Facebook - So gibst Du ihnen Deine Daten

Klaus Peukert » 26 September 2011 » in Politisches » 4 Kommentare

Das "neue Facebook" ist mal wieder Anlaß für eine netzpolitische Nebelgranate die grade durch die Blogosphäre wabert. Ein engagierter Wiener Datenschützer hat a) Facebook verklagt und b) unter dem charmanten Namen "Europa vs. Facebook" eine Anleitung erstellt, wie man sich "seine" Daten von Facebook (wieder)holt. Der Ägypten-Blogger und iPad-Käufer Richard Gutjahr griff das heute auf und titelt ebenfalls "Facebook: So holst Du Dir Deine Daten". 

Das Ganze funktioniert etwa wie folgt: Man ruft ein gut verstecktes Formular auf, gibt seine Daten ein, verweist auf irgendeine EU-Direktive, lädt eine Ausweiskopie(!) hoch, korrigiert(!) vorher noch ggf. falsche Daten (Geburtsdatum) und bekommt irgendwann eine CD mit einem PDF in dem alle Daten drin stehen. Das kreist nun gerade durch Twitter/Blogs und ich versteh es nicht.

Das ein PDF jetzt nicht die Form von "Daten" ist, mit der man irgendwie was "anfangen" könnte, etwa auf die eigene Webseite (eigene Kontrolle) stellen, in ein anderes Netzwerk importieren (Diaspora?) oder einfach nur für sich auswerten/weiterverarbeiten, geschenkt. Das es auf ner CD kommt, geschenkt (auch wenn Wutblogger Fefe darauf rumritt).

Man will sich seine Daten "holen". Und um das zu können, muss man Facebook erstmal ne Handvoll Daten geben und obendrein sich noch per Ausweiskopie verifizieren. Bin ich der einzige, dem das irgendwie komisch vorkommt? Und wenn ich das gemacht habe, dann habe ich ein PDF, mit dem ich nichts anfangen kann. Achja, und die Daten selbst bleiben natürlich trotzdem bei Facebook, ich bekomm ja nur ne Kopie. Das ist doch auf mehreren Ebenen kaputt.

Am Ende dieser unheimlich lehrreichen Aktion ist also Folgendes passiert: Facebook kennt jetzt (mehr) meine(r) richtigen Daten (Geburtsdatum hab ich ja korrigiert), ich habe meinen Account per Ausweiskopie ohne Zwang verifiziert und als Belohnung dafür bekomme ich eine Handvoll in PDF gegossene Glasperlen. 

Datenschutztheater.

Pseudonympflicht für Webseiten dank deutscher Gesetzeslage?

Klaus Peukert » 08 September 2011 » in Politisches » 8 Kommentare

Es ist auch mehrere Wochen nach Start der öffentlichen Betaphase von Google+ noch immer ein großer Katzenjammer ob der Policy, von Teilnehmern die Angabe des Klar- bzw. Realnamens zu verlangen. Das gipfelte kürzlich in einem eher katzbuckelnden offenen Brief der digitalen Boheme sowie einiger Politiker (und dem XING-Gründer Lars Hinrichs, dazu weiter unten noch), in dem Google untertänigst gebeten wurde, doch gnädigerweise Pseudonyme zuzulassen. Auch unter bubble-streetview.de wird eine solche Forderung aufgestellt.

Regelmäßig wird diese Forderung (neben anderen Argumenten) damit begründet, das die Gesetzeslage in Deutschland, namentlich der §13 des TeleMedienGesetzes (TMG), den Betreiber verpflichte seine Dienstbarkeiten auch pseudonym zur Verfügung zu stellen. Nun mag eine Auslegung dieses § das hergeben (eine andere wäre, das man um die Seite aufzurufen und zu lesen sich nicht gegenüber dem Betreiber nackt machen muss). Diese Argumentation, die sich auch im erwähnten offenen Brief wiederfindet übersieht eines: Alle größeren sozialen Netzwerke in .de haben eine Klarnamenpflicht.

XING: "4.1 Der Nutzer ist verpflichtet, 4.1.1 ausschließlich wahre und nicht irreführende Angaben in seinem Profil und seiner Kommunikation mit anderen Nutzern zu machen und keine Pseudonyme oder Künstlernamen zu verwenden, 4.1.2 nur solche Fotos seiner Person an die XING-Websites zu übermitteln, die den Nutzer klar und deutlich erkennen lassen."

XING will also nicht nur den Klarnamen, sondern in Profilbildern gleich noch das wahre Gesicht. Funfact: Gründer des XING-Netzwerkes (früher openBC) ist Lars Hinrichs, einer der Unterzeichner des Pseudonyme fordernden offenen Briefes... 

studiVZ: "2.3 [...] Der Nutzer hat die dort abgefragten Daten vollständig und korrekt anzugeben, wenn und soweit diese nicht als freiwillige Angaben gekennzeichnet sind. Die Angabe von Künstlernamen, Pseudonymen oder sonstigen Phantasiebezeichnungen ist nicht gestattet."

Gleichlautend sind die Regeln für meinVZ, bei schuelerVZ steht das Verbot von Pseudonymen/Künstlernamen nicht explizit bei, aber auch da werden "falsche oder fremde" Angaben untersagt. Von den studiVZ-AGB aus findet man noch eine spezielle Seite die für die Klarnamenpolicy wirbt und sie mit dem zauberhaften (und von G+ bekannten...) Satz "studiVZ ist das Netzwerk für das echte Leben. Echte Menschen haben echte Namen." begründet. Was hat G+ für eine solche Einstellung einstecken müssen und bei VZ steht das da einfach mal so da. Und keinen störts.

Facebook:  "4. Facebook-Nutzer geben ihre tatsächlichen Namen und Daten an".

Naja, Facebook ist ja eh evil.

wer-kennt-wen: "3.2 [...] Unter dem Begriff "realer Name" ist dabei ausschließlich der im Melderegister des zuständigen Einwohnermeldeamtes verzeichnete Familienname sowie nach Wahl des Nutzers ein oder mehrere seiner Vornamen zu verstehen."

Wohoo, bei WKW wird der Realname sogar als die Ausweiszeichenkette direkt definiert. Wo ist die TMG-Polizei, wenn man sie braucht?

lokalisten.de: "im rahmen der registrierung sind die abgefragten pflichtdaten (insbesondere email-adresse, nachname, vorname und geburtsdatum) wahrheitsgemäß anzugeben"

Auch hier: Klarnamenpflicht.

Nun mag man einwenden (und mancher tut das tatsächlich), das das da ja was "gaaaaanz anderes" sei, XING sei ja für Geschäftskontakte und da "machen Pseudonyme ja keinen Sinn", bei den VZ-Netzwerken ist "ja eh keiner mehr" und die anderen kennt niemand. Das greift nur zu kurz. Entweder das TMG gilt für alle und insbesondere Netzwerke mit einer deutschen Postleitzahl im Impressum oder das TMG erlaubt (ich greif mal vor: tut es) Dienste, die von ihren Nutzern den Klarnamen einfordern (und dann darf G+ auch, so prinzipiell).

