Gelassenheit durch Kompetenz

So titelte gestern die SZ, die ZEIT ebenso deutlich mit "Google will Nutzerprofile direkt verkaufen". Fefe ist drauf angesprungen und auf Twitter rollt jetzt noch ein Empörungstsunami. Ganz schlimm, was Google da macht. Man sollte es in Googlemort umbenennen. Aber mal im Ernst, was is da dran, is das ne Ente, übertriebene Empörung oder will Google tatsächlich den Adreßhändlern, die unbehelligt und zumindest in Deutschland vom Listenprivileg geschützt agieren, Konkurrenz machen? Glücklicherweise bin ich nicht der einzige, dem das komisch vorkommt.

Die wenigsten von denen, die so locker-flockig den Empörungskreisel am Laufen halten, dürften die Originalquelle der beiden Zeitungsberichte gelesen haben. Ich hab das grob getan und komme zu dem Schluß, das das grade ein feines Beispiel von FUD, dem Spiel mit einer diffusen Datenangst, dem Schüren von Befürchtungen und dem Drücken von ein paar Stichwortschaltern ist. Die Originalquelle jedenfalls gibt das reißerische "GOOGLE VERKAUFT DEINE DATEN AN DEN TEUFEL!!!!" jedenfalls nicht im Entferntesten her.

Wenn ich es richtig verstanden hab, möchte Google seine Werbeplattformen (die haben ja nicht nur AdWords selbst gebastelt, sondern auch mal DoubleClick u.ä. gekauft) konsolidieren. Die erwähnte AdExchange macht normalerweise nichts anderes als Werbeplätze zu verkaufen und zu versprechen, das man die Werbung bestimmten Zielgruppen anzeigen wird (single, white, female, Germany, mag Ponies und Einhörner). So machen das bspw. auch die VZ-Netzwerke und die sind sogar TÜV-gesiegelt und Datenschützer-Approved.

"Google plant die Super-DB" ist also nicht komplett falsch, vermittelt aber den komplett falschen Eindruck, "Google verkauft Nutzerdaten" ist gleich völliger Humbug, wemngleich im Artikel selbst wiederum etwas unaufgeregter berichtet wird und man ihm ohne pulsierende "Datenkrake!"-Halsschlagader entnehmen könnte, das es eben nicht so schlimm ist wie suggeriert. Ja, sogar überhaupt nicht schlimm (es sei denn man findet Werbung an sich des Teufels).

Würde Google jetzt tatsächlich Nutzerdaten verkaufen würden sie sich selber die Schienbeine ihres eigenen Geschäftsmodell zertrümmern. Das dürften die auch ziemlich genau wissen. Daher passen sie mit Argusaugen auf die Daten und haben im Gegensatz zu Regierungen noch keine unverschlüsselten Laptops verloren oder Krankenakten in den Mülleimer hinterm Krankenhaus entsorgt. Letztlich haben und brauchen die das Vertrauen ihrer User, wenn sie das verspielen können sie den Laden dicht machen und wir müssen die Altavista-Bookmarks entstauben.

Hier zeigt sich auch mal schön die Bigotterie in der Empörung. Wenn Adreßhändler tatsächliche Adreßdaten verkaufen dürfen und das sogar noch gesetztlich legitimiert ist (oben erwähntes Listenprivileg), wenn Zeitungsverlage das Heulen bekommen weil sie bei In-App-Abos ihrer coolen iPäd-Apps wegen der Apple-Policy nicht an die Adreßdaten der Käufer kommen und Apple da tatsächlich Daten schützt, dann fegt grad mal ein laues Lüftchen durch die Landschaft, schreit aber jemand "Google verkauft $XY" in den Wald wird dieser von der Empörung direkt brandgerodet. Und das alles ohne mal die Quellen gelesen und hinterfragt zu haben. Es ist echt bitter.

Wenn wir grad von Quellen reden, der "Communications and Public Affairs Manager (B2B)" von Google Deutschland, Klaas Flechsig, hat das auf Google+ gestern hier dankenswerterweise kommentiert, ich bin einfach mal so frei und zitiere ihn einfach:

Im ersten Teil erklärte ich, das eine der Hauptursachen für fremdschaminduzierenden und datenschutzhomöopathischen Aktionismus der sonst eher arbeits- oder erfolglosen Datenschützer die Betrachtung von IP-Adressen als persönliches/personenbezogenes/personenbeziehbares Datum ist. Heute gehts darum, ob und wie man das ändern kann.

Warum sind IP-Adressen überhaupt personenbezogen? Technisch sind das ja schlicht "Maschinenadressen", ein halbwegs passender Auto-Vergleich (ohne gehts wohl wirklich nie...) würde leicht schief liegend von "Nummernschildern" sprechen. Der Trick ist, das die Interpretation, bzw. der vermeintliche Personenbezug eine rein (formal)juristische Betrachtung ist. Und die ist nichtmal unumstritten, man kann zwar Stand heute davon sprechen, das die "herrschende Meinung" in Deutschland den Personenbezug bejaht, abweichende Meinungen gibt es aber und in USA und der Schweiz(?) gibt es Urteile, die einen so strengen Personenbezug, wie in Deutschland mit der neunschwänzigen Privacy-Knute durchgepeitscht, nicht erkennen wollen.

