Schlagwort-Archive: Privacy by Design

Datenschutz durch Publikumsbeschimpfung

Digitalveganismus, Folklore,

Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, empfiehlt in einem Interview der Welt Zurückhaltung bei der Nutzung von Apps und behauptet in diesem Zusammenhang, es gebe altersunabhängig fünf „Daten-Typen“:

„Den Ahnungslosen, der schlicht keine Vorstellung von den Risiken hat. Den Sorglosen, der blind vertraut. Den Gleichgültigen, der die Gefahren kennt, sich aber nicht davor schützt. Den Abstinenzler, der sich ohnehin außerhalb der digitalen Welt bewegt. Und den Digitalprofi, der tatsächlich etwas unternimmt.“

(„Wir rücken nicht von der Strafe ab. Was wäre das für ein Signal?“, welt.de, 2020-01-29)

Die größte Sorge, fährt er fort, bereite den Datenschützern die Gruppe der Sorglosen.

Diese Aussagen sind ein Meisterwerk der eristischen Dialektik, inhaltlich aber ein Irrweg. Kelber konstruiert einen Gegensatz zwischen negativ konnotierten Zuschreibungen – ahnungslos, sorglos, gleichgültig – auf der einen und akzeptablem Verhalten – Abstinenz – sowie einer unerreichbar vorbildlichen Heldenfigur – dem Digitalprofi, der etwas (was?) unternimmt – auf der anderen Seite.

In Kelbers Aufzählung fehlt zum Beispiel der Digitalprofi, der die Risiken oder das Verhältnis zwischen Risiken und Nutzen anders einschätzt als ein Datenschutzbeauftragter, dem Nutzenerwägungen von Amts wegen fern liegen. Ebenso fehlt der Normalbürger, der seinem Gegenüber selbstverständlich Vertrauen entgegenbringt, nicht blind und bedingungslos, sondern in der üblichen Weise: als positives Vorurteil, das die soziale Interaktion erleichtert, solange es nicht durch negative Erlebnisse erschüttert wird. Wir alle handeln so, wenn wir zum Beispiel ohne Brustpanzer aus dem Haus gehen und darauf vertrauen, dass uns auch heute niemand ein Messer zwischen die Rippen rammen oder mit einem Stein den Schädel zertrümmern werde.

Dass die ewigen Mahnungen der Datenschützer dieses Vertrauen nur selten erschüttern, liegt nicht zuletzt an ihnen selbst, bleiben sie doch oft vage und unbelegt. Wie oft haben wir zu hören bekommen, WhatsApp zum Beispiel sei haram, weil es Adressbücher aus der Cloud in die Cloud hochlade, und was die amerikanischen Datenkraken alles Böses trieben, und wie oft hat tatsächlich jemand handfeste negative Auswirkungen zu spüren bekommen, der moderne Dienste und Geräte sorglos nutzt? Wo Risikoszenarien plausibel, nachvollziehbar und durch reale Fälle belegt sind, nimmt die Sorglosigkeit erfahrungsgemäß ab. Polizisten im Einsatz etwa oder Journalisten in Kriegsgebieten tragen selbstverständlich Schutzausrüstung, denn ihre Risiken und Bedrohungen sind offensichtlich und belegt.

Kelbers erster Fehler liegt mithin darin, seinen Schutzbefohlenen Vernunft und Einsicht abzusprechen und ihnen Verhaltensmaßregeln zu erteilen. Die Möglichkeit, dass seine Mitmenschen mehrheitlich rational handelten und er sich irre, zieht er gar nicht in Betracht. Darüber hinaus blickt er in die falsche Richtung, wenn er sich mit den Betroffenen beschäftigt statt mit den Verarbeitern und Verantwortlichen.

Datenschutz ist für alle da, auch für die Sorg- und Ahnungslosen und die Gleichgültigen. Er soll die personenbezogene Datenverarbeitung im Zaum halten, um unsere Rechte und Freiheiten vor negativen Auswirkungen zu schützen. Aus dieser Sicht kann es sogar sinnvoll sein, auch vage und unbelegte Risiken zu berücksichtigen, doch alle Bemühungen müssen sich dann auf die Verarbeitung selbst konzentrieren. Aufgabe der Datenschutzaufsicht ist, Recht und Ordnung in Unternehmen, Behörden und anderen Organisationen durchzusetzen. Stattdessen den Betroffenen Ratschläge zu erteilen, wirkt demgegenüber wie eine Bankrotterklärung: Anscheinend gelingt es den Datenschützern schon nach eigener Einschätzung nicht, das Internet so vertrauenswürdig zu machen wie den Stadtpark, dessen sorg- und ahnungsloses oder gleichgültiges Betreten man niemandem vorwerfen könnte, ohne schallend ausgelacht zu werden.

