Schlagwort-Archive: informationelle Selbstbestimmung

Opt-out

Datenschutz, , , , , , , ,

Vor drei Monaten feierten Politiker und Datenschützer die Ende Mai 2018 wirksam gewordene EU-DSGVO, während Vereine und Kleinunternehmen über die damit verbundene Bürokratie stöhnten und nach Auswegen suchten. Bis auf einzelne Geschichten von Fotografierverboten und geschwärzten Kindergesichtern – in Deutschland heißt es nach wie vor: „Vorschrift ist Vorschrift!“ – war seither wenig zum Thema zu hören.

Jene, denen es mit der DSGVO angeblich hätte an den Kragen gehen sollen, allen voran die Online-Werbewirtschaft, können weiter ruhig schlafen. Sie haben einen Weg gefunden, ihre Interessen im Einklang mit der DSGVO-Bürokratie weiter zu verfolgen: Dark Patterns, unanständige Entwurfmuster. Die Gestaltung von Benutzerschnittstellen kann das Verhalten ihrer Benutzer beeinflussen, indem sie Handlungen und Vorgänge einfacher oder schwieriger macht, schneller oder zeitraubender, versteckter oder offensichtlicher, fehleranfälliger oder robuster. Das ist nicht per se falsch, denn Benutzerschnittstellen sollen sich den Benutzern erklären. Die Grenze zum Dark Pattern ist schwer zu definieren, aber sie ist klar überschritten, wo eigennützige Manipulationsabsichten offensichtlich werden.

Dieses Video zeigt ein Beispiel:

Websites arbeiten mit Werbenetzen, Analytics-Diensten und anderen Dienstleistern zusammen, die das Benutzerverhalten beobachten und auswerten. Über diese Verarbeitung muss jeder Nutzer in der Regel selbst entscheiden können. Das Video zeigt, wie eine offensichtlich interessengeleitete Gestaltung der Benutzerschnittstelle in der Praxis funktioniert – man müsste eine Viertelstunde im Web herumklicken, ohne am Ende zu wissen, was es gebracht hat. Ebenso weit verbreitet sind Zwangsfunktionen, welche die Nutzung von Websites verhindern oder erschweren, bis man in irgend etwas „eingewilligt“ hat.

Vermutlich ist diese Gestaltung nicht legal, doch bislang ist dazu vom organisierten Datenschutz wenig zu hören – er ist unter einer Welle von Anfragen zur DSGVO zusammengebrochen. Überraschend kommt diese Entwicklung allerdings nicht. Zum einen ist die formale Einhaltung von Vorschriften bei gleichzeitiger Optimierung auf die eigenen ökonomischen Interessen die typische Reaktion von Unternehmen auf Compliance-Vorschriften. Wer beispielsweise Geld anlegen möchte, muss seiner Bank heute hundert Seiten Papier unterschreiben – angeblich zu seinem Schutz, tatsächlich jedoch, damit die Bank unter allen denkbaren Umständen über genügend Dokumente verfügt, um sich aus der Affäre zu ziehen und ihre Hände in Unschuld zu waschen („Rechtssicherheit“).

Zum anderen passt das Interaktionsparadigma des Datenschutzes – eine Art Vertragsschluss bei Beginn der Verarbeitung – nicht dazu, wie das Internet funktioniert. Wir emittieren heute permanent Daten in den Cyberspace und die Idee, diese Emission über Verfügungen pro Interaktionskontext zu regeln, führt nicht zu tragfähigen Lösungen. Was man wirklich einmal regeln müsste, wären die Interaktion und die Machtverhältnisse im Web.

Von der Datentransaktion zur Datenemission

Datenkrake, Datenschutz, Regierungsviertel, So geht das, Zeitmaschine, , , ,

Datenschutz ist regelmäßig ein Thema in diesem Blog, denn seine Schutzziele und Mechanismen überschneiden sich mit denen der IT-Sicherheit oder stehen mit ihnen in Wechselwirkung. Datenschutz ist auch regelmäßig der Gegenstand öffentlicher Debatten. Das ist einerseits verständlich, denn wir sind heute überall von vernetzter IT umgeben. Andererseits verlaufen solche Debatten oft bizarr, weil der Datenschutz politisch instrumentalisiert und mit sachfremden Aspekten vermischt wird. Dabei ist die Frage für sich und ohne Ballast schon schwer genug: Was soll, was kann, was bedeutet Datenschutz heute und in Zukunft?