Im BDSG selber kommen "IP-Adressen" nicht vor, die Überlegung, was man damit in Bezug aufs BDSG anstellt kommt also von Datenschützern, Anwälten und Richtern. Eine enge/strenge Auslegung des BDSG erlaubt diese Interpretation, kann doch der Provider die verteilten IP-Adressen mit seiner Kundendatenbank abgleichen und so zumindest den "Halter" der IP-Adresse ermitteln. Und da kommt der erste Haken: Er kann auch nur den Halter ermitteln. Der Provider hat keine Möglichkeit anhand der IP-Adresse festzustellen, welche natürliche Person sich tatsächlich dahinter verbirgt, ja nicht einmal ob es eine, zwei oder viele sind. Gemeinsam genutzte Zugänge in WGs, das Internetcafe, das Smartphone per UMTS, das Firmennetzwerk usw. Beim "Halter" des Anschlusses ist Ende mit Personenbezug. Ja, aber warum ist denn dann mein Datenschutz in Gefahr? Ich nutze doch das WLAN meiner Vermieterin. Auf mich kommt nicht mal deren Provider.

Der Ritt auf der Personenbeziehbarkeit von IP-Adressen zeigt hier ein paar geschickte Volten. Man läßt für die Frage ob IP-Adressen personenbeziehbar sind nämlich außer acht, ob ein Bezug zum tatsächlichen Nutzer hergestellt werden kann. Nein, dem gemeinen Datenschützer genügt, wenn irgendeine Person mit der IP-Adresse in Verbindung gebracht werden kann. Das klingt jetzt ein wenig nach Parallelwelt, ist aber tatsächlich Realität. Die Datenschützer wissen sehr genau, das man maximal an den Halter rankommt. Nebenbei: Der Bereich "Störerhaftung" ist ähnlich lustig, und wenn man den Halter aus der unmittelbaren straf- bzw. zivilrechtlichen Verantwortung für den Anschluß entlassen würde, würde auch das Abmahnunwesen keinen mehr haben, den sie stellvertretend für den filesharenden "Kinofreund" an die Kandare packen könnten.

OK, Luftholen. Technisch sind IP-Adressen also "Nummernschilder" (das mancher jeden Tag ne neue kriegt, kann hier ohne Belang bleiben). Praktisch kann so der Provider den Halter einer IP-Adresse ermitteln, also wer den Zugang bestellt hat und wer ihn bezahlt. Rechtlich wird das BDSG so ausgelegt, das IP-Adressen personenbezogen bzw. personenbeziehbar, weil irgendeine Person (eben der Halter) ermittelt werden kann. Das das in der Mehrzahl der Fälle nicht der tatsächliche Nutzer ist, interessiert juristisch zunächst nicht. Achja, und ohne IP-Adressen funktioniert das Internet nicht. Wir können sie also nicht einfach weglassen und das Problem so "lösen". Gut, wissen wir also "was so geht". Was geht denn nicht?

Da nur der Provider die Zuordnung IP-Adresse Halter vornehmen kann, kann das also Google, Amazon, Facebook oder die Webseite der Kneipe um die Ecke nicht. Die sehen eine IP und können daraus vielleicht grob die Gegend schätzen wo die herkommt (wenn die Geo-Infos korrekt sind), ob es eine statische oder dynamische ist und den Provider. bei festen kann man es vielleicht noch aufs Unternehmen einschränken (wenn das den IP-Block selbst bestellt und nicht auch nur vom Provider delegiert bekommen hat). Ein Webseitenbetreiber kann alleine anhand der IP-Adresse idR keine natürliche Person identifizieren. Er braucht dazu Logindaten (wenn ich mich registriert habe), abschalt- und filterbare Cookies oder ähnliches.

Die IP-Adresse alleine nützt ihm jedenfalls nix. Nicht mal um den Halter rauszubekommen, das kann wiederum nur der Provider. Was geht noch nicht? Der Provider kennt zwar meine IP-Adresse (gut, die meiner Vermieterin), aber er weiß nicht, wo ich mich denn so rumtreibe. Das wiederum wissen nur die jeweiligen Webseiten. Übrigens eine große Angst, die durch AK Vorrat et al geschürt ist, das der IP-Speicherungsteil der Vorratsdatenspeicherung "Surfprotokolle" erlauben würde, eine Argumentation (leider) auf dem Niveau einer Uschi von der Leyen, aber darum solls hier nicht gehen.

Nochmal Luftholen. Webseitenbetreiber können mich also allein anhand meiner IP nicht (sicher) identifizieren und benötigen dafür mehr Daten, etwa die, die ich bei der Registrierung (idR freiwillig) angegeben habe. Und wenn sie die haben, dann brauchen sie die IP auch nicht mehr. Provider dagegen haben zwar meine IP, wissen aber nicht wo ich mich rumtreibe. Warum baut nun trotzdem ein Großteil der aktuellen Datenschutzdebatte auf der Personenbeziehbarkeit von IP-Adressen auf? AdSense, GoogleAnalytics, Like-Buttons, eingebundene Youtubevideos oder Flickr-Bilder, alles "böse", weil der jeweilige Betreiber meine IP "übermittelt" bekommt, am schlimmsten noch in den unsicheren Drittstaat USA.

Warum läßt man den (strengen/engen) Personenbezug denn an der Stelle nicht einfach weg? Das würde die Lage doch dramatisch vereinfachen. Analytics und Co wären "legal", Intrusion-Detection-Systeme von Krankenkassen könnten IP-basiert Angreifer blocken und die Daten schützen, Datenschützer müssten sich nicht mit Karnickelzuchtforen rumschlagen, die an einer Ecke AdSense schalten, man müsste nicht über Abmahnungen(!) für Datenschutzverletzungen Dritter(!!!) nachdenken usw., selbst die Polizei würde so "grundrechtsschonende" Ermittlungsansätze bekommen (wieder ein Autovergleich: Tempo- oder Parkverstöße gehen auch über den Halter und keiner schreit "Datenschutz!").