So erklärte der Hamburger Datenschutzbeauftragte Caspar dem Blogger Sickendieck vom Blog FixMBR! eben das: "Aus dem Sinn und Zweck eines Angebots (z.B. Datingportal) kann sich ergeben, dass ein Klarnamenzwang gerechtfertigt ist." (Achtung: der zweite kursiv eingerückte Text ist nicht vom DSB!). D.h. letztlich muss der Anbieter nur sagen "Ich brauch das für mein Geschäftsmodell" und schon ist der TMG-Gott zufrieden. Das ist ja auch durchaus sinnvoll, denn niemand ist oder wird gezwungen sich bei o.g. Netzen anzumelden. Auch hat Diaspora, der dezentrale "Facebook-Killer" noch Kapazitäten frei. 

Es gibt viele gute Gründe sich dafür einzusetzen, das man sich unbeobachtet, ungestalkt und "frei" im Netz bewegen darf. Auch ich bin der Meinung, das inbesondere ein staatlicher Klarnamenzwang gar nicht geht. Allerdings sollen meiner Meinung nach Unternehmen, auch große, ihre Dienstleistungen anbieten können wie sie wollen, solange kein Google-/Facebook-/*VZ-Mitarbeiter mich bei Androhung standrechtlicher Entleibung zur Teilnahme und Angabe meines Klarnamens zwingt: Sollen sie machen und ggf. den Weg von Buzz und Wave gehen, weils keiner nutzen will.

Gegenüber Google+ und seiner Klarnamenpolicy aber mit dem TMG und der Gesetzeslage in Deutschland zu argumentieren ist mehr als scheinheilig, wenn die "großen deutschen" Netzwerke wie XING, die VZ-Netze und die kleineren, wie etwa lokalisten.de und WKW alle ausnahmslos den echten, realen, im Ausweis verewigten Namen verlangen (dürfen).

P.S. Mit jappy.de gibt es ein mindestens ein (deutsches) Netzwerk, das sagt "Niemand muss einen echten Namen angeben". Immerhin. Allerdings auch dort: "wenn du einen solchen angibst, muss dieser auch dein echter Name sein".

Google plant die Super-Datenbank

Klaus Peukert » 14 Juli 2011 » in Politisches » 24 Kommentare

So titelte gestern die SZ, die ZEIT ebenso deutlich mit "Google will Nutzerprofile direkt verkaufen". Fefe ist drauf angesprungen und auf Twitter rollt jetzt noch ein Empörungstsunami. Ganz schlimm, was Google da macht. Man sollte es in Googlemort umbenennen. Aber mal im Ernst, was is da dran, is das ne Ente, übertriebene Empörung oder will Google tatsächlich den Adreßhändlern, die unbehelligt und zumindest in Deutschland vom Listenprivileg geschützt agieren, Konkurrenz machen? Glücklicherweise bin ich nicht der einzige, dem das komisch vorkommt.

Die wenigsten von denen, die so locker-flockig den Empörungskreisel am Laufen halten, dürften die Originalquelle der beiden Zeitungsberichte gelesen haben. Ich hab das grob getan und komme zu dem Schluß, das das grade ein feines Beispiel von FUD, dem Spiel mit einer diffusen Datenangst, dem Schüren von Befürchtungen und dem Drücken von ein paar Stichwortschaltern ist. Die Originalquelle jedenfalls gibt das reißerische "GOOGLE VERKAUFT DEINE DATEN AN DEN TEUFEL!!!!" jedenfalls nicht im Entferntesten her.

Wenn ich es richtig verstanden hab, möchte Google seine Werbeplattformen (die haben ja nicht nur AdWords selbst gebastelt, sondern auch mal DoubleClick u.ä. gekauft) konsolidieren. Die erwähnte AdExchange macht normalerweise nichts anderes als Werbeplätze zu verkaufen und zu versprechen, das man die Werbung bestimmten Zielgruppen anzeigen wird (single, white, female, Germany, mag Ponies und Einhörner). So machen das bspw. auch die VZ-Netzwerke und die sind sogar TÜV-gesiegelt und Datenschützer-Approved.

"Google plant die Super-DB" ist also nicht komplett falsch, vermittelt aber den komplett falschen Eindruck, "Google verkauft Nutzerdaten" ist gleich völliger Humbug, wemngleich im Artikel selbst wiederum etwas unaufgeregter berichtet wird und man ihm ohne pulsierende "Datenkrake!"-Halsschlagader entnehmen könnte, das es eben nicht so schlimm ist wie suggeriert. Ja, sogar überhaupt nicht schlimm (es sei denn man findet Werbung an sich des Teufels).

Würde Google jetzt tatsächlich Nutzerdaten verkaufen würden sie sich selber die Schienbeine ihres eigenen Geschäftsmodell zertrümmern. Das dürften die auch ziemlich genau wissen. Daher passen sie mit Argusaugen auf die Daten und haben im Gegensatz zu Regierungen noch keine unverschlüsselten Laptops verloren oder Krankenakten in den Mülleimer hinterm Krankenhaus entsorgt. Letztlich haben und brauchen die das Vertrauen ihrer User, wenn sie das verspielen können sie den Laden dicht machen und wir müssen die Altavista-Bookmarks entstauben.

Hier zeigt sich auch mal schön die Bigotterie in der Empörung. Wenn Adreßhändler tatsächliche Adreßdaten verkaufen dürfen und das sogar noch gesetztlich legitimiert ist (oben erwähntes Listenprivileg), wenn Zeitungsverlage das Heulen bekommen weil sie bei In-App-Abos ihrer coolen iPäd-Apps wegen der Apple-Policy nicht an die Adreßdaten der Käufer kommen und Apple da tatsächlich Daten schützt, dann fegt grad mal ein laues Lüftchen durch die Landschaft, schreit aber jemand "Google verkauft $XY" in den Wald wird dieser von der Empörung direkt brandgerodet. Und das alles ohne mal die Quellen gelesen und hinterfragt zu haben. Es ist echt bitter.

Wenn wir grad von Quellen reden, der "Communications and Public Affairs Manager (B2B)" von Google Deutschland, Klaas Flechsig, hat das auf Google+ gestern hier dankenswerterweise kommentiert, ich bin einfach mal so frei und zitiere ihn einfach:

Melde-Ente. Wir verkaufen keine Nutzerdaten oder -profile und werden das auch in Zukunft nicht tun. Richtig ist, dass wir zusammen mit anderen Werbenetzwerken an Initiativen arbeiten, das Datenmanagement von Interessenskategorien zu vereinfachen, indem die vorhandenen Daten aus verschiedenen Werbenetzwerken auf einer Plattform zusammengefasst werden. Davon profitieren nicht nur Werbetreibende, sondern auch die Nutzer selbst - die dann zum Beispiel an einer einzigen Stelle für alle Werbenetzwerke aus interessenbasierter Werbung ausopten könnten, statt dies in allen Netzwerken einzeln tun zu müssen. Noch einmal: Es geht NICHT um persönliche Nutzerdaten, sondern um Interessenskategorien. Die Headline ist schlichtweg falsch!

