Category Archives: Datenschutz

Spezifischer Generalverdacht

Anlässlich eines Festivals, das am vergangenen Wochenende in der Nähe von Leipzig stattfand, befürchtete die Polizei Übergriffe durch rumänische Diebesbanden. Diese Erwartung stützt sich auf frühere Fälle organisierter Taschendiebstähle auf Festivals. Vor dem Festival sandte die Polizei Schreiben an Hotels in der Umgebung des Festivalorts und bat deren Betreiber, den Aufenthalt rumänischer Staatsangehöriger in ihren Hotels während des Festivals der Polizei zu melden. Nun werfen einige der Polizei Racial Profiling und Rassismus vor; das Vorgehen der Polizei stelle „alle rumänischen Staatsbürger*innen pauschal unter Verdacht“. Der zuständige Datenschutzbeauftragte hingegen sieht kein Problem.

Ist die Kritik berechtigt? Diese Frage beantwortet sich, wenn man das Geschehen kontextualisiert und realistische Alternativen beleuchtet.

Hotels sind verpflichtet, die Identitäten ihrer Gäste zu erfassen, diese Daten eine Zeitlang aufzubewahren und sie auf Verlangen den zuständigen Behörden zu übermitteln. Bemerkenswert sind deshalb einzig die Aufforderung zur aktiven Meldung sowie das damit verbundene Auswahlkriterium der Staatsangehörigkeit.

Eine Alternative zur aktiven Meldung durch die Hotels wäre die regelmäßige Kontrolle aller neu ausgefüllten Meldescheine durch die Polizei in kurzen Abständen. Sie wäre zum einen zuverlässiger – Hotelangestellte könnten den Anruf bei der Polizei schon mal vergessen – und zum anderen aufwändiger. Für die letztlich Betroffenen ändert sich dadurch wenig.

Alternativ zur Nennung des Auswahlkriteriums könnte die Polizei auch alle Meldedaten der betreffenden Hotels einsammeln und selbst filtern. Auch diese hätte auch die letztlich Betroffenen keine nennenswerten Änderungen zur Folge. Jedoch nähme die Transparenz – eines der Gewährleistungsziele des Datenschutzes – ab, denn nun behielte die Polizei für sich, wonach die warum suche.

Bleibt noch das Auswahlkriterium selbst. Tatsächlich handelt es sich um eine Kombination von Kriterien, nämlich (1) die rumänische Staatsangehörigkeit, (2) der Aufenthalt in einem Hotel (3) während und in der Nähe eines bestimmten Festivals. Diese Kriterienkombination ist weit spezifischer als die bloße Staatsangehörigkeit. Gleichwohl besteht bestenfalls ein loser Zusammenhang zwischen diesen Kriterien und den gesuchten Straftätern.

Jedoch gehören vage Suchkriterien unvermeidlich zur Polizeiarbeit. Wenn Zeugen einen flüchtigen Täter als „männlich, etwa 1,80 Meter groß und dunkel gekleidet“ beschreiben, wird die Polizei in der Umgebung des Tatorts nach Menschen Ausschau halten, auf die diese Beschreibung passt, und möglicherweise mehrere Unbeteiligte kontrollieren. Begrenzt werden die Auswirkungen auf die Betroffenen durch die begrenzten Ressourcen der Polizei – Großfahndungen nach Kleinkriminellen sind nicht praktikabel – sowie durch die rechtsstaatlichen Kontrollmechanismen, insbesondere die Rechtsweggarantie.

Spezifischere Auswahlkriterien sind auch nicht per se besser. Das der Fahndung anhand wenig spezifischer Kriterien entgegengesetzte Extrem ist die Fahndung nach konkret bezeichneten Personen anhand ihrer persönlichen Daten oder mit Hilfe von Fotos. Die Zahl der potenziell Betroffenen wäre wegen der spezifischen Auswahl geringer, dafür könnte die Polizei wenige Personen intensiv bearbeiten. Die Einbindung der Öffentlichkeit würde bestimmte identifizierbare Personen betreffen statt einer grob umrissene und im Alltag nur ausnahmsweise eindeutig zu identifizierenden Gruppe.

Grund zur Empörung gibt es also kaum, zumal die Kritiker auch keinen Vorschlag unterbreiten, wie die Polizei ihre Arbeit besser machen könnte.

Datenschutzfolklore

Sommerloch 2019: FaceApp, ein seit zweieinhalb Jahren existierendes Spielzeug, das Gesichter auf Fotos manipuliert, wird zum Social-Media-Trend. Dies macht Datenschützer auf FaceApp aufmerksam und sie zeigen sich pflichtgemäß alarmiert. Originell ist daran nichts. So oder so ähnlich wurde dieses Stück mit anderen Hauptdarstellern bereits dutzendfach aufgeführt. Dennoch hält es einige Lehren bereit.

