die allgegenwärtge Sicherheitspropaganda auseinander. Kostprobe:
»Gleichwohl sind Bürger heute bereit, mitunter 60 bis über 100 Euro für ein Fahrradschloss auszugeben, um damit ein Rad zu schützen, das kaum doppelt so teuer war.
Mit Sicherheit ist kein Geschäft zu machen. Investitionen in Sicherheit sind erzwungener Konsum; wer bei Verstand ist, wird die Ausgaben für Sicherheit minimieren und allerlei Risiken einfach hinnehmen. Geschäfte macht man mit Angst, und mit Produkten, die Angst reduzieren. Auf Sicherheit kommt es dabei nicht an.
Which of the following statements do you agree or disagree with, and why?
If you get robbed, it’s your fault. You should have carried a gun and used it to defend yourself.
If your home gets burgled, it’s your fault. Your should have secured your home properly.
If you get raped, it’s your fault. Your shouldn’t have worn those sexy clothes, and hey, what were you doing in that park at night?
If your computer gets hacked, it’s your fault. You should have patched the computer every day and used a better password.
If you get run over by a car and injured in the accident, it’s your fault. You should have worn a helmet and a high-viz jacket.
If someone bullies you on the Internet, it’s your fault. You should have used a pseudonym on Facebook.
Do you agree with all, some, or none of these statements? Please elaborate in the comments. I’m not so much interested in nitpicking about the causation of certain incidents – read »your fault« as »in part your fault« if you like so. What interests me rather is the consistency or incocnsistency in our assessment of these matters. If you happen to agree with some of the statements but disagree with others, why is that?
In ihrem Paper Targeted, Not Tracked: Client-side Solutions for Privacy-Friendly Behavioral Advertising (HotPETS’11) machen Mikhail Bilenko, Matthew Richardson und Janice Y. Tsai auf eine verbreitete Begriffsunsauberkeit in öffentlichen Datenschutzdebatten aufmerksam. Sie diskutieren den Unterschied zwischen dem Targeting als Zweck und dem Tracking als Mittel, den ich vor einiger Zeit hier in der Serie Datenkrake Google behandelt habe.
Tracking ist das, wovor alle Angst haben: jemand sammelt quer durchs Internet individualisierte Daten über das Nutzerverhalten. Daraus entsteht eine große, unheimliche Datenhalde aus detaillierten Informationen über jeden von uns, mit der man alles Mögliche anstellen könnte. Isoliert betrachtet ergibt dieses Tracking jedoch als Geschäftsmodell wenig Sinn:
Sammle detaillierte Verhaltensdaten über alle
???
Profit!
Viel Sinn ergibt hingegen das Targeting von Werbung, um das Kosten-Nutzen-Verhältnis der Werbetreibenden zu optimieren. Targeting ist, was die Werbewirtschaft in erster Linie möchte. Tracking stellt ein mögliches Mittel zu diesem Zweck dar und ist übrigens nur so effektiv wie die Modelle, mit denen man aus den vorhandenen Daten Entscheidungen ableitet.
Tracking kann ein Mittel zu allen möglichen Zwecken sein. Targeting ist nicht zwingend auf bedrohliches Tracking angewiesen.
Wer sich die Datennutzungserklärung von PayPal durchliest, findet darin eine lange Tabelle. Sie informiert ihn darüber, mit welchen Unternehmen PayPal zu welchen Zwecken welche Daten teilt. So erfährt er beispielsweise, dass Nuance Communications »Aufnahmen von ausgewählten Kundengesprächen, in denen Kontoinformationen im Gespräch genannt werden können« für die »Einstellung und Optimierung von Spracherkennungssystemen für den telefonischen Kundenservice« bekommt oder RSA Security »alle Kontoinformationen« zur »Identitätsprüfung«.
