IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler - Teil 1: Motivation

Klaus Peukert » 29 März 2011 » in Politisches »

Ich habe bei der Spackeria wieder über Datenschutz und Ähnliches gebloggt. Aus Gründen das Ganze auch hier zum Nachlesen, Kommentare aber bitte nur beim "Original".

Die meisten aktuellen Probleme, Diskussionen oder gar rechtlichen Maßnahmen im Bereich des Datenschutzes kondensieren fast immer alleinig an der IP-Adresse, ihrer Speicherung, Verarbeitung und, ganz böse, "Übermittlung in die USA". Diese, in meinen Augen übertriebene und schädliche Fixierung auf dieses Einzeldatum war neben anderem Grund für mein Engagement in der Spackeria. Neben der rein juristischen Betrachtung der Personenbeziehbarkeit i.S.v. BDSG, TMG und anderen einschlägigen Gesetzen wird immer wieder angeführt, das man über die Speicherung von IP-Adressen durch Webseitenbetreiber "ausspioniert" werden kann. Das ist nicht mal komplett falsch, allerdings ist dies allein mit der IP-Adresse einem Betreiber regelmäßig unmöglich.

Die Zuordnung IP-Adresse <-> Anschlußinhaber (und auch nur  zu diesem und nicht zu der Person die gerade die Fahrplanauskunft, "Downloadportale" oder Bombenbastelanleitungen besucht) ist zunächst erstmal nur beim Provider möglich. Ein Webseitenbetreiber kann also (allein) anhand einer IP-Adresse nicht sagen: "Da surft grad Lieschen Müller bei mir rum". Warum auch immer liegt nun trotzdem die IP-Adresse als personenbezogene Wurzel des Übels im Pfeffer? Ich weiß es auch nicht. Denn das kritisierte Tracking in der "real world" ist sowohl mit, als auch ohne IP-Adressen möglich, üblich und überraschenderweise sogar unter bestimmten Vorraussetzungen (meist eben "Keine IPs" und es muss irgendwo in ner AGB/DSE aufgeschrieben sein) datenschutztechnisch legal.

So wird etwa das OSS-Tool "Piwik" als freier GoogleAnalytics-Klon regelmäßig als "datenschutzfreundliche Alternative" genannt, aber auch für Blogsysteme wie Wordpress gibt es Plugins die mit (und nur mit) "No IP tracking" für Datenschutzverträglichkeit werben. Statistiken/Tracking über andere Daten dagegen, wie etwa

  • Referer (wo, über welchen Link, kommt der Besucher her)
  • Keywords (über welche Suchbegriffe wurde die Seite gefunden)
  • Browserversion
  • Betriebssystem
  • Länderzuordnung (über Spracheinstellung Browser/OS)
  • Cookies (schon kritischer, siehe die im Entwurf befindliche EU-Richtlinie)
  • Nutzernamen bei anmeldepflichtigen Seiten
  • Klickpfade (wo klickt der User wie häufig hin)
  • Verweildauern (welche Seiten betrachtet der Nutzer wie lange)
  • usw. usf.

generell also einem "digitalen Fingerabdruck" werden oft unkritisch, gar nicht oder zu lax betrachtet. Schließlich wird ja keine IP-Adresse gespeichert. Ein schönes Beispiel ist  Panopticlick der EFF, was (m)eine persönliche Browserkonfiguration identifiziert und mich so losgelöst von der IP-Adresse trackbar macht. Jetzt noch ein Userlogin und fertig sind die digitalen Fußabdrücke im virtuellen Rasen.

Angesichts der obigen, datenschutzrechtlich oft völlig legal erfassbaren, vielen verschiedenen Daten, die unabhängig von IP oder nicht, mich ziemlich gut und eindeutig identifizieren können, stellt sich doch die Frage, ob eine mitgespeicherte (und ohne Zugriff auf den Provider oder die anderen, legal gesammelten, Daten keiner Person zuordenbare) IP-Adresse dann das "Kraut noch fett macht". Statistiken, Auswertungen, Tracking, gutgemeint oder böswillig, das ist heute alles auch ohne IP möglich, wird gemacht und ist größtenteils auch rechtlich OK . Warum also schießt man sich so sehr auf ausgerechnet dieses eine Datum ein und baut ganze Debatten herum auf? Es wäre doch viel einfacher über Tracking an sich (und entsprechende Gegenmaßnahmen zum Selbstschutz) zu sprechen.

