Vorratsdatenspeicherung - Worüber reden wir da überhaupt

Klaus Peukert » 14 Dezember 2011 » in Politisches » 3 Kommentare

Ein Versuch der Rationalisierung

Vorratsdatenspeicherung. VDS. Böse Geschichte. Keiner will sie, aber die parlamentarischen Zwänge, wisster Bescheid. Ich versuch mich hier mal an einer rationalen Zusammenfassung dessen, worüber wir eigentlich reden, wenn wir rufen "Keine VDS" oder uns zugerufen wird "Aber die EU schreibt das vor" und versuch auch das mit der Neutralität, lasse also möglichst jede Wertung, wie ich persönlich was finde, außen vor.

Disclaimer: Ich garantiere nicht für die juristisch einwandfreie Verwendung von Begriffen, versucht das also bitte mit den Augen eines normalen Menschen zu sehen, wer ne Ungenauigkeit findet, darf sich ein Eis kaufen. Außerdem kratz ich eher an der Oberfläche und versuch nur alles zu streifen, damit klar wird, das wie bei "BGE" hinter den drei Buchstaben "VDS" alles mögliche stecken kann und es notwendig ist, jeweils über die konkrete Implementierung zu reden, statt zu schreien "Das ist VDS, das muss schlimm sein".

Also meine lieben Leser. Stelln wir uns mal janz dumm. Watt is'n Dampfmaschin^WVorratsdatenspeicherung?

Welche Übertragungsformen/Medien betrifft das eigentlich?

Vereinfacht gesagt: "Telefon und Internet". Wir haben da den Mobilfunk also GSM, GPRS, HSUPA, UMTS und wie das alles heißt, Festnetztelefonie, diese abgehangenen Techniken wie ISDN, analoges Telefon (gibts sowas im Backend eigentlich noch?) und Internet, also so grob alles was mit einem TCP/IP-Paket transportiert wird. Überschneidungen (Voice über Internet über UMTS) existieren, ebenso Sonderfälle wie Skype. Für Briefe gibts das Postgeheimnis, da traut sich noch keiner ran. Im Rahmen der VDS geht es seltener darum live mitzuerleben (das ist dann "Quellen-TKÜ", Telefonüberwachung. Lauschangriff usw., noch ne andere böse Geschichte) was über diese Medien geht, sondern eher später nachzulesen, was es so war oder wer mit wem. Daten, Vorrat, Speicherung, ihr erkennt das Muster.

Und von welchen Daten reden wir?

Da gibts einmal die Bestandsdaten, wie halt Kundennummern und Adreßdatensätze, wie sie bei Telefon- und Internetanbietern eben fürn Vertrag gespeichert sind. Rechnungen, Auftragsbestätigungen, Lieferscheine, sowas. Dann gibts "Verkehrsdaten", also im Grunde alles das was unter "Wer, wann, mit wem, wie lange" fällt, gilt für Telefon und E-Mail gleichermaßen. Bei Mobilfunk, Internet per Smartphone usw. kann man das dann noch mit Standortinformationen garnieren, also neben "wer mit wem" auch noch "wo". Und dann noch so Dinge wie "virtuelle Autokennzeichen", also wer hat wann welche IP-Adresse gehabt, wo man bei der Vergabestelle (welche es da gibt: weiter unten) zwar weiß wem die Nummer gehört, aber nicht wo er "langgefahren" ist.

Und wieviel ist das so? Welche Daten sind das genau?

Müssen wir wieder unterscheiden. Beim Handy sind es so Dinge wie Anruflisten, Gesprächsdauer, Standort des Handys usw. Beim Festnetz ähnlich, nur das der Standort da eher statisch ist (Kontinentaldrift kann hier wohl vernachlässigt werden). Also all das, was man im Telefon heutzutage selbst so wiederfindet, aber eben beim Provider gespeichert. Und halt von allen. Bei Internet unterscheidet es sich dann auch in Provider (ISP, sowas wie T-Com) und Diensteanbieter (Facebook wird als Beispiel da gern genommen). Beim Provider haben wir neben den schon erwähnten Vertragsdaten in der Regel noch die statische oder (verbreiteter) dynamische Zuordnung der IP-Adressen zu Anschlüssen (und über die Kundendaten zu deren Inhabern).

Was wir an der Stelle noch nicht haben sind "Surfprotokolle", aus den Listen "Wer hatte wann welche IP" sieht man also nicht, wer mit welcher IP wo im Netz rumgesurft ist. Diese "Protokolle" findet man dann (jeweils separat) bei den einzelnen Diensteanbietern: Amazon, Facebook, dem Angelfreundeforum usw. Dort steht dann so ziemlich all das, was man dem Diensteanbieter so in den Rachen gekippt hat. Theoretisch kann man so ein Angelforum-Logfile mit dem ISP-Logfile verheiraten und rausfinden, von welchem Anschluß "PetriHeil88" Blödsinn ins Forum geschrieben hat. Meist braucht man die IP aber nicht, da man, etwa bei Amazon, ja eh mit Namen, Adresse und Kreditkartennummer verewigt und mit Einkäufen verknüpft ist.

Nicht zu vergessen die gute alte E-Mail, dort sind im Rahmen der VDS die Mailprovider gefragt, GMX, web.de etc. die sich merken sollen wer wann wem eine Mail geschrieben hat und je nach VDS-Wunschliste auch noch was im Betreff stand. Inhalte der Mails interessieren die VDS bisher eher nicht, da gibts dann auch wieder das TKG. In der Regel bezieht sich Vorratsdatenspeicherung aber nicht auf die Daten bei den Diensteanbietern, dafür gibts dann wieder andere Regelungen im TKG oder so, wenn z.B. GMX dem BKA den Inhalt einer Mailbox zeigen muss oder Bedarfsträger über Schnittstellen wie SINA bei größeren Providern einen "Lauschangriff" fahren dürfen.

Und warum speichert man denn überhaupt was? Und wieso?