Diese Tabelle macht gut die Hälfte der ganzen Erklärung aus. Dass sie so lang ist, lässt sich ohne Datenkrakengeschrei damit erklären, dass sich PayPal wie jedes moderne Unternehmen einer Reihe von Dienstleistern bedient. Um den Kern seines Geschäfts kümmert man sich selbst, mit allem anderen beauftragt man Spezialisten, die es besser und günstiger können – gewöhnliche Arbeitsteilung, wie sie jeder betreibt, der einen Steuerberater, eine Reinigungskraft oder einen Handwerker beschäftigt.
Der formal korrekte Transparenzmechanismus einer solche Auflistung schafft jedoch nur wenig Verständnis dafür, was dort eigentlich geschieht und welche Auswirkungen es auf den Nutzer hat. Um mehr zu erfahren, müsste man die Firmen abklappern und sich jeweils das Geschäftsmodell anschauen. Das ist nicht praktikabel, und so vermittelt die lange Tabelle wenig nutzbare Information. Der Nutzer ist förmlich informiert, weiß aber doch nicht mehr.
Das Web funktioniert heute genauso arbeitsteilig. Hinter kaum einer Website steckt noch ein in sich geschlossener Dienst, ein einsamer Webserver mit Inhalten und Programmen drauf. Wer eine Website nutzt, interagiert mit einer umfangreichen Dienstaggregation, manchmal sichtbar, oft auch verdeckt. Ein Symptom ist die umfangreiche Keksmischung, die man vom Besuch mit nach Hause nimmt.
Der Datenschutz hat bislang keinen konstruktiven Umgang mit diesem Phänomen gefunden. Heftige Diskussionen entzünden sich zuweilen an einzelnen seiner Ausprägungen, etwa am Like-Button von Facebook oder an Google Analytics. Der organisierte Datenschutz behandelt diese Ausprägungen als Einzelfälle statt als Repräsentanten einer Grundsatzfrage, und diskutiert etwa die Behandlung von Google Analytics als Auftragsdatenverarbeitung oder die Anforderungen an eine wirksame Einwilligung vor dem Einblenden eines Like-Buttons.
Sinnvoller wäre, das grundsätzliche Problem zu diskutieren: Was müsste geschehen, damit Nutzer in einem komplizierten (und variablen) Gefüge miteinander vernetzter Dienste ein praktisches Verständnis der Datennutzung erwerben können? In welchen Situationen entstehen tatsächlich Risiken? Welche praktikablen Kontrollmechanismen stehen diesen Risiken gegenüber? Welches Verständnis ist überhaupt nützlich, weil es die Auswahl zwischen Handlungsmöglichkeiten unterstützt? Für die formale Datennutzungserklärung spielen solche Fragen keine Rolle. Sie dient nicht der Interaktion mit dem Nutzer, sondern der Beruhigung der Aufsicht.
Anderthalb Wochen nach Frühlingsanfang: Die Sonnencreme-Kampagne 2012 ist angelaufen und informiert uns wie jedes Jahr darüber, dass wir uns der gefährlichen Strahlung aus dem All keinesfalls ungeschützt aussetzen dürfen. Auch die aktuelle Ausgabe des alljährlichen Zeckenalarms wurde bereits gesichtet. Nach Ostern kommen die Fahrradhelme dran und danach wird man uns daran erinnern, wie wir ohne Explosionen und ohne Verbrennungen grillen.
Wir haben uns in den Artikeln dieser Serie ein Modell gebildet, was Google mit Daten macht, welche Prinzipien dahinter stecken und wie daraus optimierte und partiell personalisierte Funktionen werden. Wir haben gesehen, dass naive Vorstellungen von Nutzerprofilen wahrscheinlich falsch sind. In Wirklichkeit betreibt Google automatisierte Verhaltensforschung im Industriemaßstab, bezogen auf spezifische Funktionen wie Eingabekorrektur, Übersetzung oder Werbeoptimierung. Als Ergebnis gewinnt Google populationsstatistische Aussagen, die individuell beziehungsweise nach impliziter Gruppenzugehörigkeit modifiziert werden können; eine klare Grenze zwischen diesen Aggregationsgraden gibt es nicht. Erfasst und gespeichert sind Googles Erkenntnisse in den Konfigurationen aufgabenspezifischer Klassifikatoren, die laufend dem globalen Verhalten der Nutzerpopulation angepasst werden. Die naiven Modelle aus Folge 2 passen nicht so recht dazu, auch wenn Google selbst manchmal anderes suggeriert:
Wer ein Google+-Profil hat und mit Google nach seinem eigenen Namen sucht, bekommt vielleicht diese Aufforderung zu sehen. Gemeint sind die expliziten und freiwilligen Angaben im Profil, nicht der Durchleuchtungsgrad der Person.