Man kann nun argumentieren: "Ja, wenn man die IP zum Tracking nicht braucht, dann ist es doch OK, das sie nicht erfasst, gespeichert, übermittelt werden darf". Kann man. Nur fängt man sich damit halt die bizzaren und realitätsfremden Konsequenzen ein, das basierend darauf dann eben Forenbetreiber Probleme bekommen, weil sie Werbung von einem externen Server einbinden. Und, viel wichtiger: Man löst überhaupt nicht das Problem, das (böswillige) Webseitenbetreiber mich immer und überall wiedererkennen können. Das ist also mehr ne juristische Blendgranate, die den Blick aufs Wesentliche vernebelt, neue Probleme schafft und die eigentlichen überhaupt nicht tangiert.

Weiterhin ist Tracking per se erstmal nur auf der/den Webseiten des Betreibers möglich, d.h. der Online-Schuhversand weiß nichts von meinen Suchen nach Briefmarken aus der DDR-Zeit auf ebay und ebay wieder nichts von meiner Vorliebe für Blogs zu Militaria aus dem 19. Jahrhundert. Das klassische Gegenargument wäre jetzt Facebook mit seinem "Like-Button" (oder Google mit dem Accountcookie), wo das dann doch geht. Das ist zwar korrekt, allerdings genau eines der Problemfelder wo die IP-Adresse herzlich egal ist, denn Facebook/Google trackt darüber eben genau nicht (bzw. kann es ohne IP-Adresse). Hier wäre und ist ein Browseraddon wie "Ghostery" (http://www.ghostery.com/ ) die passende Lösung und nicht das Verbot des Ansehens von IP-Adressen für jedermann.

Die Schlussfolgerung aus der breiten Landschaft von unterschiedlichen Trackingmechanismen muss daher, unanhängig von der juristischen Auslegung der aktuellen Gesetze) lauten:

Wenn die IP nur ein kleines Mosaiksteinchen in den verschiedenen "Personenmeßpunkten", nur optionaler Bestandteil des "digitalen Fingerabdrucks" und obendrein technisch notwendig ist: Warum dann nicht die Fixierung darauf lösen und über die eigentlichen Trackingprobleme und Lösungen (etwa Browser-Addons wie Ghostery) reden? Dieser alleinige Fokus auf IP-Adressen vergiftet die Diskussion und verschleiert den Blick auf eigentliche und wichtigere Probleme und darauf, das man auch bei einer "Keine IPs"-Policy oder mit dem "Wir speichern nicht"-Siegel vor einem böswilliges Tracking ohne weitere, eigene Maßnahmen, nicht geschützt ist. Der Rückzug auf "Ohne IP-Speicherung ist datenschutzmäßig alles in Butter" ist nicht mehr als "snake oil" und wiegt einen in falscher und trügerischer Datenschutzsicherheit.

Ausblick: In Teil Zwei werde ich darauf eingehen das eine Änderung der (juristischen) Interpretation von IP-Adressen als personenbezogenes Datum die von RA Stadler angeregte "Entspannung"  herbeiführen könnte und warum. Im Teil Drei versuche ich in die Glaskugel zu schauen und einen Blick auf IPv6 und die damit einhergehenden neuen Herausforderungen bzw. "Alternativlosigkeiten" zu werden. Natürlich wie immer basierend auf meinem kleinen Küchenlatein :)

Die Spackeria, informationelle Selbstbestimmung und ich

Klaus Peukert » 12 März 2011 » in Politisches » 1 Kommentar

Der von mir hoch geschätzte RA Stadler hat hier über die Spackeria geschrieben. Eckes hat hier kommentiert, das die Kritik am Kern der "Spackeria-Idee" vorbeigeht und RA Stadler fragte darauf hin, ob wir denn nun für oder gegen informationelle Selbstbestimmungen seien. Die Gretchenfrage des Datenschutzdiskurses, sozusagen.

Davon abgesehen, das es die Spackeria (noch) gar nicht gibt, sondern es sich eher um einen losen Haufen von Leuten handelt, die, grob gesagt, die Erkenntnis eines Problems (wie von RA Stadler bei sich unter der von mir 100% geteilten "Zustandsbeschreibung" beschrieben) teilen: Ja, die Spackeria, zumindest in Form von mir steht durchaus für informationelle Selbstbestimmung. Nur erkenne ich (sic!) aber an, das die iSb eben nicht beliebig weit ins Internet ausgedehnt werden und auch nicht als "Ich kann jedes von mir veröffentlichte Bit jederzeit und vollständig kontrollieren" verstanden werden kann. Denn das funktioniert anno 2011 in letzter Konsequenz schlicht nicht, fragt Frau Streisand.