Mit einem Aspekt dieser Frage habe ich mich zusammen mit Jürgen Geuter und Andreas Poller in einem Beitrag zur Konferenz Die Zukunft der informationellen Selbstbestimmung des Forums Privatheit Ende 2015 beschäftigt, der jetzt endlich im Konferenzband erschienen ist. Wir beschäftigen uns darin mit der Frage, wie sich die Paradigmen der Informationstechnologie seit der Entstehungszeit des deutschen Datenschutzrechts verändert haben und unter welchen Bedingungen Persönlichkeitsrechte im Zusammenhang mit der Datenverarbeitung heute geschützt werden sollen.

Der Datenschutz hat seine Wurzeln in den 1970er und 1980er Jahren. Das vorherrschende Verarbeitungsparadigma der EDV, wie man die IT damals nannte, war das der Datenbank. Darauf sind die Regeln des BDSG erkennbar zugeschnitten; sie geben der Datenerfassung und -verarbeitung ein Gerüst aus expliziten Transaktionen zwischen Betroffenen und verarbeitenden Stellen, mit denen die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen.

Heute prägen andere Paradigmen die Informationstechnik: die allgegenwärtige Vernetzung, die eine detaillierte Kontrolle durch explizite Transaktionen unpraktikabel macht, und das maschinelle Lernen, welches das Verständnis der Verarbeitungsvorgänge und die Einflussnahme darauf erschwert. Die Vorstellung einer expliziten Datenerhebung nebst informierter Einwilligung passt deshalb nicht mehr zur Technik und ihren vielfältigen Anwendungen.

Wir haben die neuen Bedingungen in eine Emissionsmetapher gepackt: Jeder von uns sendet fortlaufend Daten aus, die sich im Netz verbreiten und dort von verschiedenen Akteuren aufgefangen und verarbeitet werden, vergleichbar der Art und Weise, wie sich Licht von einer Lichtquelle im Raum ausbreitet. Das schließt Eingriffe nicht aus, aber sie müssen auf diese Verhältnisse zugeschnitten sein. Eine umfassende Lösung dafür können wir nicht präsentieren, aber wir diskutieren einige Ansätze.

Der ganze Beitrag:

Sven Türpe; Jürgen Geuter; Andreas Poller: Emission statt Transaktion: Weshalb das klassische Datenschutzparadigma nicht mehr funktioniert. In: Friedewald, M.; Roßnagel, A.; Lamla, J. (Hrsg.) (2017): Informationelle Selbstbestimmung im digitalen Wandel. Wiesbaden: Springer Vieweg DOI: 10.1007/978-3-658-17662-4_14, © Springer.

Missverständnis

Datenschutz, Philosophie, Rechtsabteilung, Regierungsviertel, Spackeria, Wolkenkuckucksheim, ,

Kommentarrecycling:

LeVampyre schreibt sich einen Wolf um zu erklären, warum sie Datenschutz gut und die Spackeria doof findet. Was sie schreibt, fühlt sich irgendwie richtig an, geht aber am Thema vorbei. Ihrem Text fehlt ein Begriff und damit der Kontext: informationelle Selbstbestimmung. Datenschutz ist nur ein Mittel zum Zweck. Wer »den Mißbrauch von Daten (…) unter Strafe stellen« möchte, braucht erst einmal einen Rahmen, in dem sich Missbrauch definieren lässt. Diesen Rahmen bildet nun nicht der Datenschutz als Selbstzweck, sondern die informationelle Selbstbestimmung als Idee: Jede soll Herrin ihrer persönlichen Informationen und Daten sein.