Klar soweit?

Nachtrag I: Christiane Schulzki-Haddouti hat auf G+ zähneknirschend eingestanden, das die Headline tatsächlich ne Luftnummer war, findet man hier in den Kommentaren (der von 9:18).

Nachtrag II: Der Beitrag in dem Klaas Flechsig und Christiane Schulz-Haddouti kommentierten, wurde leider nicht Public sondern nur an die Kreise des Posters geteilt. Sorry.

Nachtrag III: Die ZEIT hat den Artikel jetzt angepasst und damit zur Ursprungsfassung deutlich entschärft, sowie um ein erklärendes Nachwort versehen.

IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler - Teil 2: Vorschlag

Klaus Peukert » 25 Juni 2011 » in Politisches » 10 Kommentare

Im ersten Teil erklärte ich, das eine der Hauptursachen für fremdschaminduzierenden und datenschutzhomöopathischen Aktionismus der sonst eher arbeits- oder erfolglosen Datenschützer die Betrachtung von IP-Adressen als persönliches/personenbezogenes/personenbeziehbares Datum ist. Heute gehts darum, ob und wie man das ändern kann.

Warum sind IP-Adressen überhaupt personenbezogen? Technisch sind das ja schlicht "Maschinenadressen", ein halbwegs passender Auto-Vergleich (ohne gehts wohl wirklich nie...) würde leicht schief liegend von "Nummernschildern" sprechen. Der Trick ist, das die Interpretation, bzw. der vermeintliche Personenbezug eine rein (formal)juristische Betrachtung ist. Und die ist nichtmal unumstritten, man kann zwar Stand heute davon sprechen, das die "herrschende Meinung" in Deutschland den Personenbezug bejaht, abweichende Meinungen gibt es aber und in USA und der Schweiz(?) gibt es Urteile, die einen so strengen Personenbezug, wie in Deutschland mit der neunschwänzigen Privacy-Knute durchgepeitscht, nicht erkennen wollen.

Im BDSG selber kommen "IP-Adressen" nicht vor, die Überlegung, was man damit in Bezug aufs BDSG anstellt kommt also von Datenschützern, Anwälten und Richtern. Eine enge/strenge Auslegung des BDSG erlaubt diese Interpretation, kann doch der Provider die verteilten IP-Adressen mit seiner Kundendatenbank abgleichen und so zumindest den "Halter" der IP-Adresse ermitteln. Und da kommt der erste Haken: Er kann auch nur den Halter ermitteln. Der Provider hat keine Möglichkeit anhand der IP-Adresse festzustellen, welche natürliche Person sich tatsächlich dahinter verbirgt, ja nicht einmal ob es eine, zwei oder viele sind. Gemeinsam genutzte Zugänge in WGs, das Internetcafe, das Smartphone per UMTS, das Firmennetzwerk usw. Beim "Halter" des Anschlusses ist Ende mit Personenbezug. Ja, aber warum ist denn dann mein Datenschutz in Gefahr? Ich nutze doch das WLAN meiner Vermieterin. Auf mich kommt nicht mal deren Provider.

Der Ritt auf der Personenbeziehbarkeit von IP-Adressen zeigt hier ein paar geschickte Volten. Man läßt für die Frage ob IP-Adressen personenbeziehbar sind nämlich außer acht, ob ein Bezug zum tatsächlichen Nutzer hergestellt werden kann. Nein, dem gemeinen Datenschützer genügt, wenn irgendeine Person mit der IP-Adresse in Verbindung gebracht werden kann. Das klingt jetzt ein wenig nach Parallelwelt, ist aber tatsächlich Realität. Die Datenschützer wissen sehr genau, das man maximal an den Halter rankommt. Nebenbei: Der Bereich "Störerhaftung" ist ähnlich lustig, und wenn man den Halter aus der unmittelbaren straf- bzw. zivilrechtlichen Verantwortung für den Anschluß entlassen würde, würde auch das Abmahnunwesen keinen mehr haben, den sie stellvertretend für den filesharenden "Kinofreund" an die Kandare packen könnten.

OK, Luftholen. Technisch sind IP-Adressen also "Nummernschilder" (das mancher jeden Tag ne neue kriegt, kann hier ohne Belang bleiben). Praktisch kann so der Provider den Halter einer IP-Adresse ermitteln, also wer den Zugang bestellt hat und wer ihn bezahlt. Rechtlich wird das BDSG so ausgelegt, das IP-Adressen personenbezogen bzw. personenbeziehbar, weil irgendeine Person (eben der Halter) ermittelt werden kann. Das das in der Mehrzahl der Fälle nicht der tatsächliche Nutzer ist, interessiert juristisch zunächst nicht. Achja, und ohne IP-Adressen funktioniert das Internet nicht. Wir können sie also nicht einfach weglassen und das Problem so "lösen". Gut, wissen wir also "was so geht". Was geht denn nicht?

Da nur der Provider die Zuordnung IP-Adresse Halter vornehmen kann, kann das also Google, Amazon, Facebook oder die Webseite der Kneipe um die Ecke nicht. Die sehen eine IP und können daraus vielleicht grob die Gegend schätzen wo die herkommt (wenn die Geo-Infos korrekt sind), ob es eine statische oder dynamische ist und den Provider. bei festen kann man es vielleicht noch aufs Unternehmen einschränken (wenn das den IP-Block selbst bestellt und nicht auch nur vom Provider delegiert bekommen hat). Ein Webseitenbetreiber kann alleine anhand der IP-Adresse idR keine natürliche Person identifizieren. Er braucht dazu Logindaten (wenn ich mich registriert habe), abschalt- und filterbare Cookies oder ähnliches.

Die IP-Adresse alleine nützt ihm jedenfalls nix. Nicht mal um den Halter rauszubekommen, das kann wiederum nur der Provider. Was geht noch nicht? Der Provider kennt zwar meine IP-Adresse (gut, die meiner Vermieterin), aber er weiß nicht, wo ich mich denn so rumtreibe. Das wiederum wissen nur die jeweiligen Webseiten. Übrigens eine große Angst, die durch AK Vorrat et al geschürt ist, das der IP-Speicherungsteil der Vorratsdatenspeicherung "Surfprotokolle" erlauben würde, eine Argumentation (leider) auf dem Niveau einer Uschi von der Leyen, aber darum solls hier nicht gehen.