Also muss doch das Ziel sein, aufzuklären, welche Spuren man durch seine Schritte und Aktionen absichtlich oder unabsichtlich im Netz legt und daß man erkennt, das man zwar nicht die Verbreitung einmal veröffentlichter Informationskrumen verhindern, aber selbstverständlich man durchaus weitgehend beeinflussen kann, welche Daten über einen überhaupt entstehen. Die "Netzbürger" müssen also aufgeklärt und zu einem bewußten Umgang mit dem Netz "erzogen" werden. Und über diese bewußte Netznutzung kann man dann eben selbst bestimmen, welche Informationen man veröffentlicht und damit "freigibt".

Bei der generellen Nutzung von Kommunikationsmedien ist "Machs halt anonym" eine, schon heute vergleichsweise einfach nutzbare, Handlungsanweisung, die man eigentlich nur nutzen bräuchte. Auf Twitter stand letztens sinngemäß: "Wenn Du nicht TOR und GPG benutzt, dann lebst Du bereits PostPrivacy", was zwar ziemlich zugespitzt aber kaum von der Hand zu weisen ist. Gerade im Verhältnis Bürger <--> Staat und unter dem Eindruck des über uns baumelnden Damoklesschwertes von VDS und Netzsperren ist echtes anonymes Surfen wichtig und darf durch den Staat nicht unterbunden werden. Anonymes und durch den Staat unbeobachtes Kommunizieren muss selbstverständlich auch im Internet ein Grundrecht sein.

Im Falle "sozialer Interaktion" ist das allerdings schwerer, weil über 4chan hinaus echte anonyme Teilhabe da tatsächlich eher unterleicht ist, man kommt da halt von dem "Ding mit den Maschinen" zu dem "Ding mit den Menschen". Man kommt dann nämlich auch schnell ins das interessante Thema, was denn passiert, wenn mein Umfeld sich im Gegensatz zu mir "auf Facebook nackig macht" und über Berichte, Erwähnungen, die viel gerühmten Partyfotos usw. dann auch Informationen über mich entstehen (die, bzw. deren Verbreitung, ich wieder kaum/nicht kontrollieren kann). Nur gibt es dieses Problem auch "offline" im Turnverein oder der örtlichen Feuerwehr, das Internet erhöht dabei "nur" die Schlagzahl und Reichweite der Informationsausbreitung.

Und nein, man wird, nicht kontrollieren/regulieren können, das ich bei der Weihnachtsfeier des Sportvereins der jungen Turnerin mal aufn Arsch geglotzt habe und, zufällig dabei geknipst, am Rande des offiziellen Partyfotos im lokalen Käseblatt(.de) gelandet bin. Das ginge nur mit dermaßen intensiven rechtlichen und technischen Resstriktionen, gegen die die Stoppschilder unserer adligen Übermutter lächerlich wirken werden. Man sieht es ja bereits an den teilweise absurden Konsequenzen des zu Ende gedachten aktuellen Datenschutzes.

Am Ende sollte das Ziel also sein, wie man zu echter informationeller Selbstbestimmung (zugegeben: so wie ich sie verstehe :-) ) kommen und diese garantieren kann. Der aktuelle Weg (siehe DSB Niedersachsen) ist dafür ganz offensichtlich ungeeignet, also sollten wir schauen, welcher Weg das nicht ist und welche Dinge wir dabei in Kauf nehmen müssen und/oder welche Möglichkeiten wir haben. "PostPrivacy" als Ideologie/Konzept/Utopie oder (besser) logische Konsequenz ist (mMn) gar kein Kernpunkt oder gar -forderung der Spackeria, sondern eher eine Worthülse für ein "Ding, wie es richig und besser geht". Das ist ja das Lustige daran, das da eigentlich überhaupt nix fest definiert ist und jeder lustig seine eigenen Dystopien, Utopien, Ängste und Hoffnungen reinlegt und jeder zweite was völlig anderes damit meint.

Zumindest ich als "Spacko" könnte also nicht deutlicher für informationelle Selbstbestimmung sein. Aber halt für eine tatsächliche und ernsthafte solche, eine die in 2011 und im Internet funktioniert, und keine der Marke "Streisand".

Privatsphäre, Datenschutz, Spackos und ich.