Hier muss man zwischen Erfassung, Speicherung und Zugriff durch Behörden unterscheiden. Bestimmte Dinge müssen technisch irgendwie zumindest mal "erfasst" werden. Der Mobilfunkprovider muss wissen in welcher Zelle ein Handy grad steckt um einen Anruf durch-, und der ISP wissen welcher Anschluß welche IP hat, um Internetpakete zustellen zu können. Ohne gehts halt nicht. Auch bei Mails ist irgendwann mal notwendig, das irgendwelche Software Absender, Empfänger und Inhalt sieht.

Dann Speicherung. Alles was so "erfasst" wird bzw. technisch zwingend anfällt kann in Logfiles gespeichert werden und oft ist das auch, zumindest kurzfristig, technisch sinnvoll. Hier gibt es Freiheitsgrade bei der Dauer der Speicherung (24h? ne Woche? ein Vierteljahr? 12 Monate?). Neben technischen Notwendigkeiten gibts auch unternehmerische/buchhalterische. Man will dem Kunden auch mal ne Rechnung schreiben, also muss man sich merken wieviele SMS er verschickt hat. Und wegen Reklamationen ist es durchaus sinnvoll sich zu merken wann und an wen er das tat.

Jetzt kommt der Trick und die netzpolitische Gretchenfrage: Wer außer Kunden/Dienstleister darf denn im Bedarfsfall drauf zugreifen? Jeder Dorfpolizist auf Zuruf bei nem umgekippten Blumenkübel? Oder nur der Generalstaatsanwalt nach irgendwas richtig Großen? Polizei, StA, LKA/BKA, Geheimdienste etc, wer hat noch nicht, wer will nochmal? Hier gibts auch wieder viele Freiheitsgrade und Abstufungen, bei nem Betrugsfall ist vielleicht sinnvoll rauszufinden wem die Bestellrechner-IP gehörte aber es wäre sicher grob unverhältnismäßig alle Kunden eines ISP für 3 Monate abzuschnorcheln um zu schauen ob der Typ es sich nochmal traut.

Wir haben also technische Realitäten, die bedingen das bestimmte Daten irgendwo mal langlaufen wo sie gesehen und gespeichert werden können, Freiheitsgrade in Umfang und Dauer einer Speicherung dieser (und weiterer) Daten und wiederum Freiheitsgrade in der Überlegung, wer, wann und unter welchen Vorraussetzungen beim Provider anklopfen und um ne Kopie bitten darf. Und man kann Regelungen treffen, die eine Mindestdauer an Speicherung vorschreiben oder (knappe) Maximalfristen festlegen, die nicht überschritten werden dürfen.

Warum denkt man denn überhaupt über sowas nach?

Auf der einen Seite haben wir da die netzpolitisch hochgehaltenen Fahnen, beschriftet mit "Recht auf Anonymität", "Recht auf in Ruhe gelassen zu werden", "Datenschutz", "Informationelle Selbstbestimmung" usw. Auf der anderen Seite ist dann aber auch das "Recht auf Sicherheit" zu sehen, ein Recht darauf, das bspw. die Polizei bei Straftaten sinnvoll ermitteln und aufklären kann, auch bei "kleineren" Sachen wie Betrug, Stalking, Mobbing usw., auch wenn sie in/mit/über das Internet begangen wären.

Jedes für sich genommen ist wichtig und notwendig, der Staat hat sich nicht dafür zu interessieren wann ich ins Internet gehe, wem ich E-Mails schreibe und wer mich wann anruft. Auf der anderen Seite soll der Staat sich mal bitteschön anstrengen rauszubekommen, wer das blöde Arschloch ist, der mir ständig bei zalando Schuhe ins Büro bestellt und als Anschrift/Bankverbindung die des heise Verlags hinterlegt hat. Das diese beiden Rechte/Ansprüche miteinander kollidieren ist offensichtlich.

Die Aufgabe hier ist also die Abwägung gegeneinander. Wie weit darf ich in die Rechte des Einzelnen eingreifen um das Recht des anderen sicherzustellen und ab wann wirds unverhältnismäßig und sinnvoller auch mal einen Fall unaufgeklärt zu lassen, weil die sonst notwendige Überwachung und Präventivverdächtigung jedes vernünftige Maß sprengen würde. Zu unterscheiden ist wohl auch bei der "Eingriffstiefe" in die einzelnen Rechte, eine einmalige "Halterabfrage" von IP-Adressen ist sicher weniger schlimm als ein komplettes Bewegungsprofil von 12 Monaten, eine nicht aufgeklärte Beleidigung muss man dann halt auch mal hinnehmen, wenn man kein "PreCrime" aufbauen will.

Und die letzte Herausforderung ist dann noch, das alles so zu bauen, das Mißbrauchsmöglichkeiten minimimiert oder gar ausgeschlossen werden. Man kann bspw. solche Eingriffe kostenpflichtig machen, man wird die Betroffenen informieren müssen, die technischen und organisatorischen Prozesse kann man für Bedarfsträger möglichst schmerzhaft gestalten, so das die es sich (neben der kommenden Rechnung) dreimal überlegen, ob bspw. "klassische Ermittlungen" zwar anstrengend sind, aber eine Datenabfrage beim Provider noch viel umständlicher ist.

Das wars?

Ja. Und ihr dürft daraus jetzt nen mentales multiple-choice-Formular basteln, drüber nachdenken und überlegen, wie ihr das ausfüllen würdet und wie man die Gemengelage aus den verschiedenen und wichtigen und konkurrierenden Rechtsgütern so auflöst, das beide Seiten gleichermaßen unzufrieden sind. Genügend Freiheitsgrade und Stellschrauben gibt es ja. Sturbockiges "Wir müssen aber speichern! Alles! Immer! Wegen EU, weißte" ist genausowenig hilfreich wie ein plattes "Nein. Gar nichts. Niemals. GuyFawkes-Masken für alle!"