Kelbers zweiter Fehler ist deshalb, dass er die falsche Zielgruppe anspricht. Er müsste dem Internet sagen, was es darf und was es lassen soll, und nicht dessen Nutzerinnen und Nutzern. Dies allerdings erschwert ihm seine Arbeitsgrundlage, das real existierende Datenschutzrecht. Die Datenschutzgrundverordnung weiß auch nicht so genau, was erlaubt oder verboten sein sollte, sondern sie gibt vor allem vor, wie die Datenverarbeitung zu verwalten sei. Trotz eines nominellen Verbots der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt, wie wir es bereits aus dem alten Bundesdatenschutzgesetz kennen, ist in der Praxis vieles erlaubt, solange die Verantwortlichen nur jederzeit alle Papiere vorzeigen können und sich nicht bei groben Schnitzern erwischen lassen. Das liegt nicht am Datenschutzbeauftragten, aber wenn es ein Problem gibt, liegt es hier.

Auch für Europa mit seiner stolzen DSGVO gilt, was Bruce Schneier vor einigen Tagen in einem Kommentar zur Aufregung um die Gesichtserkennung der Firma Clearview schrieb: Wir brauchen Regeln für alle wesentlichen Fragen der Datenverarbeitung, die sich an die Verarbeiter richten. Im Fall von Clearview sind das nach Schneiers Auffassung erstens Regeln dafür, unter welchen Bedingungen Unternehmen Personen identifizieren dürfen, zweitens Regeln für die Kombination von Daten und den Handel damit ohne Zustimmung und Kenntnis der Betroffenen, sowie drittens Regeln dafür, unter welchen Bedingungen Unternehmen Personen diskriminieren dürfen. Blickt man über den konkreten Fall von ClearView hinaus, kommen sicher noch einige Fragen hinzu. Die DSGVO bekleckert sich in dieser Hinsicht nicht mit Ruhm, ihre Vorgaben bleiben oft vage und unspezifisch. Kelber sieht keinen grundlegenden Änderungsbedarf, doch der liegt genau hier und nicht bei gleichgültigen, ahnungs- oder sorglosen Nutzerinnen und Nutzern.

Opt-out

Datenschutz, , , , , , , ,

Vor drei Monaten feierten Politiker und Datenschützer die Ende Mai 2018 wirksam gewordene EU-DSGVO, während Vereine und Kleinunternehmen über die damit verbundene Bürokratie stöhnten und nach Auswegen suchten. Bis auf einzelne Geschichten von Fotografierverboten und geschwärzten Kindergesichtern – in Deutschland heißt es nach wie vor: „Vorschrift ist Vorschrift!“ – war seither wenig zum Thema zu hören.

Jene, denen es mit der DSGVO angeblich hätte an den Kragen gehen sollen, allen voran die Online-Werbewirtschaft, können weiter ruhig schlafen. Sie haben einen Weg gefunden, ihre Interessen im Einklang mit der DSGVO-Bürokratie weiter zu verfolgen: Dark Patterns, unanständige Entwurfmuster. Die Gestaltung von Benutzerschnittstellen kann das Verhalten ihrer Benutzer beeinflussen, indem sie Handlungen und Vorgänge einfacher oder schwieriger macht, schneller oder zeitraubender, versteckter oder offensichtlicher, fehleranfälliger oder robuster. Das ist nicht per se falsch, denn Benutzerschnittstellen sollen sich den Benutzern erklären. Die Grenze zum Dark Pattern ist schwer zu definieren, aber sie ist klar überschritten, wo eigennützige Manipulationsabsichten offensichtlich werden.

Dieses Video zeigt ein Beispiel:

Websites arbeiten mit Werbenetzen, Analytics-Diensten und anderen Dienstleistern zusammen, die das Benutzerverhalten beobachten und auswerten. Über diese Verarbeitung muss jeder Nutzer in der Regel selbst entscheiden können. Das Video zeigt, wie eine offensichtlich interessengeleitete Gestaltung der Benutzerschnittstelle in der Praxis funktioniert – man müsste eine Viertelstunde im Web herumklicken, ohne am Ende zu wissen, was es gebracht hat. Ebenso weit verbreitet sind Zwangsfunktionen, welche die Nutzung von Websites verhindern oder erschweren, bis man in irgend etwas „eingewilligt“ hat.

Vermutlich ist diese Gestaltung nicht legal, doch bislang ist dazu vom organisierten Datenschutz wenig zu hören – er ist unter einer Welle von Anfragen zur DSGVO zusammengebrochen. Überraschend kommt diese Entwicklung allerdings nicht. Zum einen ist die formale Einhaltung von Vorschriften bei gleichzeitiger Optimierung auf die eigenen ökonomischen Interessen die typische Reaktion von Unternehmen auf Compliance-Vorschriften. Wer beispielsweise Geld anlegen möchte, muss seiner Bank heute hundert Seiten Papier unterschreiben – angeblich zu seinem Schutz, tatsächlich jedoch, damit die Bank unter allen denkbaren Umständen über genügend Dokumente verfügt, um sich aus der Affäre zu ziehen und ihre Hände in Unschuld zu waschen („Rechtssicherheit“).

Zum anderen passt das Interaktionsparadigma des Datenschutzes – eine Art Vertragsschluss bei Beginn der Verarbeitung – nicht dazu, wie das Internet funktioniert. Wir emittieren heute permanent Daten in den Cyberspace und die Idee, diese Emission über Verfügungen pro Interaktionskontext zu regeln, führt nicht zu tragfähigen Lösungen. Was man wirklich einmal regeln müsste, wären die Interaktion und die Machtverhältnisse im Web.