Nochmal Luftholen. Webseitenbetreiber können mich also allein anhand meiner IP nicht (sicher) identifizieren und benötigen dafür mehr Daten, etwa die, die ich bei der Registrierung (idR freiwillig) angegeben habe. Und wenn sie die haben, dann brauchen sie die IP auch nicht mehr. Provider dagegen haben zwar meine IP, wissen aber nicht wo ich mich rumtreibe. Warum baut nun trotzdem ein Großteil der aktuellen Datenschutzdebatte auf der Personenbeziehbarkeit von IP-Adressen auf? AdSense, GoogleAnalytics, Like-Buttons, eingebundene Youtubevideos oder Flickr-Bilder, alles "böse", weil der jeweilige Betreiber meine IP "übermittelt" bekommt, am schlimmsten noch in den unsicheren Drittstaat USA.

Warum läßt man den (strengen/engen) Personenbezug denn an der Stelle nicht einfach weg? Das würde die Lage doch dramatisch vereinfachen. Analytics und Co wären "legal", Intrusion-Detection-Systeme von Krankenkassen könnten IP-basiert Angreifer blocken und die Daten schützen, Datenschützer müssten sich nicht mit Karnickelzuchtforen rumschlagen, die an einer Ecke AdSense schalten, man müsste nicht über Abmahnungen(!) für Datenschutzverletzungen Dritter(!!!) nachdenken usw., selbst die Polizei würde so "grundrechtsschonende" Ermittlungsansätze bekommen (wieder ein Autovergleich: Tempo- oder Parkverstöße gehen auch über den Halter und keiner schreit "Datenschutz!").

Die Speicherung von IP-Adressen ist (auch im Sinne des Datenschutzes in Form von Security) teilweise sogar notwendig. Firewalls, Abwehr von Denial-of-Service-Angriffen, IDS-Systeme etc. Die brauchen (neben anderem) alle IP-Adressen und müssen die auch aufheben, zum Vergleich, für Statistiken und Heuristiken usw. Für die würde es einfacher, wenn sie nicht wegen der Erfassung und Speicherung von "personenbezogenen Daten" in Form von IP-Adressen ständig in der Gefahr schwebten auf die Nase zu bekommen. Und technisch funktioniert das Internet ohne Übermittlung und Austausch von IP-Adressen eh nicht. Es "nützt" ja auch nichts, IP-Adressen zu verteufeln, denn etwa Tracking, auch personalisiert oder persönliche Werbung funktionieren heutzutage ganz prima ohne IP-Adressen (siehe den "Digitalen Fußabdruck" aus Teil 1) aus, läßt man IPs ausm Tracking raus hat man kaum was gewonnen:

Ja, man könnte sich glatt auf echte Datenschutzprobleme stürzen. Die tolle Personenkennziffer etwa, die wir alle in Form der SteuerID bekommen haben, obwohl das BVerfG (ja, genau das, was auch die hochgelobte informationelle Selbstbestimmung postulierte) eine solche ID nach den Erfahrungen von DDR und 3. Reich ablehnte. ELENA, dem "Hosen runter"-Programm für Arbeitnehmer. HartzIV, dem Datenstrip für Langzeitarbeitslose. SWIFT, Fluggastdatenübermittlung, Rasterfahndung und Kommunikationsüberwachung. Und so weiter. Wir latschen fröhlich den Weg in den Überwachungsstaat (und Dresden zeigt, das der echt nicht weit weg von uns ist) und verlieren uns unterwegs in der Zerstreuung der Streits, ob GoogleMail denn in Deutschland verboten werden müsste, weil die ja meine IP kennen.

Kann man denn das mit dem Personenbezug so einfach ändern? Ginge das denn? Ja klar ginge das. Der strenge/enge Personenbezug ist ja eine rein juristische Auslegung des BDSG, die mit der Technik (oder boshaft: mit dem echten Leben) kaum Überschneidungen hat. Die kann man ändern und nicht pauschal jede IP-Adresse, die meinen Router kreuzt, als streng geheimzuhaltendes Personendatum überqualifizieren. It's that easy. Wir haben echt größere Probleme als uns um "Übermittlung von IPs nach USA" zu streiten.

Die sollten wir angehen.

Nachtrag: Um Missverständnisse zu vermeiden: Die Idee, den Personenbezug bei IP-Adressen abzuschwächen bezieht sich ausschließlich auf die nackten Nummern, wie sie etwa in Mail- und Webserverlogs gespeichert werden. Die dann tatsächliche Zusammenführung eines solchen "nackten" Datensatzes mit einem aus den Logfiles des Providers ergeben dann natürlich "echte" personenbezogene Daten und diese Zusammenführung muss selbstverständlich geschützt, verhindert, verboten oder zumindest mit hohen gesetzlichen Hürden versehen werden. Denn dann hat man die Surfprotokolle, die Bewegungsprofile, den gläsernen Menschen, die Möglichkeiten zur staatlichen Überwachung und Generalverdächtigung der Bürger, gegen die AK Vorrat et al, Piratenpartei, die handvoll vernünftiger Netzpolitiker der "großen" Parteien und nicht zuletzt die vielbeschworene "Netzgemeinde" protestieren.

Und dieser Part von "1984" (um neben einem Auto- auch noch den unvermeidlichen Orwellvergleich hinzubekommen) darf tatsächlich nicht Wirklichkeit werden, und das ist, da lehn ich mich mal ausm Fenster, auch innerhalb der Spackeria Konsens.

Kommentar zur Spackeria

Klaus Peukert » 18 Mai 2011 » in Politisches » 6 Kommentare

Der Kristian hat ja letzte Woche mal wieder 15min Internet-Ruhm eingefahren, und einen "flameträchtigen Rundumschlag" zu der ganzen Spackeria-Diskussion abgeliefert. Drunter stehen ne ganze Menge, größtenteils echt lesenswerter Kommentare, wer also nur hier liest und Kris' Blog nicht im Fokus hat (ja, ich meine Dich!), der geht mal fix rüber und liest. Bookmark setzen! Ich warte so lange.

Fertig? Gut. Mittendrin in den Kommentaren schrieb Andreas Bogk:
Moment! Es gibt durchaus innerhalb der Spackeria Argumentationen, daß Privatsphäre grundsätzlich überflüssig und abzulehnen sei. Das ist eben genau nicht "Öffentliche Daten nützen, private Daten schützen".
und das ist jetzt weder richtig falsch, aber auch nicht richtig richtig. Eigentlich gibts da ja nur einen, den Christian 'plomlompom' Heller, und der macht das schon länger und nicht erst seit er Spacko ist.

Es wäre vielleicht generell mal hilfreich, wenn man sich mal von der Vorstellung löst, "die" Spackeria sei eine homogene Gruppe, die sich Post-Privacy ins Kopfkissen gestickt hat und jedem seine sexuellen Vorlieben auf die Stirn tätowieren will. Der Entstehungspunkt dieses amorphen Haufens von Blogautoren war ja nicht, das man sich sagte "Wäre es nicht toll, wenn wir alle nackt und in Tipis leben würden?", sondern zunächst viel profaner das gemeinsame Facepalmen gegenüber Datenschutz-Guerillas wie dem niedersächischen DSB und seinem "Ich pack jetzt mal ein Forum an die Eier, weil das per AdSense IP-Adressen nach USA übermittelt", auch wenn Einzelne (wie schon vor Entstehen der Spackeria) über Post-Privacy als Utopie philosophieren.