Ein neues Notebook, Linux und ich

Klaus Peukert » 06 Dezember 2011 » in Privates » 10 Kommentare

Ich kaufe mir einen Laptop. Weil ich einen brauche. Mein Desktop stirbt mittelfristig und ich brauch was für unterwegs und was ich in München und Leipzig nutzen kann. Für Mail, News, Browser, Twitter, VPN (in die Firma und zu den Piraten). Ein bißchen Office und privater Zuckerguss (Skype, wasweissich) und das wars eigentlich schon. Angesichts unschlagbarer Angebote von Rechnern "ohne Betriebssystem" und der Verfügbarkeit von Linux liegt nahe, das man sich die/eine Windowslizenz wohl echt sparen kann. Das, was ich brauche dürfte unter Linux ja locker gehen, da ich Thunderbird, Firefox, OpenVPN und LibreOffice nutze erst kein Ding. Und den goldenen Käfig MacBook, der dreimal so teuer ist, das kommt ja mal wohl gar nicht in die Tüte.

Jetzt kenne ich Linux schon was länger. Ich habe angefangen mit einem SuSE 4.3, habe verschiedene Debians wegen dem EDV-Äquivalent zu Marmite, diesem unsäglichen dselect, fluchend von der Platte geschmissen, hab RedHat (und Derivate) gehabt, mit fvwm2/95, windowmaker, KDE und GNOME rumgefummelt. "Irgendwas war immer". Mal hat in der Firma die Firewalldistribution bei der Installation ob dreier gleicher NICs das Handtuch geworfen, mal störte der riesige Salat an automagisch installierter Software und die Alternative dazu war stundenlang Pakete abzuwählen (oder mit der Minimalinstallation an irgendwas essentiell fehlendem zu scheitern), mal musste man den positix für sasl manuell patchen und neu kompilieren.

Ich habe mit Ubuntu rumgefummelt und war begeistert, wie easy da alles geht, Grafik, Sound, ja sogar Netzwerkdrucker und bin dann verzweifelt weil das UMTS-Modul nachm ersten Funkloch die Grätsche machte und für VPN erstwas nachinstalliert werden musste, habe mit FreeBSD gespielt (und würde eigentlich gern damit fahren, da es das coolere Maskottchen hat), ich habe Slackware und ArchLinux installiert, Mandrake und Mandriva gesehen, Gentoo gebootstrapped und einmal ein LFS-manual durchgespielt. Sogar ein TripleBoot mit Win95 und zwei verschiedenen Linuxen gab es (und das war echt knfflig damals :) ). Seit Jahren also gibt es (meinerseits) an jedem Linux etwas auszusetzen und etwas zu fummeln.

Dazu kommt noch, das ich nach der (zugegeben etwas provokanten) Frage "Was für ein Linux nimmt man denn so" alle möglichen Antworten bekomme. "Fedora", sagt der eine. "Debian (aber nicht stable)" der andere. Ubuntu sei inzwischen Müll wegen Unity, dafür gibts jetzt Linux Mint. In ner "normalen" und ner "Debian"-Installation, das irgendwas backported, die andere Hälfte aber nicht. Kubuntu gibts noch, irgendwas mit XFCE aufm Deskop soll auch cool sein und wenn man ganz hart ist, dann nimmt man Gentoo oder ist der Uberhacker, weil man alles selber backt. FreeBSD sei zwar nice, aber nix fürn Desktop. Das ist, um es diplomatisch zu sagen, erstaunlich unhilfreich.

Mir ist klar, das das Teil des Konzepts ist, das man sich alles so hinkonfigurieren kann wie man will und noch an der abstrusesten Ecke ne Einstellung findet. Ich muss mich trotzdem zw. KDE, GNOME, Unity oder was anderem für eine "Grundplattform" entscheiden, alles andere (KDE mit Evolution oder wasweissich) braucht wieder Bastelarbeit und verursacht Schmerzen. Ich will aber, zumindest für den Anfang weder basteln noch Schmerzen erleiden, noch mit irgendwelchen nervigen Kleinigkeiten leben müssen. Auf Arbeit hab ich ein CentOS mit Gnome und komm klar, aber da brauch ich eh nicht mehr als nen Browser und nen screen.

Zu Hause will ich aber auch mal skypen (ohne mir erst für das webcamodul nen neuen kernel backen zu müssen), dieses Mumble für Piratenkram über nen Bluetooth-Headset wäre ganz nett, im Zug sollte der UMTS-Stick funktionieren, ohne das ich erst auf der bash nen init-script manuell starten muss, die Handvoll Podcasts sollte ab und zu aufs iPhone, den TC-Container aufm USB-Stick will ich möglichst einfach einbinden,ich möchte ohne vorher wissen zu müssen ob das WLAN nun WPA, WPA2-PSK oder sonstwas hat über Funk ins Netz und ab und zu ne DVD oder einen (*hust*) geliehenen Film solls auch ab und zu sehen geben.

Und ich hab keinen Bock, mich erstmal durch ein halbes Dutzend virtualbox-Images zu wühlen bis ich was finde, was halbwegs passt. Da war bei meinen bisherigen Erfahrungen immer irgendwo nen Haken, und wenn man sich wie Bolle freut, weil die Webcam vn Skype automagisch erkannt wird oder die Kiste beim ersten Booten nach der Installation tatsächlich Sound hat und das einem besonders toll vorkommt, dann is doch irgendwas faul. Man kann sicher über vieles an Windows schimpfen, aber mit nem per ninite.com initial anwendungsbefülllten Win7 kommt man irgendwie erstaunlich schmerzfrei erstaunlich weit (mit dem Bonus, das ich nicht per globaler Paketauswahl 80% nie benutzte Software aufm Rechner hab).

Garniert ist diese schlechte Linuxerfahrung (allerdings OS-unabhängig) mit einer unglaublichen Schwarmdummheit im Netz. Googlet man nach einer Fehlermeldung oder einem Problem findet man auf Seite eins einen Link zum kostenpflichtigen expertsexchange, in drei verschiedenen Foren dieselbe Anfrage, die entweder gar nicht, mit "A geht nicht? Also bei mir geht das mit B hervorragend" beantwortet wird, was nahtlos in irgendeine Advocacy-Diskussion übergeht oder wo nach drei Wochen der Frager "Hat sich erledigt, habs hinbekommen" ergänzt, OHNE DIE VERFICKTE SCHEIßLÖSUNG EINFACH MAL KURZ HINZUSCHREIBEN.