Damit es keine Missverständnisse gibt: Google besteht nicht nur aus lernenden Maschinen, viele Funktionen und Dienste nutzen auch herkömmliche Verfahren. Welche Termine in meinem Google-Kalender stehen, wen ich in Google+ in welchen Circles habe und welche Nachrichten in meinem GMail-Account liegen, speichert und verarbeitet Google (auch) ganz normal im Klartext, wie es jeder SaaS-Anbieter in der Cloud tun würde. Darauf mag man alle etablierten Begriffe und Modelle des Datenschutzes anwenden, wenngleich sie sich vielleicht aus anderen Gründen als unpassend erweisen. Ich behandle hier die Angstfunktion Daten sammeln und auswerten. Daten einfach zu sammeln lohnt sich im Google-Maßstab nicht, weil man mit einer Datenhalde wenig anfangen kann. Nach meinem Modell nutzt Google umfangreiche Daten, um damit einen Satz an Betriebsparametern fortlaufend zu optimieren und dem Lauf der Welt anzupassen. Die Optimierung und Anpassung erfolgt interaktiv, Google lernt von seinen Nutzern, was richtig und was falsch ist, was ähnlich und was verschieden. Das ist etwas anderes als das elektronische Profil, das Thilo Weichert sich vorstellt und es hat Folgen, die er sich nicht vorstellt.
Was ist anders?
Ein Klassifikator häuft nicht einfach Daten an. Er besitzt eine Konfiguration und zwei Grundfunktionen, Lernen und Klassifizieren. In der Funktion Klassifizieren erhält er einen Datensatz als Eingabe und gibt eine Entscheidung oder Entscheidungsempfehlung aus. In der Funktion Lernen passt er seine Konfiguration an, um die Rate der Fehlentscheidungen zu reduzieren. Die Konfiguration des Klassifikators gibt nicht die einzelnen Eingabedaten wieder, sondern ein davon abgeleitetes Modell. Darin unterscheidet sich dieser Ansatz von der Karteikarten-IT herkömmlicher Datenbanken, die alle Eingaben wörtlich abspeichern und als Ausgabefunktion im wesentlichen das Herausfiltern der jeweils gesuchten Daten anbieten. Welche Daten ein Klassifikator nutzt und was er über uns weiß, sind zwei Paar Schuhe. Wir können einen Klassifikator nicht danach befragen, welche Eingabedaten er zu einer Person erhalten hat.
Das führt zu interessanten Folgerungen für den Privatsphärenschutz:
Verhaltensbeobachtung und -auswertung bedeutet nicht zwingend eine Verletzung der Privatsphäre. Beispiele dafür sind die Korrekturfunktionen in der Google-Suche und in Google Translate, die aus dem Benutzerverhalten lernen. Google beobachtet bestimmte Aspekte des Nutzerverhaltens über eine Folge von Vorgängen hinweg, interessiert sich am Ende aber vor allem für statistische Aussagen.
Ein Kontinuum an Personenbezug. Ein Klassifikator kann personenbezogene Entscheidungen treffen, er muss es aber nicht. Er wird Entscheidungen nach den Kriterien treffen, die in der Vergangenheit erfolgreich waren. Da die Konfiguration des Klassifikators variabel ist, kann sich der personenbezogene Entscheidungsanteil laufend ändern. Nützlich ist ein Klassifikator vor allem dort, wo es verallgemeinerbare Zusammenhänge in den Daten gibt – Verallgemeinerung ist das Gegenteil von persönlichen Profilen. Die vielen Einzeldaten braucht man , weil man die Verallgemeinerungsregeln vorher nicht kennt.