Im Kern geht es bei den (vielen/meisten) Spacken gar nicht um Post-Privacy als erstrebenswertes Klinkerklunkerland voller glitzernder Einhörner, sondern viel handfester darum, wie man denn damit umgeht, das der aktuelle Datenschutz halt versagt hat, ja fast versagen musste. Das ist ja jetzt auch nichtmal was Neues, so mancher hat das in 2009(!) schon konstatiert. Neu ist vielmehr, das durch das Zusammenfinden (und die provokanten und stark verkürzten Thesen in diversen Interviews) erstmals eine etwas hellere Funzel auf das Versagen des klassischen Datenschutzes gerichtet ist, und man endlich beginnt wenigstens darüber zu reden, das doch irgendwas falsch läuft, wenn ELENA/SWIFT und andere staatliche Sachen durchkommen, man aber kaum ein Blog betreiben kann, ohne das BDSG über den Schädel gezogen zu bekommen.

Der Hauptpunkt (zumindest meiner "Mitgliedschaft") ist also weniger der Punkt "Post-Privacy", das ist (wie bei der Piratenpartei, das sind ja auch keine seeräubernden Horden) ja nur die Ironisierung der Beschimpfung, sondern der Umgang mit dem Versagen des Datenschutzes und dem ganzen Pipapo an neuen Herausforderungen. Ich hoffe, ich habe das hier (und in den dortigen Kommentaren) mal vernünftig und verständlich aufgeschrieben.

Zugegebenermaßen könnte ich mit dieser Ansicht wohl auch ganz gut bei den Aluhüten (BTW, Kudos für diese Meta-Selbstironie der Namenswahl, ich bin gespannt wie Anne Will der Kopf platzt, wenn sie das Streitgespräch zwischen Spacken und Alu-Hüten moderiert...) aufgehoben sein, teile aber halt nur deren "Na, irgendwie wird man das rechtlich/technisch schon regeln können"-Optimismus nicht so ganz.

Und wenn ich zensurgeiler Machtpolitiker mit etwas Restgrips wäre, dann wäre meine Keule nicht Urherberrecht, nicht Glücksspiel und auch nicht Kinderpornos, sondern schlicht und einfach der Datenschutz als Hebel für technische Zensur- und Überwachungsmaßnahmen. Da kann ja nun nichtmal der CCC oder die Piraten als "Datenschutzpartei" was gegen haben...

Glücklicherweise hört man aber ja nicht auf mich.

Chancen vs. Risiken - Ein schiefes Bild von Gemeinsamkeiten zwischen Datenschutz und Sex

Klaus Peukert » 12 April 2011 » in Politisches » 0 Kommentare

Frank Rieger und Constanze Kurz zitiert der Stern so:

Scharf kritisiert wird von den Autoren die unter dem Schlagwort «Post-Privacy» entstandene Strömung, die den Schutz der Privatsphäre in der Internet-Gesellschaft für überholt erklärt. Wegen der Verflechtung von Informationen im Netz könne der Umgang mit Anhängern dieser Richtung, so meinen Kurz und Rieger, «im Ernstfall ähnlich riskant sein wie intimer Umgang mit habituellen Safe-Sex-Verweigerern».

Schlipsnerd so:

"...habituelle Safe-Sex-Verweigerer" nennt man neun Monate später Eltern. Nur so ein Gedanke

Ich so, im ersten Impuls:

Treffer, versenkt

Klar, das ist zunächst sehr vereinfacht, aber ich finde es auf den zweiten Blick ein schönes Gleichnis, wie durch einen etwas anderen Fokus aus einem Risiko, was keiner je eingehen sollte, viel größere Chancen werden, wenn man mal nicht nur einen riskanten Teilbereich, sondern die positiven Auswirkungen des Ganzen sieht (ohne die Augen vorm Risiko zu verschließen). Klar, der ungeschütze Fick mit der Crackhure im Bahnhofsgebüsch ist riskant. Aber ohne ungeschützten Sex (mit meiner Frau! im Schlafzimmer! Herrje, packt Eure Assoziationsketten ein...) gäbe es meinen Sohn nicht.

Ja, von ungeschütztem Sex kann man sich nen Tripper oder andere, unangehmere Dinge einfangen. Aber er ist auch Vorraussetzung und Bedingung (wenn wir Retorten- und Reproduktionsmedizin mal als technisch möglich, aber gesellschaftlich nicht allzu weit verbreitet, außen vor lassen) für die erwünschte Fortpflanzung und Weiterentwicklung unserer Gesellschaft und der Menschheit. Und jeder der ungeschützten Geschlechtsverkehr per se verbieten wollen würde, würde ziemlich scheel angeschaut werden. Und womit? Mit Recht! Nur weil geile Idioten triebgesteuert über den Bahnhofsstrich schnüren, verbieten wir dem funktionierenden und sich vertrauenden Paar doch nicht, Kinder auf dem biologisch üblichen Weg zu bekommen.

Beim "Datenschutz" machen manche aber genau das. Statt aufzuklären und "digitale Kondome" zu verteilen, verteufelt man viele Dinge, die zwar grundsätzlich ein Risiko innehaben (Datenklau! Mobbing! Partyfotos! Jobverlust!) aber auf der anderen Seite unglaublich mehr Chancen bieten. Meinen neuen (und extrem lässigen) Job hätte ich ohne Twitter nicht bekommen, denn der Erstkontakt entstand darüber. Wir sollten bei vielen Dingen mehr an die Chancen denken und schauen wie wir diese nutzen können. Klar, über Risiken müssen wir aufklären und die Leute ent-entmündigen (sic!). Machen wir bei Sex ja genauso. Sexuelle und informationelle Selbstbestimmung halt.

Aber bitte nicht mit einem Kissen aus weitreichenden Verboten und Regelungen die Chancen mal eben ersticken, weil ne Handvoll Kleingärtner sich von Hausfassadenfotos im Netz gestört fühlt. Oder, wie eben unabhängig von dem Post hier grad auf Twitter gelesen:

Tja.

