Schlagwort-Archive: Einwilligung

Gut gemeint

By Design, Datenschutz, Geschäft, ,

Großen Anteil am schlechten Ruf des Datenschutzes haben die Cookie-Zustimmungsdialoge, ohne die sich kaum noch eine Website ins Netz wagt. Mit wenigen Ausnahmen offen manipulativ heischen sie um Einwilligungen und gehen im Namen des Datenschutzes allen auf den Wecker: den einen, weil ihnen Cookies egal sind, den anderen, weil das Ablehnen Arbeit macht. Weder die einen noch die anderen können ausdrücken, was sie eigentlich sagen wollen.

Vordergründig scheinen die Rollen klar verteilt: hier die wackeren Datenschützer, die Grundrechte verteidigen, dort die gierigen Datenkraken, die diese Rechte nonchalant mit Füßen treten. Mit Dark Patterns, schmutzigen Tricks in der Benutzerführung, führen Websites ihre Besucher zur Einwilligung, deren Wirksamkeit freilich fraglich bleibt. Hin und wieder gehen Datenschutzbehörden dagegen vor, wie vor einiger Zeit in Dänemark.

Doch so klar lassen sich Schuld und Unschuld nicht zuweisen, sonst wäre der Datenschutz dieser Seuche längst Herr geworden. Tatsächlich sehen wir hier eine Wechselwirkung zweier unabhängig voneinander entworfener Systeme, von denen jedes für sich einen Sinn ergibt, die aber nicht aufeinander abgestimmt sind. Das eine System ist das World Wide Web als Plattform für alle möglichen Anwendungen sowie als Ökosystem der Arbeitsteilung und daraus resultierender Beziehungen. Das andere System ist der Datenschutz mit seiner eigenen Vorstellung, wie die Welt funktioniere und zu funktionieren habe.

Bei ausgewogener Betrachtung zeigen sich nicht nur gegensätzliche Interessen, ohne die der Datenschutz als Regelwerk und Kontrollsystem überflüssig wäre, sondern auch Schwächen des Datenschutzes, die zum Problem beitragen: eine nur teilweise Risikoorientierung, Blindheit für die Verhaltensökonomie der Verantwortlichen und Verarbeiter, sowie die Fehlallokation von Zuständigkeiten im Ökosystem.

Die Risikoorientierung des Datenschutzes ist eine gute Idee: Der Aufwand für Schutzmaßnahmen orientiert sich an den Risiken, die aus der Datenverarbeitung erwachsen. So müssen zum Beispiel die Gesundheitsdaten von Millionen Krankenversicherten stärker geschützt werden als die Mitgliederkartei Gesangsvereins. Dazu orthogonal verläuft jedoch die Frage, ob beziehungsweise auf welcher Erlaubnisgrundlage die Daten im Einzelfall überhaupt verarbeitet werden dürfen, denn die Verarbeitung erfordert stets eine gesetzliche oder individuelle Erlaubnis. In dieser Dimension gibt es keine Risikoorientierung, die Verarbeitung personenbezogener Daten kann nicht alleine wegen Harmlosigkeit erlaubt sein. Deswegen fragen uns Websites für jedes Cookie, das sich die Betreiber nicht als unbedingt erforderlich zu deklarieren trauen, nach unserer Einwilligung oder einem eventuellen Widerspruch.

Verhaltensökonomie versteht der Datenschutz auf der Betroffenenseite, jedenfalls soweit es um Einwilligungen geht. Einwilligungen müssen freiwillig erfolgen und mit etwas Analysearbeit kann man die Freiwilligkeit bezweifeln, wenn Benutzerführungen manipulativ wirken. Weniger Aufmerksamkeit widmet der Datenschutz der Verhaltensökonomie auf Seiten der Verantwortlichen und Verarbeiter. Für sie ist Datenschutz ein Compliance-Problem: Sie möchten ihre Geschäftstätigkeit möglichst ungestört ausüben, müssen dabei jedoch gesetzliche Bestimmungen einhalten und riskieren andernfalls Strafen.

Dies gibt Unternehmen einen Anreiz, mit möglichst geringem Aufwand möglichst umfassend korrektes Handeln zu dokumentieren, um Strafen zu entgehen. Das Heischen um Einwilligungen dient diesem Zweck, es soll dokumentierte Einwilligungen in die beabsichtigte Datenverarbeitung produzieren. Hierin liegt die Ursache manipulativer Gestaltung und mithin teils im Datenschutz selbst, der tatsächlich oder vermeintlich zu wenig Spielraum für die einwilligungsfreie Verarbeitung bietet. Organisationen sind tendenziell ängstlich und neigen dazu, Verantwortung abzuschieben – in diesem Fall auf die Nutzer als Betroffene, die doch bitte selber wollen sollen, was eine Website sollen will.