Einzelne Merkmale – IP-Adresse, Cookies, Geburtsdatum und so weiter – sind wenig relevant. Klassifikatoren arbeiten in vieldimensionalen Merkmalsräumen und bei guter Konstruktion tragen alle Dimensionen zur Klassifikationsleistung bei. Lässt man eine Merkmalsdimension weg, bleiben (n-1) übrig, für ein ziemlich großes n. Die Klassifikationsleistung verringert sich dadurch nur wenig, zumal in den verwendeten Daten Korrelationen zwischen mehreren Dimensionen auftreten können. Das heißt auch: ein Klassifikator kann relativ robust gegen gelöschte Cookies sein.
Der Grad der Personalisierung hängt auch vom Nutzerfeedback ab. Wie stark die Entscheidungen eines Klassifikators personalisiert sind, hängt davon ab, welches Feedback der Nutzer zu diesen Entscheidungen gibt. Wer viel Werbung anklickt, personalisiert seine Werbeeinblendungen damit, falls dieses Feedback mit Personen- oder Pseudonymbezug zum Lernen verwendet wird.
Klassifikator-Modelle sind inhärent zweckgebunden. Ein Klassifikator wird für eine bestimmte Aufgabe entworfen und trainiert. Zwar kann man die dabei entstehende Konfiguration als Modell der Problemlösung untersuchen und dabei Interessantes herausfinden. Jedoch lässt sich ein Klassifikator nicht einfach für etwas anderes verwenden. Einen universellen Klassifikator, der »alles« kann, gibt es nicht; jedes Optimierungsverfahren benötigt Annahmen über das Problem. Man kann freilich einen Klassifikator mit Personen als Ausgabeklassen bauen, wenn man Feedback über die Richtigkeit der Zuordnung bekommt.
Löschen geht nicht – aber Personenbezüge können verblassen. Sind Daten über einen Nutzer in die Konfiguration eines Klassifikators eingeflossen und dort mit anderen Daten verschmolzen, lässt sich dieser Vorgang nicht sinnvoll rückgängig machen. Liefert ein Nutzer keine neuen Daten nach, werden seine Einflüsse jedoch nach und nach von anderen überlagert. Ein fortwährend trainierter Klassifikator in einer veränderlichenUmgebung verliert im Laufe der Zeit seine Fähigkeit, auf diesen Nutzer personalisierte Entscheidungen zu treffen – er vergisst, ohne auf den Innenminister und dessen Ideenwettbewerb zu warten.
Solche Phänomene sind in unseren überlieferten Datenschutz-Konzepten nicht vorgesehen. Wir können auf verschiedene Arten damit umgehen. Wir können auf die Einhaltung formaler Vorschriften aus einer anderen Zeit pochen und Bürokratie als Selbstzweck vollziehen. Dann ist Google verboten, bis jeder Nutzer eine Generalvollmacht erteilt hat und ab und zu gibt es einen Shitstorm. Oder wir erinnern uns daran, dass Datenschutz als Mittel zum Zweck unserer Selbstbestimmung über unsere Privatsphäre dienen soll. Dann müssen wir bei diesem Ziel ansetzen und uns neu überlegen, wie die Technik es bedroht und wie vielleicht auch nicht.
Als Informatiker kann ich dort nicht qualifiziert mitreden. Mir stellen sich andere, aber verwandte Fragen: Wie sieht wirksamer Privatsphärenschutz in heutigen und künftigen soziotechnischen Systemen aus? Von welchen Bedrohungsmodellen muss er ausgehen und wie kann er die Evolution der Technik zulassen und begleiten?