Treffer, versenkt

"Datenschutz" im Jahr 2011

Klaus Peukert » 11 April 2011 » in Politisches » 2 Kommentare

Auch wenn es vielleicht nicht ganz so schlimm wird, wie es aussieht und Google StreetView (in Deutschland) nicht langsam sterben läßt: Wir Deutschen

  • haben jeder eine über die Hintertür "Steuer-ID" eine Personenkennziffer bekommen, auf die man nach Erfahrungen im 3. Reich und DDR eigentlich verzichten wollte und der das BVerfG (AFAIK sogar mit dem Urteil zur informationellen Selbstbestimmung) eine Abfuhr erteilt hat.
  • lassen unsere Fluggastdaten an die USA übermitteln, ohne das es außer ner Handvoll Blogger jemanden interessiert
  • geben den USA Zugriff auf unsere SWIFT-Bankdaten und lassen diese unkontrolliert abschnorcheln
  • müssen als Arbeitnehmer vor Tante ELENA die Hosen runterlassen ohne uns dagegen wehren zu können
  • müssen als Hilfebedürftiger nicht nur vor ELENA sondern auch vor Christel von der Arbeitsagentur uns richtig nackt machen
  • lassen und unter Androhung 5stelliger Bußgelder wieder volkszählen und den Staat mal eben alle Datenbanken zusammenschmeißen
  • lassen den Staat auf unsere Bankkonten schauen
  • leben damit, das die kommunalen Meldeämter unsere Adressen verkloppen, damit der GEZ-Fuzzi weiß, wo er als nächstes klingeln muss
  • und so weiter und so fort.

Es gäbe einen Arsch voll Arbeit für Datenschützer zu tun. Aber was machen die "Hauptamtlichen Datenschutzhysteriker und Einwilligungsinformatiker" (danke an Kris für die Idee eines neuen vCard-Titels) im Jahre 2011 in Deutschland? Wogegen davon engagieren und wovor davon schützen sie uns ganz konkret? Sie ereifern sich darüber, das beim Surfen "IP-Adressen nach USA übermittelt" werden, "kämpfen" gegen Google und Facebook als wären Schmidt und Zuckerberg Inkarnationen von Voldemoort persönlich und haben nichts Besseres zu tun als die Privatsphäre von Hausfassaden(!!!!!111elf) zu schützen.

ELENA? Klar. SWIFT? Naja, nicht schön, aber was will man machen. Steuer-ID aka PKZ2.0: Mei, wir haben halt keine Handhabe. Aber wehe ein privates Webforum wagt es Werbung zu schalten und "IP-Adressen zu übermitteln". Da feiert der Adminarsch aber Kirmes, da wird draufgekloppt als gäbe es kein Morgen. Schließlich muss die Privatsphäre der Forenuser gegenüber Google geschützt werden, sind die ja zu doof Cookies zu sperren oder nen AdBlocker zu benutzen. Das BDSG erwartet schließlich ein schriftliches Triple-OptIn per PostIdent, wenn man mal nen Blog kommentieren will. Alles andere ist ein Datenschutz-GAU.

Tut mir leid liebe sogenannte "Datenschützer", aber

  • solange ihr nicht mehr auf der Pfanne habt, als "Datenschutz ist so, Internet ändern"
  • solange meine Gehalts- und Anwesenheitsdaten ans staatliche ELENA gehen
  • solange die USA wissen wem ich Geld überweise und was ich im Flieger nach Hamburg esse
  • solange ich Sachbearbeitern bei der Arbeitsagentur erklären muss, warum da ne 4 Monate alte Überweisung von eBay aufm Konto ist
  • solange ihr Euch auf einfache, aber für den Schutz meiner persönlich(s)ten Daten insbesondere gegenüber dem Staat völlig uninteressante Nebenkriegsschauplätze zurückzieht
  • solange es für Euch wichtiger ist Eure Existenz mit solchen Nebelkerzen zu rechtfertigen:

So lange werde ich Euch nicht ernst nehmen.

Macht Euch nützlich statt lächerlich!

IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler - Teil 1: Motivation

Klaus Peukert » 29 März 2011 » in Politisches »

Ich habe bei der Spackeria wieder über Datenschutz und Ähnliches gebloggt. Aus Gründen das Ganze auch hier zum Nachlesen, Kommentare aber bitte nur beim "Original".

Die meisten aktuellen Probleme, Diskussionen oder gar rechtlichen Maßnahmen im Bereich des Datenschutzes kondensieren fast immer alleinig an der IP-Adresse, ihrer Speicherung, Verarbeitung und, ganz böse, "Übermittlung in die USA". Diese, in meinen Augen übertriebene und schädliche Fixierung auf dieses Einzeldatum war neben anderem Grund für mein Engagement in der Spackeria. Neben der rein juristischen Betrachtung der Personenbeziehbarkeit i.S.v. BDSG, TMG und anderen einschlägigen Gesetzen wird immer wieder angeführt, das man über die Speicherung von IP-Adressen durch Webseitenbetreiber "ausspioniert" werden kann. Das ist nicht mal komplett falsch, allerdings ist dies allein mit der IP-Adresse einem Betreiber regelmäßig unmöglich.

Die Zuordnung IP-Adresse <-> Anschlußinhaber (und auch nur  zu diesem und nicht zu der Person die gerade die Fahrplanauskunft, "Downloadportale" oder Bombenbastelanleitungen besucht) ist zunächst erstmal nur beim Provider möglich. Ein Webseitenbetreiber kann also (allein) anhand einer IP-Adresse nicht sagen: "Da surft grad Lieschen Müller bei mir rum". Warum auch immer liegt nun trotzdem die IP-Adresse als personenbezogene Wurzel des Übels im Pfeffer? Ich weiß es auch nicht. Denn das kritisierte Tracking in der "real world" ist sowohl mit, als auch ohne IP-Adressen möglich, üblich und überraschenderweise sogar unter bestimmten Vorraussetzungen (meist eben "Keine IPs" und es muss irgendwo in ner AGB/DSE aufgeschrieben sein) datenschutztechnisch legal.

So wird etwa das OSS-Tool "Piwik" als freier GoogleAnalytics-Klon regelmäßig als "datenschutzfreundliche Alternative" genannt, aber auch für Blogsysteme wie Wordpress gibt es Plugins die mit (und nur mit) "No IP tracking" für Datenschutzverträglichkeit werben. Statistiken/Tracking über andere Daten dagegen, wie etwa

  • Referer (wo, über welchen Link, kommt der Besucher her)
  • Keywords (über welche Suchbegriffe wurde die Seite gefunden)
  • Browserversion
  • Betriebssystem
  • Länderzuordnung (über Spracheinstellung Browser/OS)
  • Cookies (schon kritischer, siehe die im Entwurf befindliche EU-Richtlinie)
  • Nutzernamen bei anmeldepflichtigen Seiten
  • Klickpfade (wo klickt der User wie häufig hin)
  • Verweildauern (welche Seiten betrachtet der Nutzer wie lange)
  • usw. usf.

generell also einem "digitalen Fingerabdruck" werden oft unkritisch, gar nicht oder zu lax betrachtet. Schließlich wird ja keine IP-Adresse gespeichert. Ein schönes Beispiel ist  Panopticlick der EFF, was (m)eine persönliche Browserkonfiguration identifiziert und mich so losgelöst von der IP-Adresse trackbar macht. Jetzt noch ein Userlogin und fertig sind die digitalen Fußabdrücke im virtuellen Rasen.