Zu guter Letzt entspringt die Seuche der Cookie-Einwilligungs-Dialoge auch einer Fehlallokation von Verantwortung im Ökosystem World Wide Web. In Wirklichkeit geht es gar nicht um Cookies, sondern um von Dritten bereitgestellte Dienste, die eine Website einbindet und zu denen deshalb Nutzerdaten fließen. Dazu gehören zum Beispiel Statistikdienste wie Google Analytics, Werbeplattformen, Einbettungen fremder Inhalte sowie technische Unterstützungsdienste.

Die Auswahl unterscheidet sich von Website zu Website, doch letztlich handelt es sich um eine relativ überschaubare Menge von Hintergrunddiensten, denen Nutzer auf verschiedenen Websites immer wieder begegnen. Zum Teil ist das ausdrücklich gewollt, etwa bei Werbeplattformen, die einzelne Nutzer über viele Websites hinweg wiedererkennen und verfolgen möchten. Zwar arbeiten die Hintergrunddienste unabhängig voneinander, aber jeder für sich ist zentralisiert und zusammen bilden sie eine Plattform, derer sich Websites bedienen.

Für den Datenschutz sind jedoch in erster Linie die einzelnen Websites zuständig. Sie tragen die Verantwortung dafür, ihre Besucher über die Datenverarbeitung zu informieren und nötigenfalls deren Einwilligung einzuholen. Das ist gut gemeint – Warum sollten sich Besucher einer Website mit den Zulieferern des Betreibers beschäftigen? – aber es passt nicht zur Struktur des Ökosystems. Da jede Website für sich und ihre Zulieferer verantwortlich ist, fragt auch jede für sich nach: Darf Werbeplattform X dich auf spiegel.de verfolgen? Darf Werbeplattform X dich auf heise.de verfolgen? Darf Werbeplattform X dich auf handelsblatt.de verfolgen?

Nicht Werbeplattform X fragt also nach einer Einwilligung, sondern jede Website, die damit arbeitet. Es gibt auch keine Möglichkeit, einmal festzulegen, dass man nie und nirgends etwas mit Werbeplattform X zu tun haben möchte. Damit aber wird die aktive Bitte um Einwilligung selbst zum manipulativen Dark Pattern, denn sie verursacht beim Nutzer Aufwand pro Website. Schlimmer noch, ausgerechnet bei Verwendung des Private- bzw. Incognito-Modus oder anderer Mechanismen zum Löschen von Cookies wird nicht einmal die Entscheidung pro Website gespeichert. Der Aufwand, sich mit einem Cookie-Einwilligungs-Dialog auseinanderzusetzen, fällt dann sogar pro Website-Besuch an, obwohl man es am Ende immer mit denselben paar Hundert Hintergrunddiensten zu tun hat.

Ganz gleich wie die Einwilligungs-Dialoge im Einzelnen gestaltet sind, die aktive Bitte um Cookie-Einwilligungen pro Website wirkt alleine bereits als Dark Pattern. Nutzerseitig entstehen fortlaufend Verhaltenskosten, die bei Verwendung von Datenschutzmechanismen zunehmen. Mechanismen für eine effiziente Selbstbestimmung über Hintergrunddienste fehlen. Dem Datenschutz ist es bis heute nicht gelungen dieses Defizit zu beheben oder auch nur eine Lösung zu skizzieren. Im Endeffekt besteht der Datenschutz auf Compliance zu Lasten der Betroffenen, weil er zu unbeweglich und sein Horizont zu eng ist.

Datenkrake Google (2/7): Naive Modelle

Datenkrake, Datenschutz, Forschung, Geschäft, Spackeria, Wolkenkuckucksheim, , , ,

[InhaltTeil 1Teil 2 – Teil 3 – Teil 4 – Teil 5 – Teil 6 (+Nachtrag) – Teil 7]

Im ersten Teil haben wir gesehen, dass Google häufig missverstanden wird, weil wir Metaphern aus unserer Erfahrungswelt auf Google anwenden und damit alles für erklärt halten. In Wirklichkeit funktionieren solche Metaphern aber nur für einige Oberflächenphänomene.

Google als Datenbank?

Ein vebreitetes Missverständnis betrifft die Sammlung, Speicherung und Verwendung personenbezogener Daten, landläufig als Nutzerprofile bezeichnet. Nutzerprofile kann sich jeder vorstellen, das sind, ganz klar, umfangreiche Datensätze in riesigen Datenbanken:

»Die Profile als solche sollen ja immer anonym sein, das heißt (sofern ich das richtig verstehe), dass das z. B. so aussieht:

  • Profilnummer: 1337
  • Interessen:
    • Urlaubsziele: Toscana, Sizilien
    • Hobbies: Arduino, Lockpicking
    • Essen: Hamburger, Grießbrei

Wenn jetzt jemand Werbung schalten möchte, geht derjenige zu Google und sagt: „Hey, Google, ich will für mein Grießbreiwettessen am Fuße des Ätna Werbung schalten. Bitte zeige also allen Grießbreiessern, die gerne nach Sizilien fahren oder dort wohnen, folgende Werbung:
‚[…]‘.“«

(Kommentar von Steven Koenig alias Kreuvf  auf heise.de)

An diesem Modell orientieren sich unsere Ängste und Befürchtungen. Doch repräsentiert dieses Modell überhaupt die Realität? Es wirkt plausibel für den, der mal eine herkömmliche Datenbank gesehen hat, oder darauf basierende primitive Versuche der Datensammlung durch Abfrage beim Nutzer:

»Wer einen neuen Account im Internet anlegt – egal ob für die E-Mail, ein Webforum oder eine neue Shoppingseite – erlebt stets ein mühsames Prozedere: Zuerst muss man sich einen Nutzernamen und ein Passwort auswählen. Danach wird man über drei Seiten nach Details vom Geburtsdatum bis zu persönlichen Vorlieben befragt und muss die Anmeldung am Schluss per E-Mail absegnen.«

(Zeit Online: Stoppt die Datenkraken!)