Zuerst fällt auf, dass die Gefahrenprognose vage und unkonkret bleibt. Schlimmes drohe, wenn man die App sorglos nutze, doch was dies sei, erfährt man selbst auf Nachfrage nicht. „Daten, Server, Russland, Geschäftsbedingungen!“, raunt es. Und weiter? Jedes Gesicht, das sich regelmäßig in der Öffentlichkeit bewegt, ist tausendfach fotografiert und auf Server in aller Welt hochgeladen worden. Wenn das ein Problem ist, dann eines, von dem man für gewöhnlich nichts bemerkt – also kein besonders großes.

Statt über konkrete Gefahren, mit deren Voraussage sie richtig oder falsch liegen könnten, reden Datenschützer zweitens lieber über Formalismen, insbesondere über die juristischen Begleittexte der Datenverarbeitung. Dass es daran immer etwas auszusetzen gibt, liegt an einer geschickt konstruierten widersprüchlichen Doppelbotschaft. Datenverarbeiter müssen ihr Tun mit formalen Erklärungen legalisieren. Diese Texte möglichst extensiv abzufassen, so dass sie alle Eventualitäten abdecken und alle Verantwortung auf andere abschieben, ist für sie sinnvoll. Genau dies jedoch werfen ihnen Datenschützer später vor. Im Fall von FaceApp kommt hinzu, dass der Anbieter seinen Sitz außerhalb der EU sitzt, sich deshalb nicht um die Datenschutz-Grundverordnung schert und sich in seinen AGB noch mehr Rechte nimmt als hierzulande üblich. Ob daraus reale Probleme resultieren, bleibt freilich offen.

Zu guter Letzt macht man sich die Ökonomie vager Gefahrenprognosen zunutze. Die Mahnung vor Risiken verspricht kurzfristige Gewinne an Aufmerksamkeit, denen selbst bei systematisch falschen Prognosen langfristig keine Kosten gegenüberstehen. Die wahrscheinlichste Zukunft ist jene, in der FaceApp nach einiger Zeit so vergessen sein wird wie Pokémon Go oder die Blockchain-Technologie. Voraussichtlich wird also niemand je nachfragen, was den sorglosen Nutzerinnen und Nutzern von FaceApp denn nun widerfahren sei. Bereits jetzt fragt niemand nach Opfern und Schäden aus den vergangenen zweieinhalb Jahren.

Als Taktik der Öffentlichkeitsarbeit ergibt das alles einen Sinn, solange niemand lautstark widerspricht. Ob im Ergebnis jedoch irgend jemand effektiv vor irgend einer realen Gefahr geschützt wird, bleibt offen. Hinweise auf die Qualität dessen, was der böse russische Datenkrake einsammelt, liefert uns unterdessen Twitter. Habt Ihr Angst? Wenn ja, wovor?

PS: Peter Schaar betrachtet FaceApp aus der traditionellen Perspektive des Datenschutzes. (2019-07-22)

Datenschutzzirkus

Schwerin, Marienplatz. Öffentlicher Raum. Kein Ort der Heimlichkeit und der Privatheit. Was hier geschieht, kann jeder sehen. So auch die Polizei, die den Platz mit Hilfe von Videokameras beobachtet. Daran regt sich Kritik: die Aufnahmen werden unverschlüsselt übermittelt.

Die ersten Idee zu einem Recht auf „Privacy“ – Ungestörtheit in einer individuellen Privatsphäre – verdanken wir dem Aufkommen der Fotografie sowie der Presse. Diese damals neue Entwicklung motivierte Samuel Warren und Louis Brandeis 1890 zu ihrem Essay „The Right to Privacy”, der als Wurzel aller nachfolgenden Diskussionen über die Privatsphäre und später über den Datenschutz gilt.

Hundert Jahre später erregte die „Videoüberwachung“ – die Aufnahme, Übertragung und Aufzeichnung von Bewegtbildern insbesondere für polizeiliche und verwandte Zwecke – den Zorn aller Datenschutzaktivisten und daran hat sich bis heute wenig geändert. Aus der Sicht eines Datenschutzaktivisten gehören Videokameras im öffentlichen Raum zu den schlimmsten Dingen, die uns dort begegnen können. Dies gelte sogar für eine bloße Anscheinsüberwachung durch Kameraattrappen, meinen sie, denn Ausgangspunkt ihrer Kritik ist die selten hinterfragte These, selbst eine nur scheinbare Möglichkeit der Fernbeobachtung oder Aufzeichnung verändere auf wundersame Weise das Verhalten der Beobachteten1.