Die Speicherung von IP-Adressen ist (auch im Sinne des Datenschutzes in Form von Security) teilweise sogar notwendig. Firewalls, Abwehr von Denial-of-Service-Angriffen, IDS-Systeme etc. Die brauchen (neben anderem) alle IP-Adressen und müssen die auch aufheben, zum Vergleich, für Statistiken und Heuristiken usw. Für die würde es einfacher, wenn sie nicht wegen der Erfassung und Speicherung von "personenbezogenen Daten" in Form von IP-Adressen ständig in der Gefahr schwebten auf die Nase zu bekommen. Und technisch funktioniert das Internet ohne Übermittlung und Austausch von IP-Adressen eh nicht. Es "nützt" ja auch nichts, IP-Adressen zu verteufeln, denn etwa Tracking, auch personalisiert oder persönliche Werbung funktionieren heutzutage ganz prima ohne IP-Adressen (siehe den "Digitalen Fußabdruck" aus Teil 1) aus, läßt man IPs ausm Tracking raus hat man kaum was gewonnen:

Ja, man könnte sich glatt auf echte Datenschutzprobleme stürzen. Die tolle Personenkennziffer etwa, die wir alle in Form der SteuerID bekommen haben, obwohl das BVerfG (ja, genau das, was auch die hochgelobte informationelle Selbstbestimmung postulierte) eine solche ID nach den Erfahrungen von DDR und 3. Reich ablehnte. ELENA, dem "Hosen runter"-Programm für Arbeitnehmer. HartzIV, dem Datenstrip für Langzeitarbeitslose. SWIFT, Fluggastdatenübermittlung, Rasterfahndung und Kommunikationsüberwachung. Und so weiter. Wir latschen fröhlich den Weg in den Überwachungsstaat (und Dresden zeigt, das der echt nicht weit weg von uns ist) und verlieren uns unterwegs in der Zerstreuung der Streits, ob GoogleMail denn in Deutschland verboten werden müsste, weil die ja meine IP kennen.

Kann man denn das mit dem Personenbezug so einfach ändern? Ginge das denn? Ja klar ginge das. Der strenge/enge Personenbezug ist ja eine rein juristische Auslegung des BDSG, die mit der Technik (oder boshaft: mit dem echten Leben) kaum Überschneidungen hat. Die kann man ändern und nicht pauschal jede IP-Adresse, die meinen Router kreuzt, als streng geheimzuhaltendes Personendatum überqualifizieren. It's that easy. Wir haben echt größere Probleme als uns um "Übermittlung von IPs nach USA" zu streiten.

Die sollten wir angehen.

Nachtrag: Um Missverständnisse zu vermeiden: Die Idee, den Personenbezug bei IP-Adressen abzuschwächen bezieht sich ausschließlich auf die nackten Nummern, wie sie etwa in Mail- und Webserverlogs gespeichert werden. Die dann tatsächliche Zusammenführung eines solchen "nackten" Datensatzes mit einem aus den Logfiles des Providers ergeben dann natürlich "echte" personenbezogene Daten und diese Zusammenführung muss selbstverständlich geschützt, verhindert, verboten oder zumindest mit hohen gesetzlichen Hürden versehen werden. Denn dann hat man die Surfprotokolle, die Bewegungsprofile, den gläsernen Menschen, die Möglichkeiten zur staatlichen Überwachung und Generalverdächtigung der Bürger, gegen die AK Vorrat et al, Piratenpartei, die handvoll vernünftiger Netzpolitiker der "großen" Parteien und nicht zuletzt die vielbeschworene "Netzgemeinde" protestieren.

Und dieser Part von "1984" (um neben einem Auto- auch noch den unvermeidlichen Orwellvergleich hinzubekommen) darf tatsächlich nicht Wirklichkeit werden, und das ist, da lehn ich mich mal ausm Fenster, auch innerhalb der Spackeria Konsens.

Die Jungs vom LiquidFeedback-Team haben jetzt ihre offizielle Diagnose rausgebracht, nachzulesen hier. Das deckt sich soweit mit dem hier im Blog schon Geschriebenen, was den Angriffsvektor und den potentiellen Schaden angeht (interne Trackbacks machen mein Blog kaputt, schaut bitte selber nach). Im Rahmen einer "OperationCleanup" will man nun zum Einen alls User informieren und zum anderen alle inaktiven/schweigenden Accounts dichtmachen und die User neu einladen. Damit war zu rechnen und das ist auch sinnvoll, einfach weitermachen und Ergebnisse rausrechnen (*hust*Liquidizer*hust*) wäre auch ungewöhnlich schlampig.

Das würde grundsätzlich ganz gut zu Claudius Hollers Vorschlag passen, auf den ganzen Foo, den man wegen einer lauten Minderheit, die das Tool aus kleinkindhafter Bockigkeit eh nicht nutzt und mies macht, scheibchenweise an die Bundesinstanz angeflanscht hat, zu verzichten und eine freiwillige und offene Instanz aufzubauen, die schlicht die ursprünglichen Prinzipien von LiquidFeedback anbietet. So ähnlich wie das Piratenwiki, das steht auch "einfach so" da und keiner meckert über Datenschutz, wenn über das neue Webseitenlayout abgestimmt wird.

Ein Großteil der Kommentare auf seine Gedanken beschränkt sich aber auf innerparteiliche Ängste und läßt sich mit "Ne, laß mal, könnte ja schön werden" zusammenfassen. Schade mal wieder. Ich habe gestern unabhängig von Claudius den Sachsen einen ziemlich ähnlichen Vorschlag gemacht, bei dem ich auch meine Unterstützung angeboten habe. Die Begeisterung hält sich bisher in Grenzen, um es mal diplomatisch auszudrücken, "Sächische Piraten starten landesweites Beteiligungstool" klingt wohl nicht sexy genug. Wobei die Webseite der Sachsen mal paar frische Inhalte vertragen könnte...