Als Missbrauchsszenario stellen wir uns dazu gerne einen schwunghaften Handel mit solchen Datensätzen vor.

Andersdenkende

Google hat sich jedoch das Think Different! von Apple geborgt und tut Dinge gerne auf eine ganz andere Art als der gewöhnliche IT-Spießer. Mit lächerlichem Spielkram wie Datenbanken hält sich Google nicht auf. Der Grund dafür ist nicht etwa, dass Google nach der Weltherrschaft strebt, sondern dass Google die Herrschaft über ein Stück Welt besitzt: über einen riesigen, verteilten Computer, der fast alle. veröffentlichten Informationen zu sehen bekommt. Und damit etwas anfangen soll, trotz des Kauderwelschs aus einigen Hundert Sprachen und Dialekten. Dabei helfen Datenbanken nicht, die brauchen zu viele Menschen, die sich um sie kümmern.

Im oben zitierten Heise-Forum fragt User flare—-*: »Ein Mensch arbeitet, vergnügt sich, informiert sich, macht Unsinn. Wie will google das vernünftig trennen?« Die Antwort auf diese Frage lautet: Das weiß Google selbst nicht so genau. Die Geschichte von Google begann mit einer ähnlichen Frage und derselben Antwort: Wie können wir aus einem schlecht organisierten Haufen unstrukturierter, redundanter, fehlerhafter und mehrsprachigerTextdaten relevante Informationen herausfiltern? Googles Antwort lautete von Beginn an: Indem wir uns nicht um spezifische, ausformulierte Regeln kümmern, wie es etwa die Linguisten tun, sondern den Umgang der Nutzerpopulation mit den Daten statistisch auswerten. PageRank war eine Keimzelle der Google-Philosophie, die darin besteht, einen Computer mit allen möglichen Daten zu füttern und ihn die Antworten auf Fragen selbst finden zu lassen. Google ist ein Computer wie ihn Science-Fiction-Autoren jahrzehntelang beschrieben haben.

Datenschützer werfen Exceptions

Cloud Computing hat deshalb für Google eine Doppelbedeutung. Neben der landläufigen Interpretation als Verlagerung der IT vom Endgerät ins Netz bedeutet Cloud Computing für Google auch Statistik in vieldimensionalen Datenwolken zur Beantwortung von Fragen, kurz: statistische Inferenz und maschinelles Lernen.

Der herkömmliche Datenschutz tut sich schwer mit diesem Ansatz, denn er geht von den primitiven Modellen aus, die wir oben gesehen haben. So etwas wie Google ist in diesen Modellen nicht vorgesehen, und es gibt auch keinen Mechanismus im Datenschutz, der diesen Fehler erkennen und eine Excepton auslösen würde. Also wenden unsere Institutionen wacker die alten Begriffe auf eine neue Technik an. Das ist ungefähr so, als wollte man den heutigen Straßenverkehr mit Gesetzen aus der Ära der Postkutsche regeln. Formal ginge es irgendwie schon, wenn man Autos als pferdelose Wagen und Fahrräder als Drahtesel betrachtete, aber passend wären die Regeln nicht und es käme zu allerlei Absurditäten.

Dementsprechend knirscht es auch im Daten- und Privatsphärenschutz, wenn wir die Tradition mit der Moderne konfrontieren. Schwierigkeiten bereiten zum Beispiel:

  • Die binäre Unterscheidung zwischen personenbezogenen und anderen Daten, die Google bewusst und zweckdienlich vermischt
  • Die formalisierte Einwilligung des Individuums, das für Google eine Datenquelle in einem Kollektiv ist
  • Die Idee der Datensparsamkeit, die bei blinder und konsequenter Anwendung so etwas wie Google gar nicht zuließe, selbst wenn Google inhärent datensparsam wäre
  • Die Vorstellung einer feingranularen Zweckbindung etwa für das Datenfeld IP-Adresse, da solche Datenfelder nur in den Eingabedaten vorkommen

Google hat deswegen gar keine andere Möglichkeit als sich eine Generalklausel unterschreiben zu lassen, wenn Google Google bleiben will, unabhängig davon, ob Google mit unseren Daten gute oder böse Sachen macht.

Im nächsten Teil wird es darum gehen, wie Google aus Netzinhalten und Nutzerdaten nützliche Funktionen baut, ohne Privatsphären zu verletzen.