Das ist doch alles Mist. Ja, es ist vielleicht arrogant gegenüber den Unmengen an Freiwilligen, Enthusiasten und Nerds, die Linux (weiter)entwickeln und Distributionen pflegen. Aber Leute, tut mir leid. Ich möchte ein Werk- und kein Spielzeug. Ich habe im Gegensatz zu früher weder Zeit noch Lust noch Spieltrieb Ewigkeiten damit zu verbringen alle Hebelchen in die richtige Stellung zu bringen und auf dem Weg dahin o.g. Schmerzen zu erleiden.

Erklärt mir doch mal, warum ich mir nicht doch einfach ein MacBook holen soll.

IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler – Teil 3: IPv6

Klaus Peukert » 09 November 2011 » in Politisches »

Ich hab wieder bei der Spackeria gebloggt und kann dank eines Artikels von Lutz Donnerhacke zu IPv6 meine bisher immer noch offene Miniserie zu IP-Adressen mit einem Verweis darauf abschließen. Kommentare bitte drüben, Flattrs gerne hier :-)


Nach Teil 1 ("Motivation") und Teil 2 ("Vorschlag") habe ich immer noch den abschließenden Teil 3 meiner Miniserie offen, der sich mit IPv6 beschäftigen sollte. Bisher fand ich allerdings keinen passenden "Ansatz" um das Thema greifen zu können. Inzwischen ist mir Lutz Donnerhacke mit einem wunderbaren Artikel zuvorgekommen, der mir den dritten Teil letztlich erspart und auf den ich dann schlicht verweisen möchte.

Lutz Donnerhacke spannt in seinem Beitrag einen lesenswerten Bogen von der Historie technischer Kommunikationsmittel wie Telefon und Brief zum Internet, der darauf basierenden Umsetzung von Datenschutz in der "Prä-Internet"-Zeit, dem Mythos "Dynamische IP", einer Erklärung von IPv6 bis hin zu einer Vision in der, im Gegensatz zu der von Datenschützern teilweise als Allheilmittel propagierten Dynamisierung von IP-Adresszuweisungen, statische IP-Adressen zusammen mit einem mündigen Bürger für eine tatsächliche Stärkung des Datenschutzes und der Durchsetzung des Rechts auf informationelle Selbstbestimmung sorgen können.

Er konstatiert zunächst schonungslos ehrlich und völlig zu Recht:

"Die hart erkämpfte datenschutzrechtliche Forderung nach anonymer oder zumindest pseudonymer Kommunikation – wie sie ins IuKDG eingegangen ist – ist also technische Illusion ."

entzaubert dann insbesondere den Mythos "Dynamische IP" und erklärt, das für die dynamische Vergabe von IP-Adressen bei früher üblichen Einwahlverbindungen eben nicht der Datenschutz, sondern schlicht wirtschaftliche Gründe dafür ausschlaggebend waren, und lediglich "geschicktes Marketing" dafür sorgte, das alle Welt heute dynamische IP-Adreßvergabe geil findet und Datenschützer daher auf dieser "dynamischen Bühne" letztlich nur jede Woche eine neue Folge in der Datenschutztheater-Soap vorführen.

Er endet mit dem Vorschlag und der Vision, das mit IPv6 gerade statische IP-Adressen für ein Mehr an echtem Datenschutz und informationeller Selbstbestimmung sorgen könnten, da man so seine Daten eben viel besser unter eigener Kontrolle haben kann als dies beim Ablegen in zentralen Netzdiensten der Fall möglich ist, womit sich der Kreis zur Ende-zu-Ende-Kommunikation per Telefon vom Beginn des Artikels schließt. Dies erfordert aber ein komplettes Umdenken im Hinblick auf "Datenschutz im Internet" notwendig, auch und insbesondere von Seiten der Datenschützer, die erkennen müssen, das die Werkzeuge der 80er Jahre des letzten Jahrtausends nicht mehr funktionieren.

Bleibt zu hoffen, das Beiträge wie der von Lutz Donnerhacke zu diesem Umdenken führen. Das es so wie bisher auf Dauer nicht weiter gehen kann ohne das Netz kaputt zu regulieren, nun, das ist der Grund warum es dieses Blog und die Datenschutzkritische Spackeria gibt.

Den kompetten Artikel gibt es hier: http://www.iks-jena.de/ger/Blog/IPv6-und-der-Datenschutz

Politiktheater

Klaus Peukert » 27 September 2011 » in Rants » 0 Kommentare

Nach Schneiers "Sicherheitstheater" und dem "Datenschutztheater" der Spackeria möchte ich (wenn das nicht eh schon irgendwann irgendwo jemand erfunden hat) den Begriff "Politiktheater" einführen. Jemand sagt was, jemand anderes findet es doof, die Presse schreibt darüber, alle kommen in die Zeitung und ins Fernsehen und das wars. Worum es geht, oder was angekündigt war, ob das politisch/technisch mach- oder durchsetzbar ist, interessiert dann nicht mehr.

Aktuelles Beispiel: Siegfried Kauder, Lobbyist der Musikindustrie und nebenberuflich für die CDU im Bundestag, hat irgendwo erzählt das, er gegen Urheberrechtsverletzungen ein "2-Strikes"-Gesetz auf der Pfanne brutzeln hat. Und schon beginnt das von Kauder angepiekste Hornissennest der gesammelten Netzgemeinde, vornedran die selbsternannten Bienenköniginnen der "Netzgemeinde", die "Digitalen Gesellschaft" kräftig zu brummen. Kauder bekommt obendrein von Parteikollegen und der Konkurrenz in die Fresse, es hagelt böse Pressemitteilungen, Twitter ruft zu den Barikaden. Die ZEIT hat nen Überblick.