Angesichts der obigen, datenschutzrechtlich oft völlig legal erfassbaren, vielen verschiedenen Daten, die unabhängig von IP oder nicht, mich ziemlich gut und eindeutig identifizieren können, stellt sich doch die Frage, ob eine mitgespeicherte (und ohne Zugriff auf den Provider oder die anderen, legal gesammelten, Daten keiner Person zuordenbare) IP-Adresse dann das "Kraut noch fett macht". Statistiken, Auswertungen, Tracking, gutgemeint oder böswillig, das ist heute alles auch ohne IP möglich, wird gemacht und ist größtenteils auch rechtlich OK . Warum also schießt man sich so sehr auf ausgerechnet dieses eine Datum ein und baut ganze Debatten herum auf? Es wäre doch viel einfacher über Tracking an sich (und entsprechende Gegenmaßnahmen zum Selbstschutz) zu sprechen.

Man kann nun argumentieren: "Ja, wenn man die IP zum Tracking nicht braucht, dann ist es doch OK, das sie nicht erfasst, gespeichert, übermittelt werden darf". Kann man. Nur fängt man sich damit halt die bizzaren und realitätsfremden Konsequenzen ein, das basierend darauf dann eben Forenbetreiber Probleme bekommen, weil sie Werbung von einem externen Server einbinden. Und, viel wichtiger: Man löst überhaupt nicht das Problem, das (böswillige) Webseitenbetreiber mich immer und überall wiedererkennen können. Das ist also mehr ne juristische Blendgranate, die den Blick aufs Wesentliche vernebelt, neue Probleme schafft und die eigentlichen überhaupt nicht tangiert.

Weiterhin ist Tracking per se erstmal nur auf der/den Webseiten des Betreibers möglich, d.h. der Online-Schuhversand weiß nichts von meinen Suchen nach Briefmarken aus der DDR-Zeit auf ebay und ebay wieder nichts von meiner Vorliebe für Blogs zu Militaria aus dem 19. Jahrhundert. Das klassische Gegenargument wäre jetzt Facebook mit seinem "Like-Button" (oder Google mit dem Accountcookie), wo das dann doch geht. Das ist zwar korrekt, allerdings genau eines der Problemfelder wo die IP-Adresse herzlich egal ist, denn Facebook/Google trackt darüber eben genau nicht (bzw. kann es ohne IP-Adresse). Hier wäre und ist ein Browseraddon wie "Ghostery" (http://www.ghostery.com/ ) die passende Lösung und nicht das Verbot des Ansehens von IP-Adressen für jedermann.

Die Schlussfolgerung aus der breiten Landschaft von unterschiedlichen Trackingmechanismen muss daher, unanhängig von der juristischen Auslegung der aktuellen Gesetze) lauten:

Wenn die IP nur ein kleines Mosaiksteinchen in den verschiedenen "Personenmeßpunkten", nur optionaler Bestandteil des "digitalen Fingerabdrucks" und obendrein technisch notwendig ist: Warum dann nicht die Fixierung darauf lösen und über die eigentlichen Trackingprobleme und Lösungen (etwa Browser-Addons wie Ghostery) reden? Dieser alleinige Fokus auf IP-Adressen vergiftet die Diskussion und verschleiert den Blick auf eigentliche und wichtigere Probleme und darauf, das man auch bei einer "Keine IPs"-Policy oder mit dem "Wir speichern nicht"-Siegel vor einem böswilliges Tracking ohne weitere, eigene Maßnahmen, nicht geschützt ist. Der Rückzug auf "Ohne IP-Speicherung ist datenschutzmäßig alles in Butter" ist nicht mehr als "snake oil" und wiegt einen in falscher und trügerischer Datenschutzsicherheit.

Ausblick: In Teil Zwei werde ich darauf eingehen das eine Änderung der (juristischen) Interpretation von IP-Adressen als personenbezogenes Datum die von RA Stadler angeregte "Entspannung"  herbeiführen könnte und warum. Im Teil Drei versuche ich in die Glaskugel zu schauen und einen Blick auf IPv6 und die damit einhergehenden neuen Herausforderungen bzw. "Alternativlosigkeiten" zu werden. Natürlich wie immer basierend auf meinem kleinen Küchenlatein :)

Die Spackeria, informationelle Selbstbestimmung und ich

Klaus Peukert » 12 März 2011 » in Politisches » 1 Kommentar

Der von mir hoch geschätzte RA Stadler hat hier über die Spackeria geschrieben. Eckes hat hier kommentiert, das die Kritik am Kern der "Spackeria-Idee" vorbeigeht und RA Stadler fragte darauf hin, ob wir denn nun für oder gegen informationelle Selbstbestimmungen seien. Die Gretchenfrage des Datenschutzdiskurses, sozusagen.

Davon abgesehen, das es die Spackeria (noch) gar nicht gibt, sondern es sich eher um einen losen Haufen von Leuten handelt, die, grob gesagt, die Erkenntnis eines Problems (wie von RA Stadler bei sich unter der von mir 100% geteilten "Zustandsbeschreibung" beschrieben) teilen: Ja, die Spackeria, zumindest in Form von mir steht durchaus für informationelle Selbstbestimmung. Nur erkenne ich (sic!) aber an, das die iSb eben nicht beliebig weit ins Internet ausgedehnt werden und auch nicht als "Ich kann jedes von mir veröffentlichte Bit jederzeit und vollständig kontrollieren" verstanden werden kann. Denn das funktioniert anno 2011 in letzter Konsequenz schlicht nicht, fragt Frau Streisand.

Also muss doch das Ziel sein, aufzuklären, welche Spuren man durch seine Schritte und Aktionen absichtlich oder unabsichtlich im Netz legt und daß man erkennt, das man zwar nicht die Verbreitung einmal veröffentlichter Informationskrumen verhindern, aber selbstverständlich man durchaus weitgehend beeinflussen kann, welche Daten über einen überhaupt entstehen. Die "Netzbürger" müssen also aufgeklärt und zu einem bewußten Umgang mit dem Netz "erzogen" werden. Und über diese bewußte Netznutzung kann man dann eben selbst bestimmen, welche Informationen man veröffentlicht und damit "freigibt".

Bei der generellen Nutzung von Kommunikationsmedien ist "Machs halt anonym" eine, schon heute vergleichsweise einfach nutzbare, Handlungsanweisung, die man eigentlich nur nutzen bräuchte. Auf Twitter stand letztens sinngemäß: "Wenn Du nicht TOR und GPG benutzt, dann lebst Du bereits PostPrivacy", was zwar ziemlich zugespitzt aber kaum von der Hand zu weisen ist. Gerade im Verhältnis Bürger <--> Staat und unter dem Eindruck des über uns baumelnden Damoklesschwertes von VDS und Netzsperren ist echtes anonymes Surfen wichtig und darf durch den Staat nicht unterbunden werden. Anonymes und durch den Staat unbeobachtes Kommunizieren muss selbstverständlich auch im Internet ein Grundrecht sein.