Lediglich crackpille geht etwas ausführlicher drauf ein. Dazu nur eines. Die Gegenrede zu Claudius ist unnötig, da er "Klarnamenzwang" lediglich als Option sieht, dabei wohl aber eher eine "Dringende Bitte, die echte Identität zu nutzen" meint, so das die "Netzidentitäten" (crackpille, tarzun usw.) da mit drunterfallen. Ein modus operandi a'la Piratenwiki, also "Hier ist es, Accounts gibts da hinten, bedient Euch" ergänzt um "Aber jeder nur einen Account", umrühren und fertig is das Tool. Ich glaube, die beiden sind sich einiger als es scheint. Tut Euch mal zusammen.

Der eigentliche Spaß kommt aber erst später, egal ob mit "offenem Reset" oder Herz-Lungen-Wiederbelebung der bestehenden Instanz (die is ja sooo schlecht nicht, aufm Papier). Denn wenn das Tool keiner *ernstnimmt*, dann hat das eh alles keinen Sinn. So wie der alte Vorstand der Piraten tlw. aktiv gegen den Beschluß zur Inbetriebnahme gearbeitet und die Ergebnisse des Tools dann dank seiner "shitstorm-driven" Arbeitsweise mehr oder weniger ignorierte und kleinredete, so gegenteilig muss bei einem eventuellen Neustart die Ernsthaftigkeit der Nutzung sein. Also, lieber neuer Vorstand: Verkackt das nicht noch weiter.

Is schon komisch. Wenn auf Mailinglisten der Wind rauh wird, ein Sturm durch Twitter zieht, der Vorstand mit Sinnlos-Anträgen bombardiert wird, davor läßt man sich hertreiben, aber ein qualifiziertes Feedbacktool, was, bei allen Ecken und Kanten, bessere Ergebnisse liefert als das Gekreische von nem halben Dutzend ML-Könige, das ignoriert man, weil ironischerweise genau die Meute die einen per ML und Twitter hetzt, dafür sorgt, das man Schiß hat, die Ergebnisse in die eigene Entscheidungsfindung einfließen zu lassen. Menschen sind seltsam.

Achja, bevor jemand die LF-Jungs anmeckert, wie doof sie denn wären, so ne Lücke einzubauen: Wenn selbst FeFe die Jungs lobend erwähnt, dann kann im Fehlermanagement so viel nicht falsch gelaufen sein. Und das Bugs dieser Größenordnung passieren ist wenig überraschend. Deswegen ist (bzw. sollte) LiquidFeedback ja komplett offen und nachvollziehbar, so das man eben merkt wenn inaktive Accounts plötzlich loslegen, der Kumpel plötzlich nicht mehr delegiert sondern selber und echt komisch abstimmt usw. Man kann ja nur hoffen, das FeFe keinen Wind davon bekommt, das beim anderen "Tool", dem Liquidizer eine ähnlich scheunentorgroße Lücke zunächst mit "Naja, die Manipulationen kann man ja rausrechnen" weggeredet wurde...

Zum Schluß möchte ich mal alle die ganz dick und fett loben, die sich seit Monaten für LiquidFeedback und LiquidDemocracy engagieren, die Jungs und Mädels machen eine fantastische Arbeit, die haben ihren Arsch hochbekommen und was auf die Beine gestellt. Die haben nicht auf MLs theoretisiert, die haben gemacht, sie haben ihr Gesicht direkt in den Sturm aus unberechtigter Scheisse gehalten, weitergemacht und richtig gut abgeliefert. Etwas, was sich im Piratenumfeld wohl die allerwenigsten auf die Fahnen schreiben dürfen. Umso bitterer, das die Piratenpartei im Bund das Projekt so ziemlich verkackt hat. Schade.

Liebe LF-Leute: Danke.

Der Sebastian Jabbusch hat unter allen 12.000 Piraten eine Umfrage zu LiquidFeedback als Tool, LiquidDemocracy als Konzept, zur Akzeptanz, Nutzung, Verbreitung und Kritik durchgeführt. Die Ergebnisse findet man in seinen "Offenem Notizbuch einer Masterarbeit", einem sehr interessanten Blog über die Entstehung (s)einer, Überraschung, Masterarbeit zum Thema, Überraschung, Liquid Democracy. Die Lektüre des Blog sei jedem Interessierten nahegelegt.

Die Umfrageergebnisse, bzw. den ersten Teil davon findet man in diesem PDF. Den Link zum Blogartikel reiche ich nach, wenn blogger.com mal wieder aufgewacht ist, offenbar hat bei Google jemand Kaffee in die Servertastatur gekippt. Ich finds sehr interessant mal tatsächliche Zahlen, abseits der Jammerei der Mailinglistenschreihälse, zu lesen, die auch schnell deutlich machen, das die gefühlte und von immer demselben dreckigen Dutzend propagierte Ablehnung von LF/LD dann doch eher auf wackeligen Füßen steht.

Achja, ich denke es ist müßig zu erwähnen, das samt und sonders diese üblichen Verdächtigen, die sich seit Monaten noch das krudeste Argument ausm Hintern popeln um LiquidDemocracy und LiquidFeedback schlechtzureden, unmittelbar nach den Zahlen mit eigen(s)ten Interpretationen um die Ecke kommen, das man ja alles völlig anders interpretieren müsse. Naja, business as usual bei Piraten.

Nichtsdestotrotz zeigt die Umfrage Verbesserungspotential auf (Userinterface, besser sinnvolle API, transparentere Delegationen), das vom am Wochenende beim kommenden Parteitag neu gewählten Vorstand aufgegriffen werden muss. Neben den technischen Verbesserungen ist eine große Aufgabe des neuen Vorstandes LF/LD zukünftig ernster zu nehmen und tatsächlich zu nutzen, der Basis diese Beteiligungsmöglichkeit geben und sie auch zu nutzen.