Mit der Realität hat dies wenig zu tun. Wir sind heute allerorten von Kameras umgeben, allen voran jene in unseren Taschenkommunikatoren, gefolgt von anderen Kameras, die zu allerlei Zwecken in der Landschaft hängen. Von nahezu jedem Ereignis mit Nachrichtenwert taucht früher oder später mindestens ein verwackeltes Händivideo auf. Die Erwartung, sich noch irgendwo in der Öffentlichkeit, jedoch nicht vor einem Kameraobjektiv aufhalten zu können, ist absurd.

Ebenso absurd ist die Vorstellung, die allgegenwärtigen Kameras könnten uns manipulieren und unterdrücken. Wäre dem so, hätten wir es nämlich längst bemerkt. Haben wir aber nicht, also stimmt die Vermutung wahrscheinlich nicht. In Wirklichkeit tun Kameras im öffentlichen Raum niemandem weh, denn sie sehen nur das, was Menschen in aller Öffentlichkeit tun.

Mit Ausnahme der Datenschützer versteht das auch jeder und so regt sich zu Recht kaum noch Protest gegen den Kameraeinsatz. Doch so leicht geben sich Aktivisten nicht geschlagen. Für Datenschützer nimmt eine Kamera nicht nur Bilder und Videos auf, sie verwandelt auch den Anblick eines öffentlichen Raums in personenbezogene Daten, die nach Schutz verlangen.

Ob diese Daten aus einer öffentlichen Quelle stammen, spielt dabei keine Rolle, denn alle personenbezogenen Daten gelten dem Datenschutz als gleich schützenswert (mit Ausnahme der besonders schützenswerten Daten, zu denen etwa die Information gehört, dass der Papst und seine Kardinäle katholisch sind). So kommt es, dass Aufnahmen aus dem öffentlichen Raum nach Auffassung der Datenschützer verschlüsselt versendet werden müssen.

Dass dies sinnlos ist und niemanden vor irgend etwas schützt, spielt keine Rolle, denn der Datenschutz schützt Daten und nicht Menschen. Der Sensor einer Digitalkamera verwandelt ungezwungene Öffentlichkeit in ein amtliches Geheimnis.


1 Gedankenexperiment: Jemand geht in eine Bank/Spielhalle/Tankstelle, hält eine Videokamera vor sich und ruft: „Geld her, ich habe eine Kamera!“ – Würde das funktionieren? Wenn ja, warum? Wenn nein, warum nicht?

Bedrohungkonjunktive

Risiko ist ein quantifizierter Konjunktiv: Etwas kann passieren, man kann nicht genau vorhersagen, wann und wem es passiert, aber die Wahrscheinlichkeit und die Folgen lassen sich abschätzen. Seriöse Risikoanalysen betrachten deshalb das Zusammenspiel zwischen Wahrscheinlichkeiten und Auswirkungen oder irgendeinen Surrogat dafür.

Unseriöse Diskussionen lassen die Wahrscheinlichkeiten unter den Tisch fallen und konzentrieren sich auf die bloße Möglichkeit. Das Ergebnis sind Bedrohungskonjunktive, mit denen man Propaganda treiben, aber sonst wenig anfangen kann.

Wie das funktioniert, führt H.-J. Tenhagen in seiner Kolumne zum Händibezahlen bei Spiegel Online vor: Die erste Hälfte seines Textes besteht aus blumigen Erklärungen, was Finanzunternehmen und Cloudkonzerne mit den Transaktionsdaten eines Verbrauchers alles anstellen könnten.

Dabei drückt er sich um den springenden Punkt, denn es gibt unzählige Dinge, die man tun könnte, aber üblicherweise nicht tut. Die Bundeswehr könnte die Regierung absetzen, RWE das ganze von Düsseldorf bis Köln wegbaggern und nebenbei die Bevölkerung verstromen, die BASF alle deutschen Städte in die Luft sprengen und gleichzeitig das gesamte Trinkwasser vergiften und die Lufthansa Flugzeuge in Kernkraftwerke lenken.

All dies ist möglich, aber nicht sehr wahrscheinlich, weshalb uns solche Schauergeschichten keine Angst machen. Genauso sollten wir es handhaben, wenn uns jemand ins Ohr raunt, was die bösen Datenkraken alles tun könnten. Was sie könnten, ist egal; es kommt darauf an, was sie tatsächlich tun.