Mal abgesehen von der im Zeitalter von Prepaid ohne echte Verifizierung bei der Registrierung, Tethering und Freifunk technisch kaum wirksam durchsetzbaren Forderung: Sogar Kauder dürfte klar sein, das sein auf den Schlamm hauen selbst in der eigenen Partei/Fraktion nicht durchsetzbar ist und nur der Bespielung der vertretenen Lobby dient. Er kann sagen "Ich habs versucht", die Netzgemeinde kann sich einen "Protestiere erfolgreich gegen ein nie ernst gemeinten Vorschlag"-Badge auf die Brust nähen und dann kann schon die nächste Sau kommen.

Aber Hauptsache mal schön getrollt und alle sind angesprungen.

Politiktheater.

Facebook - So gibst Du ihnen Deine Daten

Klaus Peukert » 26 September 2011 » in Politisches » 4 Kommentare

Das "neue Facebook" ist mal wieder Anlaß für eine netzpolitische Nebelgranate die grade durch die Blogosphäre wabert. Ein engagierter Wiener Datenschützer hat a) Facebook verklagt und b) unter dem charmanten Namen "Europa vs. Facebook" eine Anleitung erstellt, wie man sich "seine" Daten von Facebook (wieder)holt. Der Ägypten-Blogger und iPad-Käufer Richard Gutjahr griff das heute auf und titelt ebenfalls "Facebook: So holst Du Dir Deine Daten". 

Das Ganze funktioniert etwa wie folgt: Man ruft ein gut verstecktes Formular auf, gibt seine Daten ein, verweist auf irgendeine EU-Direktive, lädt eine Ausweiskopie(!) hoch, korrigiert(!) vorher noch ggf. falsche Daten (Geburtsdatum) und bekommt irgendwann eine CD mit einem PDF in dem alle Daten drin stehen. Das kreist nun gerade durch Twitter/Blogs und ich versteh es nicht.

Das ein PDF jetzt nicht die Form von "Daten" ist, mit der man irgendwie was "anfangen" könnte, etwa auf die eigene Webseite (eigene Kontrolle) stellen, in ein anderes Netzwerk importieren (Diaspora?) oder einfach nur für sich auswerten/weiterverarbeiten, geschenkt. Das es auf ner CD kommt, geschenkt (auch wenn Wutblogger Fefe darauf rumritt).

Man will sich seine Daten "holen". Und um das zu können, muss man Facebook erstmal ne Handvoll Daten geben und obendrein sich noch per Ausweiskopie verifizieren. Bin ich der einzige, dem das irgendwie komisch vorkommt? Und wenn ich das gemacht habe, dann habe ich ein PDF, mit dem ich nichts anfangen kann. Achja, und die Daten selbst bleiben natürlich trotzdem bei Facebook, ich bekomm ja nur ne Kopie. Das ist doch auf mehreren Ebenen kaputt.

Am Ende dieser unheimlich lehrreichen Aktion ist also Folgendes passiert: Facebook kennt jetzt (mehr) meine(r) richtigen Daten (Geburtsdatum hab ich ja korrigiert), ich habe meinen Account per Ausweiskopie ohne Zwang verifiziert und als Belohnung dafür bekomme ich eine Handvoll in PDF gegossene Glasperlen. 

Datenschutztheater.

Pseudonympflicht für Webseiten dank deutscher Gesetzeslage?

Klaus Peukert » 08 September 2011 » in Politisches » 8 Kommentare

Es ist auch mehrere Wochen nach Start der öffentlichen Betaphase von Google+ noch immer ein großer Katzenjammer ob der Policy, von Teilnehmern die Angabe des Klar- bzw. Realnamens zu verlangen. Das gipfelte kürzlich in einem eher katzbuckelnden offenen Brief der digitalen Boheme sowie einiger Politiker (und dem XING-Gründer Lars Hinrichs, dazu weiter unten noch), in dem Google untertänigst gebeten wurde, doch gnädigerweise Pseudonyme zuzulassen. Auch unter bubble-streetview.de wird eine solche Forderung aufgestellt.

Regelmäßig wird diese Forderung (neben anderen Argumenten) damit begründet, das die Gesetzeslage in Deutschland, namentlich der §13 des TeleMedienGesetzes (TMG), den Betreiber verpflichte seine Dienstbarkeiten auch pseudonym zur Verfügung zu stellen. Nun mag eine Auslegung dieses § das hergeben (eine andere wäre, das man um die Seite aufzurufen und zu lesen sich nicht gegenüber dem Betreiber nackt machen muss). Diese Argumentation, die sich auch im erwähnten offenen Brief wiederfindet übersieht eines: Alle größeren sozialen Netzwerke in .de haben eine Klarnamenpflicht.

XING: "4.1 Der Nutzer ist verpflichtet, 4.1.1 ausschließlich wahre und nicht irreführende Angaben in seinem Profil und seiner Kommunikation mit anderen Nutzern zu machen und keine Pseudonyme oder Künstlernamen zu verwenden, 4.1.2 nur solche Fotos seiner Person an die XING-Websites zu übermitteln, die den Nutzer klar und deutlich erkennen lassen."

XING will also nicht nur den Klarnamen, sondern in Profilbildern gleich noch das wahre Gesicht. Funfact: Gründer des XING-Netzwerkes (früher openBC) ist Lars Hinrichs, einer der Unterzeichner des Pseudonyme fordernden offenen Briefes... 

studiVZ: "2.3 [...] Der Nutzer hat die dort abgefragten Daten vollständig und korrekt anzugeben, wenn und soweit diese nicht als freiwillige Angaben gekennzeichnet sind. Die Angabe von Künstlernamen, Pseudonymen oder sonstigen Phantasiebezeichnungen ist nicht gestattet."

Gleichlautend sind die Regeln für meinVZ, bei schuelerVZ steht das Verbot von Pseudonymen/Künstlernamen nicht explizit bei, aber auch da werden "falsche oder fremde" Angaben untersagt. Von den studiVZ-AGB aus findet man noch eine spezielle Seite die für die Klarnamenpolicy wirbt und sie mit dem zauberhaften (und von G+ bekannten...) Satz "studiVZ ist das Netzwerk für das echte Leben. Echte Menschen haben echte Namen." begründet. Was hat G+ für eine solche Einstellung einstecken müssen und bei VZ steht das da einfach mal so da. Und keinen störts.