Die Wahl dort wird wohl auch zu einer Richtungsentscheidung für oder gegen LiquidDemocracy in der Piratenpartei, denn ob unter Sebastian Nerz, Noch-Vorsitzender des LV BaWü und fleischgewordener Traum aller politischen Schwiegermütter, der als weichgespülter Konsenskandidat bei seinem Heimspiel wohl recht ordentliche Chancen zur Wahl hat die LiquidDemocracy-Idee so aktiv wie notwendig vorangetrieben, ich bezweifle es.

Aber vielleicht ist mein Pessimismus völlig unbegründet und die Piraten sind vernünftig genug, keinen piratgewordenen Kuschelweichbären an die Spitze zu setzen, sondern einen mit Ecken und Kanten, einen der dem politischen Gegner auch mal ne Blutgrätsche verpassen kann, nämlich den Christopher Lauer, der von Claudius Holler, ehemaligem Spitzenkandidaten in Hamburg hier eine schöne "Wählt ihn"-Lobhudelei bekommen hat.

Interessantes spielte sich am Wochenende auf der Sachsen-ML der Piraten ab, es gab eine Schnitzel vs. Tofu-Diskussion. Warum? Nun, die Leipziger Uni-Mensa hatte in einer (von 18) Mensen/Cafeterien einen "vegetarischen Tag" durchgeführt, statt dem üblichen Entrecotè mit Speckbohnen gab es also nur "Tofusteak mit Mittelmeergemüse, Falafel mit Joghurt-Limetten-Dip, Kichererbsenpfanne und Gemüsecurry". So weit, so uninteressant. Jetzt gab es aber paar Knallerbsen von Studenten, die dagegen aufbegehrten. Generelle Infos zum Vorgang findet man unter

Das Ganze schwappte in die Sachsen-ML und wurde schnell in Richtung "Wir Piraten sind doch aber für persönliche Freiheit, liberal und gegen Bemutterung und sollten so einen Veggie-Tag daher schlecht finden" umgebogen. Eine sachliche Zusammenfassung dieser Position findet man hier im Blog von Andread Romeyke, dem Chef der sächischen Piraten.

Ich kann diese Aufregung und diese Argumentation nicht nachvollziehen. Ich verstehe das nicht. Niemand beschwert sich, das es in der Mensa keinen Mojito, Caipirinha oder wenigstens alkoholfreie Cocktails gibt und das man da keine Reisen buchen oder Fahrräder mieten kann. Niemand fühlt sich davon in seiner Freiheit eingeschränkt. Aber weil einmal im Monat in einer von 18 Mensen ausschließlich vegetarisch gekocht wird, dann ist der Katzenjammer groß? Warum?

Warum wird hier von Freiheit, ihrem Verlust oder ihrer Einschränkung geredet, weil es einmal im Monat Falafel statt Fleisch gibt? Ich mein, die Studenten werden ja nicht aus den Hörsälen in die Mensen getrieben um dort unter Androhung standrechtlicher Entleibung Brokkoli-Thunfisch-Gazpacho fressen zu müssen. Niemand erleidet einen persönlichen Nachteil oder einen im Studium, wenn er an dem Tag zwei Straßen weiter beim Feinkosthändler speist.

Und wenn wir bei Freiheit sind: Der Mensenbetreiber hat auch seine (unternehmerische) Freiheit. Und so wie es Restaurants gibt, wo es alles mögliche, aber kein Schnitzel gibt, weil der Koch das nicht als "Essen" ansieht, so wie es alkoholfreie Gaststätten und so wie es Trinkhallen gibt, so wie es an Dönerbuden und Burgerbratereien gibt, Hausmannskost und haute cuisine, so hat auch das Unternehmen (jaja, die AöR im Falle der Leipziger Mensen) die Freiheit, ihren Speiseplan frei zu bestimmen.

Blöd, wenn zwei Freiheiten nun aufeinanderprallen, wa? Wer hat denn nun Recht? Das Unternehmen (die AöR, es ist gut, OK?) das sich für ein monatliches Symbol/Signal entschieden hat oder der Student der ohne sein Jägerschnitzel mit Tomatensoße nicht über den Tag kommt? Es gab noch einen weiteren Einwand, insb. im Blick auf die Piratenszene. "Beim Tanzverbot hat man sich aufgeregt, aber hier nicht" hieß es u.a. Dieser Bigotterievorwurf übersieht etwas:

Das Tanzverbot ist staatlich angeordnet, wird kontrolliert und wer dagegen verstößt, wird bestraft und darf blechen. Wer am Veggietag nicht in die Mensa geht und auf der Treppe davor den mitgebrachten Döner ißt, dem passiert: Genau nichts. Und das ist genau der Unterschied zwischen der tatsächlich abzulehnenden Bevormundung durch den Staat (der man sich ohne das Risiko einer Strafe nicht entziehen kann) und der Ausübung der unternehmerischen Freiheit, einmal im Monat eben kein Schnitzel in die Pfanne zu schmeißen.

Es gibt keine Mensapolizei, die kontrolliert, das man keine mitgebrachte Leberwurstbemme im Hörsaal ist, keine Strafen, keine Sanktionen. Nichts. Nichts außer das man sich sein Fleisch halt mal von über die Straße holen muss, wenn einem "Falafel mit Joghurt-Limetten-Dip" nicht behagt. Und das soll jetzt Freiheiten einschränken? Das sollen Piraten (liberal, freiheitlich, ya know) nun schlecht finden? Ich glaube nicht, Tim.

So ein Veggietag ist ein harmloses, schlimmstenfalls wirkungsloses, Symbol dafür, das wir auch beim Essen mal dran denken sollten wo dieses Stück gebratene Kuh jetzt herkommt und ob es wirklich jeden Tag das Billigminutenschnitzel vom Discounter um die Ecke sein muss. Soviel Toleranz und Verständnis für eine freiwillige Lebensweise Anderer und das keinen schmerzende Symbol für eine nachhaltige Ernährung und Lebensmittelherstellung darf man ruhig, insbesondere von Piraten, erwarten.