Nichts zu verbergen – nicht zu diesem Preis

Der Spruch, man habe ja nichts zu verbergen, ist der Lieblingsstrohmann aller Datenschutzaktivisten und Polizeigegner. An ihm arbeiten sie sich ab, um zu zeigen, dass doch jeder etwas zu verbergen habe und demnach auf ihrer Seite stehen müsse im Kampf gegen den jeweilige Datenkraken des Tages.

Nun ist es legitim, für die Beschränkung polizeilicher, geheimdienstlicher und sonstiger Befugnisse einzutreten. Der Nichts-zu-verbergen-Strohmann unterstellt jedoch eine allgemeine individuelle Betroffenheit, um das Strohmann-Argument sodann mit der Annahme einer ebenso universellen Geheimnisträgerschaft zurückzuweisen.

Wo die Schwäche dieses oft replizierten, jedoch selten reflektierten Arguments liegt, wird deutlich, wenn man es sauberer formuliert. Wie auch sonst überall – genauer, außerhalb der bloßen Ideologie – muss man in Sicherheitsfragen Nutzen und Kosten abwägen. Dabei hat jeder Beteiligte und jeder Betroffene seine eigene Sicht; was dem einen schadet, muss dem anderen nicht in gleichem Maße nützen und umgekehrt.

Da wir über Zukunftsaussichten mutmaßen, haben alle Annahmen Wahrscheinlichkeitscharakter und wir rechnen mit Erwartungswerten. Die bekannte Risikoformel – Risiko gleich Eintrittswahrscheinlichkeit mal Schadenshöhe – ist nichts anderes als die Definition eines Erwartungswerts.

Sagt nun jemand, er habe nichts zu verbergen, so bedeutet dies sauber formuliert, er sehe für sich kein hinreichendes Risiko n der diskutierten Maßnahme, welches ihre Ablehnung rechtfertigen würde, sondern einen ausreichenden Nutzen, um sie hinzunehmen. Diese Einschätzung mag im Einzelfall richtig oder falsch sein, doch handelt es sich nicht per se um ein falsches Argument.

In einem funktionierenden Rechtsstaat haben Bürger, die sich nichts zuschulden kommen lassen, wenig zu befürchten. Dafür sorgt nicht in erster Linie Technik, sondern Recht, Gewaltenteilung und das daraus resultierende Institutionengefüge. Dieser Apparat, der die Staatsmacht ausübt und gleichzeitig zügelt, ändert sich nicht fundamental, nur weil einzelne Institutionen wie die Polizei neue Einsatzmittel und -möglichkeiten erhalten.

Es ist deshalb legitim, sich auf den Rechtsstaat und die Demokratie zu verlassen, das eigene wie das gesellschaftliche Risiko aus neuen Einsatzmitteln der Exekutive als gering einzuschätzen und daraus resultierend Vorschläge zu befürworten oder hinzunehmen. Das – oft erfolglos – Zustimmung heischende Strohmannargument, jeder habe etwas zu verbergen, ignoriert die Risikobetrachtung. Es ist deshalb unsachlich, fundamentalistisch und überholt.

Datenschutz mit blinden Flecken

Ein simpler Bewegungsmelder wird zur Überwachung, sobald er in China Bewegung meldet und europäische Medien darüber berichten. Dächten wir über solche Nachrichten aus Fernost nach, statt uns nur in unseren Vorurteilen zu bestätigen, könnten wir etwas über Datenschutz, Überwachung und Erziehung lernen. Doch dann müssten wir uns eingestehen, dass wir mit dem Datenschutz das Pferd von hinten aufzäumen.

Über China kursieren im Westen viele Legenden. Das Land ist weit genug weg, dass es nur wenige gut aus eigener Anschauung kennen, seine Kultur ist uns fremd genug, um uns geheimnisvoll zu erscheinen, und China ist zu bedeutend, als dass man es wie seinen Nachbarn Nordkorea als belanglose Randerscheinung belächeln könnte.

China gilt uns als der Überwachungsstaat schlechthin und Überwachung als Inbegriff des Bösen. Wollen Datenschutzaktivisten einen Teufel an die Wand malen, so greifen sie gerne zu Geschichten vom Social Credit Scoring und der alles überwachenden Kommunistischen Partei. Kulturelle Unterschiede werden dabei ebenso nonchalant verdrängt wie der Umstand, dass unsere Werte und Eigenheiten nicht weniger willkürlich sind als die der anderen.

Wie bei vielen Themen stammt die Berichterstattung aus einem Topf voll wieder und wieder rezitierter Meme, die zwar manchmal ihr Kostüm wechseln, sich im Kern jedoch kaum wandeln. Sie kennen das aus der Blökchain. Darunter mischt sich ein Hang zur Besserwisserei, denn wer wollte ernsthaft dem Datenschutzweltmeister widersprechen, der wir so gerne sein möchten? Zu kurz kommt, was einen Erkenntnisgewinn verspräche: dass man sich im Vergleich verschiedener Kulturen seine eigenen Vorurteile und blinden Flecken bewusst machte.