Facebook:  "4. Facebook-Nutzer geben ihre tatsächlichen Namen und Daten an".

Naja, Facebook ist ja eh evil.

wer-kennt-wen: "3.2 [...] Unter dem Begriff "realer Name" ist dabei ausschließlich der im Melderegister des zuständigen Einwohnermeldeamtes verzeichnete Familienname sowie nach Wahl des Nutzers ein oder mehrere seiner Vornamen zu verstehen."

Wohoo, bei WKW wird der Realname sogar als die Ausweiszeichenkette direkt definiert. Wo ist die TMG-Polizei, wenn man sie braucht?

lokalisten.de: "im rahmen der registrierung sind die abgefragten pflichtdaten (insbesondere email-adresse, nachname, vorname und geburtsdatum) wahrheitsgemäß anzugeben"

Auch hier: Klarnamenpflicht.

Nun mag man einwenden (und mancher tut das tatsächlich), das das da ja was "gaaaaanz anderes" sei, XING sei ja für Geschäftskontakte und da "machen Pseudonyme ja keinen Sinn", bei den VZ-Netzwerken ist "ja eh keiner mehr" und die anderen kennt niemand. Das greift nur zu kurz. Entweder das TMG gilt für alle und insbesondere Netzwerke mit einer deutschen Postleitzahl im Impressum oder das TMG erlaubt (ich greif mal vor: tut es) Dienste, die von ihren Nutzern den Klarnamen einfordern (und dann darf G+ auch, so prinzipiell).

So erklärte der Hamburger Datenschutzbeauftragte Caspar dem Blogger Sickendieck vom Blog FixMBR! eben das: "Aus dem Sinn und Zweck eines Angebots (z.B. Datingportal) kann sich ergeben, dass ein Klarnamenzwang gerechtfertigt ist." (Achtung: der zweite kursiv eingerückte Text ist nicht vom DSB!). D.h. letztlich muss der Anbieter nur sagen "Ich brauch das für mein Geschäftsmodell" und schon ist der TMG-Gott zufrieden. Das ist ja auch durchaus sinnvoll, denn niemand ist oder wird gezwungen sich bei o.g. Netzen anzumelden. Auch hat Diaspora, der dezentrale "Facebook-Killer" noch Kapazitäten frei. 

Es gibt viele gute Gründe sich dafür einzusetzen, das man sich unbeobachtet, ungestalkt und "frei" im Netz bewegen darf. Auch ich bin der Meinung, das inbesondere ein staatlicher Klarnamenzwang gar nicht geht. Allerdings sollen meiner Meinung nach Unternehmen, auch große, ihre Dienstleistungen anbieten können wie sie wollen, solange kein Google-/Facebook-/*VZ-Mitarbeiter mich bei Androhung standrechtlicher Entleibung zur Teilnahme und Angabe meines Klarnamens zwingt: Sollen sie machen und ggf. den Weg von Buzz und Wave gehen, weils keiner nutzen will.

Gegenüber Google+ und seiner Klarnamenpolicy aber mit dem TMG und der Gesetzeslage in Deutschland zu argumentieren ist mehr als scheinheilig, wenn die "großen deutschen" Netzwerke wie XING, die VZ-Netze und die kleineren, wie etwa lokalisten.de und WKW alle ausnahmslos den echten, realen, im Ausweis verewigten Namen verlangen (dürfen).

P.S. Mit jappy.de gibt es ein mindestens ein (deutsches) Netzwerk, das sagt "Niemand muss einen echten Namen angeben". Immerhin. Allerdings auch dort: "wenn du einen solchen angibst, muss dieser auch dein echter Name sein".

Google löscht sieben Jahre des digitalen Lebens eines Nutzers und zuckt nur mit den Schultern

Klaus Peukert » 27 Juli 2011 » in Rants » 3 Kommentare

Ihr erinnert Euch: "Google löscht sieben Jahre des digitalen Lebens eines Nutzers und zuckt nur mit den Schultern". Außer dem Twitlonger-Brief des gesperrten Users gab es keinerlei Fakten und dennoch ging das rum wie nix. Klar, bot sich ja an, wo Google eh grad lernend bei der Liveimplementierung ihrer community guidelines von G+ ab und zu übers Ziel hinausschoß. Ich fragte mich schon, wer damals mein "Google plant die Superdatenbank"-Debunking toll fand, verbreitete und flatterte, obiges aber kritiklos verteilte. Waren ne Menge Leute...

Jetzt stellt sich raus, das der gesperrte User ein kleines Detail "vergaß" zu erwähnen: Die Sperrung erfolgte auf Grund eines, sagen wir, "delikaten", Bildes in seinem Account. Stefan Keuchel, Pressesprecher Google Deutschland hat jetzt (da der User inzwischen damit rausrückte woran es wirklich lag) das ganze nochmal offiziell erklärt/erläutert. Jemand lädt ein "barely legal"-Bild in seinen Account hoch und wird (automatisch) gesperrt. Darauf beginnt das große Weinen und weil eh alle grad auf Google rumkloppen nimmt man das zum Anlaß die Sau mit "Google killt sieben Onlinejahre und zuckt mit den Schultern" durchs Dorf zu treiben.

Und das obwohl ausser dem offenen Beschwerdebrief des Users ohne weitere Details nichts, aber auch gar nichts an Fakten bekannt ist (siehe auch die Kommentar bei t3n). Und jetzt? Stellt sich raus, das es nicht wegen Realnamen oder Fakeprofilen sondern wegen nem wohl ziemlich "handfesten" Bild, was selbst der User als "bordering on the limits of what is legally permissible" bezeichnet der Account gesperrt (und nicht *gelöscht*) wurde. Nur dumm, das der arme User diesen kleinen unbedeutenden Fakt vergaß in seiner Beschwerde zu erwähnen...