Disclaimer: Ich bin Allesfresser, mag mein Steak blutig und hab grad zwei Tofu-Burger verdrückt. Nächstes mal doch wieder Steak.

Frank Rieger und Constanze Kurz zitiert der Stern so:

Schlipsnerd so:

Ich so, im ersten Impuls:

Klar, das ist zunächst sehr vereinfacht, aber ich finde es auf den zweiten Blick ein schönes Gleichnis, wie durch einen etwas anderen Fokus aus einem Risiko, was keiner je eingehen sollte, viel größere Chancen werden, wenn man mal nicht nur einen riskanten Teilbereich, sondern die positiven Auswirkungen des Ganzen sieht (ohne die Augen vorm Risiko zu verschließen). Klar, der ungeschütze Fick mit der Crackhure im Bahnhofsgebüsch ist riskant. Aber ohne ungeschützten Sex (mit meiner Frau! im Schlafzimmer! Herrje, packt Eure Assoziationsketten ein...) gäbe es meinen Sohn nicht.

Ja, von ungeschütztem Sex kann man sich nen Tripper oder andere, unangehmere Dinge einfangen. Aber er ist auch Vorraussetzung und Bedingung (wenn wir Retorten- und Reproduktionsmedizin mal als technisch möglich, aber gesellschaftlich nicht allzu weit verbreitet, außen vor lassen) für die erwünschte Fortpflanzung und Weiterentwicklung unserer Gesellschaft und der Menschheit. Und jeder der ungeschützten Geschlechtsverkehr per se verbieten wollen würde, würde ziemlich scheel angeschaut werden. Und womit? Mit Recht! Nur weil geile Idioten triebgesteuert über den Bahnhofsstrich schnüren, verbieten wir dem funktionierenden und sich vertrauenden Paar doch nicht, Kinder auf dem biologisch üblichen Weg zu bekommen.

Beim "Datenschutz" machen manche aber genau das. Statt aufzuklären und "digitale Kondome" zu verteilen, verteufelt man viele Dinge, die zwar grundsätzlich ein Risiko innehaben (Datenklau! Mobbing! Partyfotos! Jobverlust!) aber auf der anderen Seite unglaublich mehr Chancen bieten. Meinen neuen (und extrem lässigen) Job hätte ich ohne Twitter nicht bekommen, denn der Erstkontakt entstand darüber. Wir sollten bei vielen Dingen mehr an die Chancen denken und schauen wie wir diese nutzen können. Klar, über Risiken müssen wir aufklären und die Leute ent-entmündigen (sic!). Machen wir bei Sex ja genauso. Sexuelle und informationelle Selbstbestimmung halt.

Aber bitte nicht mit einem Kissen aus weitreichenden Verboten und Regelungen die Chancen mal eben ersticken, weil ne Handvoll Kleingärtner sich von Hausfassadenfotos im Netz gestört fühlt. Oder, wie eben unabhängig von dem Post hier grad auf Twitter gelesen:

Tja.

Treffer, versenkt

Auch wenn es vielleicht nicht ganz so schlimm wird, wie es aussieht und Google StreetView (in Deutschland) nicht langsam sterben läßt: Wir Deutschen

Es gäbe einen Arsch voll Arbeit für Datenschützer zu tun. Aber was machen die "Hauptamtlichen Datenschutzhysteriker und Einwilligungsinformatiker" (danke an Kris für die Idee eines neuen vCard-Titels) im Jahre 2011 in Deutschland? Wogegen davon engagieren und wovor davon schützen sie uns ganz konkret? Sie ereifern sich darüber, das beim Surfen "IP-Adressen nach USA übermittelt" werden, "kämpfen" gegen Google und Facebook als wären Schmidt und Zuckerberg Inkarnationen von Voldemoort persönlich und haben nichts Besseres zu tun als die Privatsphäre von Hausfassaden(!!!!!111elf) zu schützen.

ELENA? Klar. SWIFT? Naja, nicht schön, aber was will man machen. Steuer-ID aka PKZ2.0: Mei, wir haben halt keine Handhabe. Aber wehe ein privates Webforum wagt es Werbung zu schalten und "IP-Adressen zu übermitteln". Da feiert der Adminarsch aber Kirmes, da wird draufgekloppt als gäbe es kein Morgen. Schließlich muss die Privatsphäre der Forenuser gegenüber Google geschützt werden, sind die ja zu doof Cookies zu sperren oder nen AdBlocker zu benutzen. Das BDSG erwartet schließlich ein schriftliches Triple-OptIn per PostIdent, wenn man mal nen Blog kommentieren will. Alles andere ist ein Datenschutz-GAU.

Tut mir leid liebe sogenannte "Datenschützer", aber

So lange werde ich Euch nicht ernst nehmen.

Macht Euch nützlich statt lächerlich!

Ich habe bei der Spackeria wieder über Datenschutz und Ähnliches gebloggt. Aus Gründen das Ganze auch hier zum Nachlesen, Kommentare aber bitte nur beim "Original".

Die meisten aktuellen Probleme, Diskussionen oder gar rechtlichen Maßnahmen im Bereich des Datenschutzes kondensieren fast immer alleinig an der IP-Adresse, ihrer Speicherung, Verarbeitung und, ganz böse, "Übermittlung in die USA". Diese, in meinen Augen übertriebene und schädliche Fixierung auf dieses Einzeldatum war neben anderem Grund für mein Engagement in der Spackeria. Neben der rein juristischen Betrachtung der Personenbeziehbarkeit i.S.v. BDSG, TMG und anderen einschlägigen Gesetzen wird immer wieder angeführt, das man über die Speicherung von IP-Adressen durch Webseitenbetreiber "ausspioniert" werden kann. Das ist nicht mal komplett falsch, allerdings ist dies allein mit der IP-Adresse einem Betreiber regelmäßig unmöglich.