Ein Beispiel. Die FAZ verbreitet dieses Video mit dem Titel „Überwachung in China: Dusche für ‚Bei-Rot-Geher‘“:

Das Video dauert nur eine Minute und zeigt Mechanismen, mit denen man in China Fußgänger zur Einhaltung der Verkehrsregeln bewegen möchte. Ein Mittel dazu sind Poller an einem ampelgeregelten Übergang, die bei Rot gehende Fußgänger mit einem Bewegungsmelder erkennen und mit Wasser bespritzen. Später erwähnt der Beitrag noch Verkehrskameras an Kreuzungen und eine darauf gestützte Ansprache von Fußgängern über installierte Lautsprecher. Ob es sich jeweils um die üblichen Mittel handelt oder nur um Versuche, erfahren wir übrigens nicht.

Was das Video nicht so deutlich sagt, jeder westliche Datenschutzaktivist jedoch gerne glauben möchte: Hier zeige sich der Chinesische Überwachungsstaat und wir mögen froh sein, über Datenschutzaktivisten und eine EU-Datenschutzgrundverordnung (DS-GVO) zu verfügen. Doch in Wirklichkeit ist die Sache komplizierter. Zum einen gelten die Verkehrsüberwachung und die Ahndung von Verstößen auch hierzulande im Prinzip als legitim, wenn auch deutsche Datenschützer gerne mal eine Totalüberwachung wittern, wo es in erster Linie um die effektive Durchsetzung von Fahrverboten geht. Zum anderen hätte unser Datenschutz mit den im Video vorgestellten Erziehungspollern weit weniger Probleme, als Datenschutzaktivisten lieb sein kann.

Der europäische Datenschutz stellt die Verarbeitung personenbezogener Daten in den Mittelpunkt seiner Bemühungen. Kurz gefasst geht er von der Vermutung aus, je mehr jemand über einzelne identifizierbare Personen wisse, desto problematischer sei dies. Darauf gestützt regelt die Datenschutz-Grundverordnung den Umgang mit solchen Daten und die begleitende Bürokratie. In ihrer eigenen Logik folgerichtig fordert die DS-GVO unter dem Schlagwort „Datenschutz durch Technikgestaltung“ („Privacy by Design“) die Anonymisierung oder Pseudonymisierung personenbezogener Daten, wo immer dies möglich sei. Damit gehe der Personenbezug verloren (Anonymisierung) oder er werde verborgen (Pseudonymisierung), was die Betroffenen der Datenverarbeitung vor negativen Folgen schütze, so die Idee.

Die Beispiele aus dem Video zeigen, wo der Haken liegt. Wir sehen dort situationsbezogene Erziehungsmechanismen: Wer gegen die Verkehrsregeln verstößt und bei Rot über die Straße geht, bekommt sofort negatives Feedback, ähnlich einem abzurichtenden Hund, dessen Ungehorsam sein Herrchen auf der Stelle straft. Man mag diesen Ansatz primitiv finden, doch unterscheidet er sich nur dadurch vom roten Blitz, der auf zu schnelles Fahren oder das Ignorieren einer roten Ampel folgt, dass ihm später kein Schreiben der zuständigen Bußgeldstelle folgt.

Die im Video vorgestellten Erziehungsmechanismen funktionieren anonym. Sie erkennen ein Verhalten und wirken direkt auf die betreffende Person, ohne erst Akten und Datensätze zu wälzen. Überwachung ist das schon, nur eben nicht personen-, sondern situationsbezogen. Nach europäischen Datenschutzmaßstäben wären solche Maßnahmen akzeptabler, sogar korrekter als das hiesige Verfahren mit den namentlich adressierten Verwarnungs- oder Bußgeldbescheiden. Als Datenschutz-Erregungsanlass taugen sie deshalb wenig, sobald man sich einmal von oberflächlichen Analogien und dem üblichen Raunen gelöst hat.

Der Datenschutz schütze nicht Daten, heißt es oft, sondern Menschen, doch wo aus Daten Handlungen werden, oder eben auch nicht, hat er einen großen blinden Fleck. Dem Datenschutz liegt die Unterstellung zugrunde, Daten über identifizierte Individuen führe zu Handlungen und Vorenthalten dieser Daten könne diese Handlungen verhindern. Dies mag in manchen Fällen richtig sein. Gebe ich beispielsweise meine Telefonnummer nur an ausgewählte Personen weiter, so verhindere ich damit jene – mutmaßlich unerwünschten – Anrufe, die sich für den Anrufer so wenig lohnen, dass er dafür weder meine Nummer recherchieren noch zufällig gewählte Nummern nacheinander anrufen würde.