So, und ich hoffe, das alle, die diesen Fall als Megafail von Google wegen Realnamen breitgetreten haben in Zukunft eben nicht mehr ohne weitere Details draufdreschen. Als ob man aus "Google plant die Superdatenbank" nichts hätte lernen können... Seufz.

Realnamen, Google+ et al und ich

Klaus Peukert » 27 Juli 2011 » in Privates » 1 Kommentar

Ich glaube, mir ist inzwischen klar geworden, warum ich ausgerechnet bei G+ (naja, bei Facebook, XING u.ä. eigentlich auch) so auf Realnamen rumhacke bzw. sie "erwarte", obwohl ich Pseudonyme und Nicknames an anderer Stelle (Twitter, WoW, Foren, IRC, Communities etc.) voll in Ordnung und angebracht finde und selbstverständlich auch nutze (im IRC würde ich wohl nie unter klauspeukert zu finden sein und auch meine WoW-Charakter haben nettere Namen :-)). Hat wohl was mit "Dem Ding mit den Menschen" zu tun und damit, das ich hier nicht mit einer (von ggf. mehreren) virtuellen Identität einer Person, sondern eben mit der "echten" Person dahinter kommunizieren möchte.

Und an der hängt nunmal der "Ausweisname" als "identitätenübergreifendes" Merkmal dran. Aufgefallen ist mir das, als ich gestern so lange Circlevorschläge durchgeackert hab bis Google keine mehr hatte. Ich empfand es selbst bei persönlich bekannten und geschätzten Leuten als "störend" bzw. "unpassend" sie zwar zu finden/wiederzuerkennen, aber eben nur in der Form einer virtuellen Identität und nicht der physischen/echten. Es hat also bei mir wohl nix mit der unsäglichen "Wer nix zu verbergen hat"-Keule zu tun, sondern mit einem Bauchgefühl und dem Wunsch mit der tatsächlichen und nicht der/einer virtuellen Person zu tun zu haben.

Bei Christian Heller im plomwiki hat hat Thomas Maier Ähnliches, wenn auch deutlich flapsiger geschrieben. Von der eher laxen Wortwahl abgesehen glaub ich, das der Punkt, "Es gibt 'einen' Namen, der alle weiteren Identitäten (Spitzname im Sportverein, WoW-Character, Twitter-Nick) vereint", ziemlich valide ist und ich glaube das es das ist, was mich dazu bringt, per "Bauchgefühl" bei Plattformen wie G+ (und halt auch Facebook etc.) den Realnamen als Metakennzeichen und vereinigendes Merkmal aller Identitäten einer Person zu wollen.

Digitale Mantafahrer

Klaus Peukert » 15 Juli 2011 » in Rants » 15 Kommentare

Weils grad durch Google+ und Twitter schwappt: Da werden also Leute in der Google+-Beta gekickt, weil sie sich nach ihrem Twitter-, Blog- oder WoW-Nick nennen wollen. Als Beweis das das unter Googles Namenspolicy fällt wird angeführt, das der Beispiel User "Sebastian Michael Müller" sich auch als "Basti Müller" oder "Michi Müller" anmelden darf. Das soll nun der Freibrief für "Dr. Tod", "Der Ennomane", "plomlompom plomlompom" und weiteres sein.

Weiterhin heißt es, das mancher ja unter seinem Nickname (bei mir: tarzun) besser bekannt ist und man mit dem echten Namen (hier: Klaus Peukert) nichts anfangen kann. Dann gibt es noch das "Für manche ist es notwendig wegen Repressionsschutz"-Argument und die legalistische Linie, die das TeleMedienGesetz (TMG) zitiert, nachdem in Deutschland die pseudonyme Nutzung ermöglicht werden muss. Von mir dazu nur kurz:

  • Wer Angst vor (staatlichen) Repressalien hat oder nicht will, das der Arbeitgeber, die Ex-Frau oder der Stalker bei einem mitliest, dem spuckt der Fakenamegenerator dreimal am Tag eine neue plausible Identität aus, die bei keinem oberflächlichen Betrachter den "Aha, ein Pseudonym"-Reflex triggert.
  • Wenn es darum geht, die Reputation und Prominenz von Twitter und Blog mit "rüberzunehmen", dann bietet Google+ zwei Stellen ("Alias" in den Accountsettings und "Weitere Namen" in den Profilsettings) wo man das zusammenklöppeln kann. Man kann sein Twitterkonto verbinden und unter Links anzeigen lassen und beliebige Webseiten ebenda auch verknüpfen.
  • Auch die Angabe von "aka tarzun" als Beruf ist möglich, das sieht man dann sogar beim Drüberhovern übern Namen. Und man kann, das dürfte wohl unproblematisch sein, seinen Nick als Teil des Vor- oder Nachnamens angeben, also "Klaus 'tarzun'" | "Peukert" oder "Klaus" | "'tarzun' Peukert", was dann ein "Klaus 'tarzun' Peukert" ergibt.
  • Die "Netzidentität" geht also nicht verloren, nur weil man die Felder Vor- und Nachname mit, nunja, dem Vor- und Nachnamen, ausfüllen soll. Zu dieser "Google-Identität" und dem vermutlichen Hintergrund bzw. Lernprozeß bei Google hat Kristian 'isotopp' Köhntopp was geschrieben.
  • Es wird das Äquivalent zu "Pages" und "Fanseiten" geben, wenn man also einen virtuellen Fuchsschwanz will, wird das später gehen.

Man kann also sich sowohl per brauchbarem Pseudonym schützen, man kann seine Netzidentät ebenso brauchbar verknüpfen und man kann sich sogar (zukünftig) einen eigenen Schrein für die Netzpersona basteln. Wo ist jetzt also das Problem? Das man nicht "Der Tarzun" als Vor- und Nachname angeben darf und wenn man das (bewußt!) macht, erstmal abgeklemmt wird? Der Holger Koepke, ein alter Usenethase, der diese Realnamendiskussion ebenfalls schon in mehreren Iterationen erleben durfte hat das Ganze nochmal sehr schön und sachlich zusammengefasst.