Die Zuordnung IP-Adresse <-> Anschlußinhaber (und auch nur  zu diesem und nicht zu der Person die gerade die Fahrplanauskunft, "Downloadportale" oder Bombenbastelanleitungen besucht) ist zunächst erstmal nur beim Provider möglich. Ein Webseitenbetreiber kann also (allein) anhand einer IP-Adresse nicht sagen: "Da surft grad Lieschen Müller bei mir rum". Warum auch immer liegt nun trotzdem die IP-Adresse als personenbezogene Wurzel des Übels im Pfeffer? Ich weiß es auch nicht. Denn das kritisierte Tracking in der "real world" ist sowohl mit, als auch ohne IP-Adressen möglich, üblich und überraschenderweise sogar unter bestimmten Vorraussetzungen (meist eben "Keine IPs" und es muss irgendwo in ner AGB/DSE aufgeschrieben sein) datenschutztechnisch legal.

So wird etwa das OSS-Tool "Piwik" als freier GoogleAnalytics-Klon regelmäßig als "datenschutzfreundliche Alternative" genannt, aber auch für Blogsysteme wie Wordpress gibt es Plugins die mit (und nur mit) "No IP tracking" für Datenschutzverträglichkeit werben. Statistiken/Tracking über andere Daten dagegen, wie etwa

• Referer (wo, über welchen Link, kommt der Besucher her)
• Keywords (über welche Suchbegriffe wurde die Seite gefunden)
• Browserversion
• Betriebssystem
• Länderzuordnung (über Spracheinstellung Browser/OS)
• Cookies (schon kritischer, siehe die im Entwurf befindliche EU-Richtlinie)
• Nutzernamen bei anmeldepflichtigen Seiten
• Klickpfade (wo klickt der User wie häufig hin)
• Verweildauern (welche Seiten betrachtet der Nutzer wie lange)
• usw. usf.

generell also einem "digitalen Fingerabdruck" werden oft unkritisch, gar nicht oder zu lax betrachtet. Schließlich wird ja keine IP-Adresse gespeichert. Ein schönes Beispiel ist  Panopticlick der EFF, was (m)eine persönliche Browserkonfiguration identifiziert und mich so losgelöst von der IP-Adresse trackbar macht. Jetzt noch ein Userlogin und fertig sind die digitalen Fußabdrücke im virtuellen Rasen.

Angesichts der obigen, datenschutzrechtlich oft völlig legal erfassbaren, vielen verschiedenen Daten, die unabhängig von IP oder nicht, mich ziemlich gut und eindeutig identifizieren können, stellt sich doch die Frage, ob eine mitgespeicherte (und ohne Zugriff auf den Provider oder die anderen, legal gesammelten, Daten keiner Person zuordenbare) IP-Adresse dann das "Kraut noch fett macht". Statistiken, Auswertungen, Tracking, gutgemeint oder böswillig, das ist heute alles auch ohne IP möglich, wird gemacht und ist größtenteils auch rechtlich OK . Warum also schießt man sich so sehr auf ausgerechnet dieses eine Datum ein und baut ganze Debatten herum auf? Es wäre doch viel einfacher über Tracking an sich (und entsprechende Gegenmaßnahmen zum Selbstschutz) zu sprechen.

Man kann nun argumentieren: "Ja, wenn man die IP zum Tracking nicht braucht, dann ist es doch OK, das sie nicht erfasst, gespeichert, übermittelt werden darf". Kann man. Nur fängt man sich damit halt die bizzaren und realitätsfremden Konsequenzen ein, das basierend darauf dann eben Forenbetreiber Probleme bekommen, weil sie Werbung von einem externen Server einbinden. Und, viel wichtiger: Man löst überhaupt nicht das Problem, das (böswillige) Webseitenbetreiber mich immer und überall wiedererkennen können. Das ist also mehr ne juristische Blendgranate, die den Blick aufs Wesentliche vernebelt, neue Probleme schafft und die eigentlichen überhaupt nicht tangiert.

Weiterhin ist Tracking per se erstmal nur auf der/den Webseiten des Betreibers möglich, d.h. der Online-Schuhversand weiß nichts von meinen Suchen nach Briefmarken aus der DDR-Zeit auf ebay und ebay wieder nichts von meiner Vorliebe für Blogs zu Militaria aus dem 19. Jahrhundert. Das klassische Gegenargument wäre jetzt Facebook mit seinem "Like-Button" (oder Google mit dem Accountcookie), wo das dann doch geht. Das ist zwar korrekt, allerdings genau eines der Problemfelder wo die IP-Adresse herzlich egal ist, denn Facebook/Google trackt darüber eben genau nicht (bzw. kann es ohne IP-Adresse). Hier wäre und ist ein Browseraddon wie "Ghostery" (http://www.ghostery.com/ ) die passende Lösung und nicht das Verbot des Ansehens von IP-Adressen für jedermann.

Die Schlussfolgerung aus der breiten Landschaft von unterschiedlichen Trackingmechanismen muss daher, unanhängig von der juristischen Auslegung der aktuellen Gesetze) lauten:

Wenn die IP nur ein kleines Mosaiksteinchen in den verschiedenen "Personenmeßpunkten", nur optionaler Bestandteil des "digitalen Fingerabdrucks" und obendrein technisch notwendig ist: Warum dann nicht die Fixierung darauf lösen und über die eigentlichen Trackingprobleme und Lösungen (etwa Browser-Addons wie Ghostery) reden? Dieser alleinige Fokus auf IP-Adressen vergiftet die Diskussion und verschleiert den Blick auf eigentliche und wichtigere Probleme und darauf, das man auch bei einer "Keine IPs"-Policy oder mit dem "Wir speichern nicht"-Siegel vor einem böswilliges Tracking ohne weitere, eigene Maßnahmen, nicht geschützt ist. Der Rückzug auf "Ohne IP-Speicherung ist datenschutzmäßig alles in Butter" ist nicht mehr als "snake oil" und wiegt einen in falscher und trügerischer Datenschutzsicherheit.