Die smarten Poller aus China jedoch zeigen, dass diese Schlusskette nur manchmal funktioniert. Viel häufiger begegnet uns im Alltag die anonyme Manipulation, der es auf unsere Identität nicht ankommt. Von Glücksspielen über Payback-Coupons bis zur Werbung sind wir ständig interaktiven Beeinflussungsversuchen ausgesetzt, die sich auf alles mögliche stützen, nur nicht darauf, dass jemand möglichst viele explizite Angaben mit unserem Namen assoziiert. Sie funktionieren dennoch.

Ein Spielautomat zum Beispiel manipuliert seine Zielgruppe mit durchschaubarer Psychologie, viel Geld zu verspielen: mit der Illusion zum Beispiel, sorgfältig kalkulierte Gewinnchancen durch das Drücken  von Knöpfen beeinflussen zu können, und mit kleinen Gewinnen zwischendurch, die der Spieler doch nur an den Automaten zurückgibt. Das funktioniert nicht bei allen, aber Spielautomaten ziehen diejenigen an, bei denen es funktioniert. Die Hersteller müssen diese Zielgruppe gut verstehen. Personenbezogene Daten über Spieler brauchen sie hingegen nie.  Sie haben dies mit nahezu allen Formen der Beeinflussung vom Nudging bis zum Betrug gemeinsam.

Das heißt nicht, dass der Datenschutz komplett sinnlos wäre, doch als Mittel zum Risikomanagement und als Freiheitsgarant setzt er häufig am falschen Ende an. Er konzentriert sich auf die Daten und ignoriert tendenziell die Handlungen, während in Wirklichkeit die Handlungen oft ohne jene Daten auskommen, die der Datenschutz im Auge hat. Die Ironie dabei: Der Datenschutz beruft sich auf Grundrechte, allen voran das allgemeine Persönlichkeitsrecht, aber seine Aufmerksamkeit endet, wo Menschen zu bloßen Nummern pseudonymisiert oder wie Tiere dressiert werden.

Der Datenschutz soll, so seine Verfechter, Machtgefälle nivellieren und den Einzelnen davor schützen, zum bloßen Objekt der Datenverarbeitung durch staatliche Stellen oder durch Unternehmen zu werden. Doch sein Fokus auf mit Identitätsbezug gespeicherte Datensätze macht ihn blind für das Handeln der Mächtigen. So wird jeder Staat, der Verkehrsregeln aufstellt, deren Verletzung bekämpfen – dazu ist die Staatsmacht da. Der deutsche Staat tut dies in einem Verwaltungsverfahren gegen eine namentlich benannte Person, der chinesische anscheinend auch durch direkte Erziehung ohne Verfahren.

China ist so gesehen kein Überwachungs-, sondern ein Erziehungsstaat. Dies ist nicht einmal per se falsch, denn verschiedene Kulturen können soziale Probleme verschieden bewerten und lösen und nicht alle europäischen Grundrechte sind auch universelle Menschenrechte. Nach der europäischen Datenschutzlogik jedoch macht China im Video alles richtig und taugt nicht als mahnendes Beispiel.

Statt sich mit Machtverhältnissen und mit Mechanismen der Machtausübung zu beschäftigen, verzettelt sich der institutionalisierte Datenschutz lieber in Diskussionen um technische Details wie Cookies und IP-Adressen. Welche Wirkungen man sich davon verspricht, können die Datenschützer selbst nicht erklären.

Die bekannte Auswüchse, auch die ungewollten und aufgebauschten, wie die auf Fotos gesichtslos gemachten Schulkinder, die verbotene Anscheinsüberwachung mit Attrappen oder die beinahe ihrer Namen auf dem Klingelschild beraubten Mieter sind eine Folge davon. Der formale Datenschutz kann mit wenigen Ausnahmen keinen plausiblen Wirkmechanismus vorweisen, während viele relevante Vorgänge jenseits seines Horizonts liegen. Er schmort deshalb im eigenen Saft.

Erregungsanlass Datenerhebung

2018 war das große Jahr der Datenschutz-Grundverordnung, jedenfalls in puncto Aufmerksamkeit. Datenschutzaktivisten und die Datenschutzbranche feierten den 25. Mai, an dem die Übergangsfrist ablief und die die Regeln der DS-GVO wirksam wurden, als wäre es ein zweites Weihnachten gewesen. Wie beim echten Weihnachtsfest war das Völlegefühl danach so groß wie die Vorfreude im Advent und es hält bis heute an – die Datenschutzaufsicht ist unter der Last der neuen Verordnung weitgehend zusammengebrochen. Derweil verbreiten sich hin und wieder groteske Geschichten über entfernte Klingelschilder oder aus Fotos radierte Kindergesichter, an denen die DS-GVO schuld sei.