Informationelle Selbstbestimmung ist der Zweck, Datenschutz nur ein Instrument dazu. Vergisst man den Zweck, während man die Anwendung des Instruments optimiert, kommt Paternalismus heraus. Dann bestimme nicht mehr ich, was mit meinen Daten geschieht, sondern Beauftragte, Minister oder die Subkultur meiner Peer Group. Wenn ich Google, Facebook oder dem ganzen Internet bewusst und absichtlich Daten zur Verfügung stelle, ist das weder ein Datenverbrechen der anderen noch meine eigene Dummheit, sondern zuallererst mein gutes Recht. Der Datenschutz muss mich unvoreingenommen dabei unterstützen, dieses Recht auszuüben, ganz gleich, ob ich etwas verschweigen oder etwas mitteilen möchte.

Gleichzeitig vollziehen sich grundlegende Änderugen in der Art und Weise, wie wir – und Unternehmen – Daten verarbeiten und nutzen. Die spezifischen Regelungen des Datenschutzes stammen aus einer anderen Ära und sie können mit diesen Änderungen nur ungenügend umgehen. Das gilt im Guten wie im Schlechten: die endlose Diskussion um den Personenbezug von IP-Adressen zum Beispiel ist einerseits irrelevant für Google und Facebook, andererseits nervig für alle, die sich damit auseinandersetzen müssen.

Nach meinem Verständnis treiben diese beiden Aspekte die Spackeria, der Mismatch zwischen Idee und Umsetzung sowie der Mismatch zwischen Konzept und Realität. Das Ziel der Spackeria ist nicht, die Informationelle Selbstbestimmung abzuschaffen, sondern den Datenschutz als Mittel und Werkzeug der Realität anzupassen.

4 Prozent

Angst, Datenschutz, ID, Wahrnehmung, Zahlenspiele, ,

Glücksbürokraten finden es besorgniserregend, dass Kinder und Jugendliche in sozialen Netzen die informationelle Selbstbestimmung üben und Muttis Mahnungen dabei gerne ignorieren. Sorglos seien die Selbstbestimmer, man müsse ihnen mehr Angst machensie stärker sensibilisieren. Eine Begründung aber bleiben sie uns schuldig. Die handfesten Probleme durch selbstbestimmt veröffentlichte Daten im Netz halten sich anscheinend sehr in Grenzen:

»Schlechte Erfahrungen mit der Veröffentlichung ihrer Daten hätten die Befragten kaum gemacht, weiß Medienpädagogin Maren Würfel, nur 4 Prozent haben sich laut Umfrage darüber beschwert.«

(Heise Online:
„Besondere Herausforderung“ soziale Netzwerke)

Könnten wir uns dann vielleicht wieder echten Problemen zuwenden?

PS: Isotopp hat einen Artikel über unterschiedliche Schutzziele von Eltern und Kindern ausgegraben.

Privatsphäre in sozialen Netzen

Datenschutz, Studien, Testlabor, , , , , , ,

Klingt wie ein Widerspruch, ist aber keiner: wer in sozialen Netzen Informationen über sich preisgibt, verzichtet damit noch lange nicht auf Datenschutz, Privatsphäre und informationelle Selbstbestimmung. Theoretisch jedenfalls, denn in der Theorie steht jedem die Kontrolle über die Verwendung seiner personenbezogenen Daten zu. Wieviel Kontrolle man jedoch als Nutzer in der Praxis behält, hängt davon ab, welche Möglichkeiten die verwendeten Plattformen bieten.

Unser Kollege Andreas Poller hat sich genau mit dieser Frage beschäftigt. Herausgekommen ist eine Studie, die Mechanismen zum Schutz der Privatsphäre in sieben Plattformen für soziale Netze untersucht. Angeschaut hat er sich die größten und bekanntesten Plattformen: myspace, facebook, studiVZ, wer-kennt-wen, lokalisten, XING und LinkedIn. Alle Kriterien und Ergebnisse sowie praktische Tipps für Nutzer gibt es hier:

Andreas Poller, Privatsphärenschutz in Soziale-Netzwerke-Plattformen, 124 Seiten.

Update 2008-09-27: Einige Blogreaktionen gibt es inzwischen auch, etwa bei Bräkling.de (sorry für die Linking Policy, die hat die Zentrale verbrochen), bei den Blogpiloten,in DOBSZAY’s Ansichten und Einsichten sowie im roloblog. Die vielen Hinweise auf die Golem– und Heise-Artikel und Weiterverbreitungen der Pressemitteilung zähle ich nicht einzeln auf, das kann Google besser.