Im Falle "sozialer Interaktion" ist das allerdings schwerer, weil über 4chan hinaus echte anonyme Teilhabe da tatsächlich eher unterleicht ist, man kommt da halt von dem "Ding mit den Maschinen" zu dem "Ding mit den Menschen". Man kommt dann nämlich auch schnell ins das interessante Thema, was denn passiert, wenn mein Umfeld sich im Gegensatz zu mir "auf Facebook nackig macht" und über Berichte, Erwähnungen, die viel gerühmten Partyfotos usw. dann auch Informationen über mich entstehen (die, bzw. deren Verbreitung, ich wieder kaum/nicht kontrollieren kann). Nur gibt es dieses Problem auch "offline" im Turnverein oder der örtlichen Feuerwehr, das Internet erhöht dabei "nur" die Schlagzahl und Reichweite der Informationsausbreitung.

Und nein, man wird, nicht kontrollieren/regulieren können, das ich bei der Weihnachtsfeier des Sportvereins der jungen Turnerin mal aufn Arsch geglotzt habe und, zufällig dabei geknipst, am Rande des offiziellen Partyfotos im lokalen Käseblatt(.de) gelandet bin. Das ginge nur mit dermaßen intensiven rechtlichen und technischen Resstriktionen, gegen die die Stoppschilder unserer adligen Übermutter lächerlich wirken werden. Man sieht es ja bereits an den teilweise absurden Konsequenzen des zu Ende gedachten aktuellen Datenschutzes.

Am Ende sollte das Ziel also sein, wie man zu echter informationeller Selbstbestimmung (zugegeben: so wie ich sie verstehe :-) ) kommen und diese garantieren kann. Der aktuelle Weg (siehe DSB Niedersachsen) ist dafür ganz offensichtlich ungeeignet, also sollten wir schauen, welcher Weg das nicht ist und welche Dinge wir dabei in Kauf nehmen müssen und/oder welche Möglichkeiten wir haben. "PostPrivacy" als Ideologie/Konzept/Utopie oder (besser) logische Konsequenz ist (mMn) gar kein Kernpunkt oder gar -forderung der Spackeria, sondern eher eine Worthülse für ein "Ding, wie es richig und besser geht". Das ist ja das Lustige daran, das da eigentlich überhaupt nix fest definiert ist und jeder lustig seine eigenen Dystopien, Utopien, Ängste und Hoffnungen reinlegt und jeder zweite was völlig anderes damit meint.

Zumindest ich als "Spacko" könnte also nicht deutlicher für informationelle Selbstbestimmung sein. Aber halt für eine tatsächliche und ernsthafte solche, eine die in 2011 und im Internet funktioniert, und keine der Marke "Streisand".

Privatsphäre, Datenschutz, Spackos und ich.

Klaus Peukert » 11 März 2011 » in Politisches » 3 Kommentare

Auf einer Mailingliste antwortete ein Mittelständler und Firmeninhaber auf diesen Text von Florian Berger. Ein kleiner Teil der Antwort diente als Aufhänge für eine Erwiderung von mir und wie so oft ist ein Blogbeitrag draus geworden.

[Firmen, -tarzun] haben große Probleme mit dem Datenschutz. Nicht weil sie keinen Bock
haben die Daten ihrer Kunden sicher aufzubewahren oder gerne schnüffeln.

Man stelle sich mal vor, es gäbe Firmen, die ihren Mitarbeitern Geräte in die Hand drücken, um damit automatisch und ohne Einwilligung aller Beteiligten Kommunikationsprotokolle und -profile der Mitarbeiter und deren Kommunikationspartner erstellen würden.

Schlimm, oder? Skandal, oder?

Und dann stelle man sich mal vor, was ein beliebiges Firmen-Handy oder Smartphone macht.

Na hoppla.

Eben.

Wir verstoßen alle jederzeit und tagtäglich gegen die aktuellen Datenschutzbestimmungen. Es geht gar nicht anders, weil die Bestimmungen auf aktuelle Medien und Werkzeuge keine Antworten wissen.

Die aktuelle EU-Initiative zu einem Zwangs-Cookie-OptIn (ich muss jeden Cookie mir erst erlauben lassen) statt eines freiwilligen OptOuts (Ich stelle meinen Browser entsprechend ein, der kann das übrigens seit Jahren) ist ein schönes Beispiel.

Das böse Facebook wird sich einen feuchten Furz um die EU-Richtlinie scheren und "nationale" Social Networks, Webseiten et al sind gekniffen, weil kein User Bock hat Dutzende Mal zu klicken, was er mit einer einmaligen Browserkonfiguration genauso haben könnte. Ein klarer "Standortnachteil" um mal ganz flach zu werden.

Es geht nicht darum, den Bürger vor dem Privacy-Voldemoort Zuckerberg zu schützen. Es geht darum dem Bürger beizubringen, was er im Netz anstellt, wem er dabei von sich erzählt. So wie Julia Schramm es nebenan schön formuliert hat (trifft so ziemlich, warum ich bei der "Spackeria" mitmische):

Ist es nicht gar eine Bigotterie des Staates ein Datenschutzgesetz zu stricken, aber anonymes Surfen nicht zu fördern? Mit Datenschutz vermeintliche Sicherheit zu emulieren, aber Medienkompetenz und kritisches Denken nicht zentral in der Bildung zu vermitteln? Erscheint es nicht viel sinnvoller anonymes Surfen zu lernen, anstatt eine Durchregulierung zu fordern [..]?

Selbstverständlich muss und soll immer die "Privatsphäre geschützt" bleiben. Insbesondere gegenüber dem Staat im Übrigen, denn ELENA, SWIFT et al kann ich mich kaum entziehen, während es zu Facebook Alternativen (sogar "datenschutzgesiegelt") bis hin zur schlichten Nichtnutzung gibt.

Aber das funktioniert nicht, in dem man den Bürger mit Gesetzen und unzureichenden Techniken ("digitaler Radiergummi" anyone?) bevormundet, sondern indem man ihn aufklärt und befähigt, sich selbstbestimmt im Netz zu bewegen. Das funktioniert nämlich schon jetzt. Wenn man will und wenn man weiß wie.

Und dann kann der eine eben mit der virtuellen Kapuze überm Gesicht durchs Netz ziehen, während der nächste eben jeden Haufen den er setzt, twittert und es anderen (und vermutlich leider den meisten) schlicht scheißegal ist, denn schließlich gibts Payback-Punkte zu sammeln.

Wir brauchen eine Diskussion über "Datenschutz" im 21. Jahrhundert. Da ist weder die gerne in den Begriff PostPrivacy projizierte (und so eigentlich von niemandem geforderte) erzwungene Nacktheit von jedermann die Lösung, genausowenig wie die hilflosen Versuche von Datenschützern Forenbetreiber an den Eiern zu packen, weil die AdSense-Werbung geschaltet haben.

Wir brauchen eine Diskussion über Privatsphäre, Datenschutz, digitale Öffentlichkeit und den Umgang damit. Ohne uns von Beginn an die Köpfe einzuschlagen und gegenseitig absolute Blödheit vorzuwerfen.

cronjob