Zweifelhaft ist jedoch wie vor, ob die DS-GVO den große Wurf darstellt, als den sie große Teile der Datenschutzszene  vor ihrer Überlastung durch eben jene DS-GVO feierten. Positiv ist gewiss die europäische Harmonisierung, die den Adressaten innerhalb Europas den Umgang mit dem Datenschutz erleichtert. Weit weniger deutlich lassen sich inhaltliche Fortschritte gegenüber dem traditionellen Datenschutz aus den 1970er und 1980er Jahren erkennen.

Trotz einiger Modernisierungen bleibt die DS-GVO in vielen Punkten orthodox,das heißt auf Oberflächenphänomene und Vorsorge fokussiert. Der traditionelle Datenschutz ist erhebungszentriert: Gespeicherte Daten gelten pauschal als gefährlich, wenn nicht gar als Grundrechtseingriff, weshalb man die Datenerhebung als die zur Speicherung und Verarbeitung unvermeidliche Voraussetzung regulieren müsse. Risiken bemessen sich aus dieser Perspektive nicht danach, was eine Organisation mit Daten tut oder welche Folgen daraus realistisch resultieren könnten, sondern alleine danach, welche Daten sie erhebt.

Ein anschauliches Beispiel für die Defizite dieser Perspektive liefert heute die Mitteldeutsche Zeitung auf der Grundlage eines YouTube-Videos. Das Skandälchen: Die Polizei betrieb ein Geschwindigkeitsmessgeräte an der Autobahn 38 und blitzte Autofahrer, obwohl dort gar kein Tempolimit galt. Wie die MZ in ihrer Recherche herausfand, handelte es sich schlicht um einen Test des Messgeräts, an dem man einen Fehler vermutete – eine gute Sache, die den betroffenen Fahrern keinen Schaden zufügt.

Objektiv bestand nie ein Grund zur Aufregung. Selbst wenn es sich nicht um einen Test gehandelt hätte, bliebe das Schadenspotenzial gering, denn ein Foto vom Straßenrand führt hierzulande nicht zu willkürlichen, unbeschränkten Eingriffen in die Leben der Fotografierten, sondern lediglich zu einem rechtsstaatlichen Verfahren. Abgesehen davon, dass so etwas lästig sein kann und Fehler auch in der Justiz zuweilen vorkommen – ein allgemeines Lebensrisiko – haben die Betroffenen nicht mehr zu fürchten als ihre gerechte Strafe. Mangels Tempolimit im vorliegenden Fall droht ihnen also gar nichts und bei einer gerechtfertigten Anzeige eine moderate Buße. Davon abgesehen bestand hier nicht einmal die Absicht, dem Test überhaupt irgendwelche gegen die Betroffenen gerichteten Maßnahmen folgen zu lassen.

Eine tendenziell gesetzestreue Beamtenschaft, die Garantie eines rechtsstaatlichen Verfahrens sowie nach Schwere der Tat abgestufte Strafvorschriften sind hier die zentralen Mechanismen des Risikomanagements. In einer einseitig auf die Erhebung fokussierten Perspektive, die gespeicherten Daten unschätzbare Gefahren unterstellt, geraten genau diese Mechanismen aus dem Blickfeld. Aus dieser Perspektive ist äquivalent, was auf den ersten Blick ähnlich aussieht, und gleichermaßen gefährlich, was dieselben Daten erfasst.

Diese Ignoranz gegenüber systemischen Sichten zeigt sich vielerorts im Datenschutz. Bestes Beispiel ist die Online-Werbung. Im Fokus des Datenschutzes stehen die damit verbundenen Trackingmechanismen, mit denen die Werbewirtschaft im Internet ihre – am Ende immer noch geringen – Erfolgsraten und die daraus resultierenden Einnahmen optimiert. Aus der Erhebungsperspektive scheint das alles ganz schlimm, denn „Datenkraken beobachten jeden Klick im Internet“ und bilden Profile sogar über Gerätegrenzen hinweg.