Dem ist eigentlich kaum noch was hinzuzufügen. Pseudonyme können wichtig und notwendig sein und es ist wichtig, das man das Netz an sich pseudonym oder anonym nutzen kann. Das Beharren auf seinem Twitternick als "Vornamen" in dieser Beta-Version ist aber zum jetzigen Zeitpunkt nicht mehr als das Äquivalent zum KENWOOD-Aufkleber und dem Fuchsschwanz an der Antenne.

Google plant die Super-Datenbank

Klaus Peukert » 14 Juli 2011 » in Politisches » 24 Kommentare

So titelte gestern die SZ, die ZEIT ebenso deutlich mit "Google will Nutzerprofile direkt verkaufen". Fefe ist drauf angesprungen und auf Twitter rollt jetzt noch ein Empörungstsunami. Ganz schlimm, was Google da macht. Man sollte es in Googlemort umbenennen. Aber mal im Ernst, was is da dran, is das ne Ente, übertriebene Empörung oder will Google tatsächlich den Adreßhändlern, die unbehelligt und zumindest in Deutschland vom Listenprivileg geschützt agieren, Konkurrenz machen? Glücklicherweise bin ich nicht der einzige, dem das komisch vorkommt.

Die wenigsten von denen, die so locker-flockig den Empörungskreisel am Laufen halten, dürften die Originalquelle der beiden Zeitungsberichte gelesen haben. Ich hab das grob getan und komme zu dem Schluß, das das grade ein feines Beispiel von FUD, dem Spiel mit einer diffusen Datenangst, dem Schüren von Befürchtungen und dem Drücken von ein paar Stichwortschaltern ist. Die Originalquelle jedenfalls gibt das reißerische "GOOGLE VERKAUFT DEINE DATEN AN DEN TEUFEL!!!!" jedenfalls nicht im Entferntesten her.

Wenn ich es richtig verstanden hab, möchte Google seine Werbeplattformen (die haben ja nicht nur AdWords selbst gebastelt, sondern auch mal DoubleClick u.ä. gekauft) konsolidieren. Die erwähnte AdExchange macht normalerweise nichts anderes als Werbeplätze zu verkaufen und zu versprechen, das man die Werbung bestimmten Zielgruppen anzeigen wird (single, white, female, Germany, mag Ponies und Einhörner). So machen das bspw. auch die VZ-Netzwerke und die sind sogar TÜV-gesiegelt und Datenschützer-Approved.

"Google plant die Super-DB" ist also nicht komplett falsch, vermittelt aber den komplett falschen Eindruck, "Google verkauft Nutzerdaten" ist gleich völliger Humbug, wemngleich im Artikel selbst wiederum etwas unaufgeregter berichtet wird und man ihm ohne pulsierende "Datenkrake!"-Halsschlagader entnehmen könnte, das es eben nicht so schlimm ist wie suggeriert. Ja, sogar überhaupt nicht schlimm (es sei denn man findet Werbung an sich des Teufels).

Würde Google jetzt tatsächlich Nutzerdaten verkaufen würden sie sich selber die Schienbeine ihres eigenen Geschäftsmodell zertrümmern. Das dürften die auch ziemlich genau wissen. Daher passen sie mit Argusaugen auf die Daten und haben im Gegensatz zu Regierungen noch keine unverschlüsselten Laptops verloren oder Krankenakten in den Mülleimer hinterm Krankenhaus entsorgt. Letztlich haben und brauchen die das Vertrauen ihrer User, wenn sie das verspielen können sie den Laden dicht machen und wir müssen die Altavista-Bookmarks entstauben.

Hier zeigt sich auch mal schön die Bigotterie in der Empörung. Wenn Adreßhändler tatsächliche Adreßdaten verkaufen dürfen und das sogar noch gesetztlich legitimiert ist (oben erwähntes Listenprivileg), wenn Zeitungsverlage das Heulen bekommen weil sie bei In-App-Abos ihrer coolen iPäd-Apps wegen der Apple-Policy nicht an die Adreßdaten der Käufer kommen und Apple da tatsächlich Daten schützt, dann fegt grad mal ein laues Lüftchen durch die Landschaft, schreit aber jemand "Google verkauft $XY" in den Wald wird dieser von der Empörung direkt brandgerodet. Und das alles ohne mal die Quellen gelesen und hinterfragt zu haben. Es ist echt bitter.

Wenn wir grad von Quellen reden, der "Communications and Public Affairs Manager (B2B)" von Google Deutschland, Klaas Flechsig, hat das auf Google+ gestern hier dankenswerterweise kommentiert, ich bin einfach mal so frei und zitiere ihn einfach:

Melde-Ente. Wir verkaufen keine Nutzerdaten oder -profile und werden das auch in Zukunft nicht tun. Richtig ist, dass wir zusammen mit anderen Werbenetzwerken an Initiativen arbeiten, das Datenmanagement von Interessenskategorien zu vereinfachen, indem die vorhandenen Daten aus verschiedenen Werbenetzwerken auf einer Plattform zusammengefasst werden. Davon profitieren nicht nur Werbetreibende, sondern auch die Nutzer selbst - die dann zum Beispiel an einer einzigen Stelle für alle Werbenetzwerke aus interessenbasierter Werbung ausopten könnten, statt dies in allen Netzwerken einzeln tun zu müssen. Noch einmal: Es geht NICHT um persönliche Nutzerdaten, sondern um Interessenskategorien. Die Headline ist schlichtweg falsch!

Klar soweit?

Nachtrag I: Christiane Schulzki-Haddouti hat auf G+ zähneknirschend eingestanden, das die Headline tatsächlich ne Luftnummer war, findet man hier in den Kommentaren (der von 9:18).

Nachtrag II: Der Beitrag in dem Klaas Flechsig und Christiane Schulz-Haddouti kommentierten, wurde leider nicht Public sondern nur an die Kreise des Posters geteilt. Sorry.

Nachtrag III: Die ZEIT hat den Artikel jetzt angepasst und damit zur Ursprungsfassung deutlich entschärft, sowie um ein erklärendes Nachwort versehen.

cronjob