Klaus Peukert » 11 März 2011 » in Politisches » 3 Kommentare

Auf einer Mailingliste antwortete ein Mittelständler und Firmeninhaber auf diesen Text von Florian Berger. Ein kleiner Teil der Antwort diente als Aufhänge für eine Erwiderung von mir und wie so oft ist ein Blogbeitrag draus geworden.

[Firmen, -tarzun] haben große Probleme mit dem Datenschutz. Nicht weil sie keinen Bock
haben die Daten ihrer Kunden sicher aufzubewahren oder gerne schnüffeln.

Man stelle sich mal vor, es gäbe Firmen, die ihren Mitarbeitern Geräte in die Hand drücken, um damit automatisch und ohne Einwilligung aller Beteiligten Kommunikationsprotokolle und -profile der Mitarbeiter und deren Kommunikationspartner erstellen würden.

Schlimm, oder? Skandal, oder?

Und dann stelle man sich mal vor, was ein beliebiges Firmen-Handy oder Smartphone macht.

Na hoppla.

Eben.

Wir verstoßen alle jederzeit und tagtäglich gegen die aktuellen Datenschutzbestimmungen. Es geht gar nicht anders, weil die Bestimmungen auf aktuelle Medien und Werkzeuge keine Antworten wissen.

Die aktuelle EU-Initiative zu einem Zwangs-Cookie-OptIn (ich muss jeden Cookie mir erst erlauben lassen) statt eines freiwilligen OptOuts (Ich stelle meinen Browser entsprechend ein, der kann das übrigens seit Jahren) ist ein schönes Beispiel.

Das böse Facebook wird sich einen feuchten Furz um die EU-Richtlinie scheren und "nationale" Social Networks, Webseiten et al sind gekniffen, weil kein User Bock hat Dutzende Mal zu klicken, was er mit einer einmaligen Browserkonfiguration genauso haben könnte. Ein klarer "Standortnachteil" um mal ganz flach zu werden.

Es geht nicht darum, den Bürger vor dem Privacy-Voldemoort Zuckerberg zu schützen. Es geht darum dem Bürger beizubringen, was er im Netz anstellt, wem er dabei von sich erzählt. So wie Julia Schramm es nebenan schön formuliert hat (trifft so ziemlich, warum ich bei der "Spackeria" mitmische):

Ist es nicht gar eine Bigotterie des Staates ein Datenschutzgesetz zu stricken, aber anonymes Surfen nicht zu fördern? Mit Datenschutz vermeintliche Sicherheit zu emulieren, aber Medienkompetenz und kritisches Denken nicht zentral in der Bildung zu vermitteln? Erscheint es nicht viel sinnvoller anonymes Surfen zu lernen, anstatt eine Durchregulierung zu fordern [..]?

Selbstverständlich muss und soll immer die "Privatsphäre geschützt" bleiben. Insbesondere gegenüber dem Staat im Übrigen, denn ELENA, SWIFT et al kann ich mich kaum entziehen, während es zu Facebook Alternativen (sogar "datenschutzgesiegelt") bis hin zur schlichten Nichtnutzung gibt.

Aber das funktioniert nicht, in dem man den Bürger mit Gesetzen und unzureichenden Techniken ("digitaler Radiergummi" anyone?) bevormundet, sondern indem man ihn aufklärt und befähigt, sich selbstbestimmt im Netz zu bewegen. Das funktioniert nämlich schon jetzt. Wenn man will und wenn man weiß wie.

Und dann kann der eine eben mit der virtuellen Kapuze überm Gesicht durchs Netz ziehen, während der nächste eben jeden Haufen den er setzt, twittert und es anderen (und vermutlich leider den meisten) schlicht scheißegal ist, denn schließlich gibts Payback-Punkte zu sammeln.

Wir brauchen eine Diskussion über "Datenschutz" im 21. Jahrhundert. Da ist weder die gerne in den Begriff PostPrivacy projizierte (und so eigentlich von niemandem geforderte) erzwungene Nacktheit von jedermann die Lösung, genausowenig wie die hilflosen Versuche von Datenschützern Forenbetreiber an den Eiern zu packen, weil die AdSense-Werbung geschaltet haben.

Wir brauchen eine Diskussion über Privatsphäre, Datenschutz, digitale Öffentlichkeit und den Umgang damit. Ohne uns von Beginn an die Köpfe einzuschlagen und gegenseitig absolute Blödheit vorzuwerfen.

cronjob