Cookies, IP-Adressen und die Datenübermittlung in andere Länder nützen uns als Diskussionsrahmen wenig. Die Radikallösung, Teile des Netzes ungenutzt zu lassen, ist wegen seines großen Nutzens keine realistische Option. Interessanter ist, wer uns anhand welcher Daten wehtun kann, wie wahrscheinlich das ist, und welche wirksamen Maßnahmen es dagegen gibt.
Die Abstraktion des personenbezogenen Datums und der Entscheidung des Betroffenen, wer dieses Datum haben darf, stammt aus einer anderen Ära der Informationstechnik. Unabhängig davon, in welchem Maße Techniken wie die von Google eingesetzten unsere Privatsphäre bedrohen oder nicht, können wir mit der Freigabe einzelner Datensätze und Datenfelder keinen sinnvollen Einfluss auf eventuelle Risiken nehmen. Vielleicht müssen wir uns gänzlich von der Idee lösen, dass es auf Daten ankäme, und uns damit beschäftigen, was daraus gemacht wird.
Die individuellen und gesellschaftlichen Privatsphären-Interessen müssen wir außerdem abwägen gegen das berechtigte Interesse einer Firma wie Google, technische Details für sich zu behalten. Bessere Klassifikatoren zu bauen als der Rest der Welt gehört zu Googles Kerngeschäft. Andererseits sollte die Technik so transparent sein, dass sie informierte Entscheidungen unterstützt, wobei es auf die Entscheidungen ank0mmt und nicht auf deren formalisierte Niederlegung im Vertragsstil. Mit diesem Spannungsfeld sowie mit realistischen Bedrohungsmodellen muss sich der organisierte Datenschutz beschäftigen, wenn er in Zukunft relevant bleiben möchte. Laut über Daten-Schmu zu schimpfen und dann weiter alte Modelle auf neue Technik anzuwenden, bringt uns keinen Schritt weiter.
Schlusswort
Google ist im wahrsten Sinn des Wortes ein Elektronengehirn, wie es die Science Fiction einst beschrieb. Wer um jeden Preis Angst haben möchte, stellt sich unter Google am besten so etwas wie HAL 9000 vor, hochskaliert auf einen Planeten anstelle eines Raumschiffs. Google verhielte sich ähnlich, zöge man ihm nach und nach die Speichermodule raus – Google würde nach und nach verblöden.
The famous red eye of HAL 9000 by Cryteria, CC-BY 3.0 unported
Unter dieser Prämisse lautet die Grundsatzfrage: Welche Denkverbote müssen wir so einem Computer auferlegen und welche nicht? Wie formulieren wir solche Denkverbote, wenn wir den größtmöglichen Nutzen behalten wollen? Oder brauchen wir in Wirklichkeit gar keine Denkverbote für Elektronengehirne, sondern angemessene Denkweisen und Begriffe für uns selbst als Individuen und als Gesellschaft? Fürs erste tut es auch eine kleinere Frage: Wie machen wir eine Datenverarbeitung transparent für Nutzer, die komplizierter ist als die gute alte Datenbank? Ein Stück Verständnis hat Google mit seiner aufgeräumten Datenschutzerklärung schon mal effektiv vermittelt, nämlich dass seine einzelnen Dienste nur Sichten auf ein System sind. Das haben jetzt alle verstanden.
Die obere Anzeige betitelt ihren Link einfach mit Zum Download. Genau danach habe ich gesucht, nach einem Download, diese Anzeige wird an dieser Stelle sicher hervorragend funktionieren, gerade weil nicht aus ihr hervorgeht, was sich eigentlich dahinter verbirgt. Für so eine Optimierung braucht man gewissenloses, nüchtern-rationales Personal, zum Beispiel einen Computer, dessen einzige Mission in der Klickratenoptimierung besteht.
Über mich weiß Google offensichtlich, dass ich Deutsch spreche. Das erzählt mein Browser allerdings jeder Website und ich mache auch sonst kein Geheimnis daraus.
Sicher ist sicher? 