Der von mir hoch geschätzte RA Stadler hat hier über die Spackeria geschrieben. Eckes hat hier kommentiert, das die Kritik am Kern der "Spackeria-Idee" vorbeigeht und RA Stadler fragte darauf hin, ob wir denn nun für oder gegen informationelle Selbstbestimmungen seien. Die Gretchenfrage des Datenschutzdiskurses, sozusagen.

Davon abgesehen, das es die Spackeria (noch) gar nicht gibt, sondern es sich eher um einen losen Haufen von Leuten handelt, die, grob gesagt, die Erkenntnis eines Problems (wie von RA Stadler bei sich unter der von mir 100% geteilten "Zustandsbeschreibung" beschrieben) teilen: Ja, die Spackeria, zumindest in Form von mir steht durchaus für informationelle Selbstbestimmung. Nur erkenne ich (sic!) aber an, das die iSb eben nicht beliebig weit ins Internet ausgedehnt werden und auch nicht als "Ich kann jedes von mir veröffentlichte Bit jederzeit und vollständig kontrollieren" verstanden werden kann. Denn das funktioniert anno 2011 in letzter Konsequenz schlicht nicht, fragt Frau Streisand.

Also muss doch das Ziel sein, aufzuklären, welche Spuren man durch seine Schritte und Aktionen absichtlich oder unabsichtlich im Netz legt und daß man erkennt, das man zwar nicht die Verbreitung einmal veröffentlichter Informationskrumen verhindern, aber selbstverständlich man durchaus weitgehend beeinflussen kann, welche Daten über einen überhaupt entstehen. Die "Netzbürger" müssen also aufgeklärt und zu einem bewußten Umgang mit dem Netz "erzogen" werden. Und über diese bewußte Netznutzung kann man dann eben selbst bestimmen, welche Informationen man veröffentlicht und damit "freigibt".

Bei der generellen Nutzung von Kommunikationsmedien ist "Machs halt anonym" eine, schon heute vergleichsweise einfach nutzbare, Handlungsanweisung, die man eigentlich nur nutzen bräuchte. Auf Twitter stand letztens sinngemäß: "Wenn Du nicht TOR und GPG benutzt, dann lebst Du bereits PostPrivacy", was zwar ziemlich zugespitzt aber kaum von der Hand zu weisen ist. Gerade im Verhältnis Bürger <--> Staat und unter dem Eindruck des über uns baumelnden Damoklesschwertes von VDS und Netzsperren ist echtes anonymes Surfen wichtig und darf durch den Staat nicht unterbunden werden. Anonymes und durch den Staat unbeobachtes Kommunizieren muss selbstverständlich auch im Internet ein Grundrecht sein.

Im Falle "sozialer Interaktion" ist das allerdings schwerer, weil über 4chan hinaus echte anonyme Teilhabe da tatsächlich eher unterleicht ist, man kommt da halt von dem "Ding mit den Maschinen" zu dem "Ding mit den Menschen". Man kommt dann nämlich auch schnell ins das interessante Thema, was denn passiert, wenn mein Umfeld sich im Gegensatz zu mir "auf Facebook nackig macht" und über Berichte, Erwähnungen, die viel gerühmten Partyfotos usw. dann auch Informationen über mich entstehen (die, bzw. deren Verbreitung, ich wieder kaum/nicht kontrollieren kann). Nur gibt es dieses Problem auch "offline" im Turnverein oder der örtlichen Feuerwehr, das Internet erhöht dabei "nur" die Schlagzahl und Reichweite der Informationsausbreitung.

Und nein, man wird, nicht kontrollieren/regulieren können, das ich bei der Weihnachtsfeier des Sportvereins der jungen Turnerin mal aufn Arsch geglotzt habe und, zufällig dabei geknipst, am Rande des offiziellen Partyfotos im lokalen Käseblatt(.de) gelandet bin. Das ginge nur mit dermaßen intensiven rechtlichen und technischen Resstriktionen, gegen die die Stoppschilder unserer adligen Übermutter lächerlich wirken werden. Man sieht es ja bereits an den teilweise absurden Konsequenzen des zu Ende gedachten aktuellen Datenschutzes.

Am Ende sollte das Ziel also sein, wie man zu echter informationeller Selbstbestimmung (zugegeben: so wie ich sie verstehe :-) ) kommen und diese garantieren kann. Der aktuelle Weg (siehe DSB Niedersachsen) ist dafür ganz offensichtlich ungeeignet, also sollten wir schauen, welcher Weg das nicht ist und welche Dinge wir dabei in Kauf nehmen müssen und/oder welche Möglichkeiten wir haben. "PostPrivacy" als Ideologie/Konzept/Utopie oder (besser) logische Konsequenz ist (mMn) gar kein Kernpunkt oder gar -forderung der Spackeria, sondern eher eine Worthülse für ein "Ding, wie es richig und besser geht". Das ist ja das Lustige daran, das da eigentlich überhaupt nix fest definiert ist und jeder lustig seine eigenen Dystopien, Utopien, Ängste und Hoffnungen reinlegt und jeder zweite was völlig anderes damit meint.

Zumindest ich als "Spacko" könnte also nicht deutlicher für informationelle Selbstbestimmung sein. Aber halt für eine tatsächliche und ernsthafte solche, eine die in 2011 und im Internet funktioniert, und keine der Marke "Streisand".