Aus der systemischen Sicht hingegen geht es die ganze Zeit nur um Werbung. Werbung ist per se übergriffig, auch als Plakat am Straßenrand, weil sie uns anheischt, den Interessen anderer gerecht zu werden. Werbung nervt, weil sie mit anderer Werbung sowie mit relevanten Informationen um unsere Aufmerksamkeit kämpft. Werbung ist jedoch auch nützlich und geduldet, wo sie uns Dienste und Inhalte im Netz finanziert. Alles in allem ist Werbung vor allem eins: ziemlich harmlos, denn sonst hätte sie uns längst alle umgebracht.

Diese Harmlosigkeit kann der erhebungszentrierte Datenschutz nicht erfassen, ausdrücken und seinen Maßnahmen zugrunde legen. Im Gegenteil, dort wird ungeniert mit frei erfundenem „Überwachungsdruck“ argumentiert, welcher sogar die Anscheinsüberwachung durch Kameraattrappen zum Problem mache. So kommt es, dass niemand mehr nachvollziehen kann, wovor ihn der Datenschutz eigentlich schütze.

Erfolgsfaktoren für den Datenschutz durch Technikgestaltung

Die Forderung nach Datenschutz und Sicherheit „by Design“ ist schnell erhoben und gerade nach Sicherheitsvorfällen sieht rückblickend oft alles nach offensichtlicher Schlamperei aus, die man doch einfach hätte vermeiden können. Wer tatsächlich IT-Systeme gestaltet und dabei Datenschutz- und Sicherheitsanforderungen berücksichtigen soll, steht jedoch einigen Problemen gegenüber. Zum Beispiel kann man zu viel Sicherheit anstreben und sich im Ergebnis selbst blockieren, wie es die Entwicklung der Gesundheitstelematik seit ungefähr anderthalb Jahrzehnten vorführt*, oder vor unmöglichen Entscheidungen stehen, weil es zu vielfältigen Wechselwirkungen zwischen Datenschutz und Sicherheit auf der einen und allen übrigen Anforderungen und Entwurfsdimensionen auf der anderen Seite kommt. Beim Datenschutz kommt hinzu, dass anders als bei der Sicherheit Stakeholder und Angreifer zusammenfallen: Der Datenschutz beschränkt Handlungen, von denen Betreiber und Nutzer eines Systems profitieren.

Mit diesen Schwierigkeiten beschäftigt sich der Beitrag „Erfolgsfaktoren für den Datenschutz durch Technikgestaltung“ zur Konferenz „Die Fortentwicklung des Datenschutzes”, die Anfang November 2017 in Berlin stattfand. Er baut auf vorangegangenen Vorträgen (Was kommt nach „Security by Design“? Chancen der Partizipation im Software Engineering 2016 in Kassel und Security by Design? 2017 in Limburg auf. Im Konferenzband zur Tagung konnte unser Beitrag letztlich nicht erscheinen, da der Verlag über eine faire Rechteübertragung hinaus unannehmbare Forderungen an die Autoren erhob und zu Verhandlungen über die Konditionen nicht bereit war.

*) Großprojekte mit vielen Stakeholdern haben allerdings noch weitere Probleme neben dem Thema Sicherheit, an denen sie scheitern können.

Opt-out

Vor drei Monaten feierten Politiker und Datenschützer die Ende Mai 2018 wirksam gewordene EU-DSGVO, während Vereine und Kleinunternehmen über die damit verbundene Bürokratie stöhnten und nach Auswegen suchten. Bis auf einzelne Geschichten von Fotografierverboten und geschwärzten Kindergesichtern – in Deutschland heißt es nach wie vor: „Vorschrift ist Vorschrift!“ – war seither wenig zum Thema zu hören.

Jene, denen es mit der DSGVO angeblich hätte an den Kragen gehen sollen, allen voran die Online-Werbewirtschaft, können weiter ruhig schlafen. Sie haben einen Weg gefunden, ihre Interessen im Einklang mit der DSGVO-Bürokratie weiter zu verfolgen: Dark Patterns, unanständige Entwurfmuster. Die Gestaltung von Benutzerschnittstellen kann das Verhalten ihrer Benutzer beeinflussen, indem sie Handlungen und Vorgänge einfacher oder schwieriger macht, schneller oder zeitraubender, versteckter oder offensichtlicher, fehleranfälliger oder robuster. Das ist nicht per se falsch, denn Benutzerschnittstellen sollen sich den Benutzern erklären. Die Grenze zum Dark Pattern ist schwer zu definieren, aber sie ist klar überschritten, wo eigennützige Manipulationsabsichten offensichtlich werden.

Dieses Video zeigt ein Beispiel:

Websites arbeiten mit Werbenetzen, Analytics-Diensten und anderen Dienstleistern zusammen, die das Benutzerverhalten beobachten und auswerten. Über diese Verarbeitung muss jeder Nutzer in der Regel selbst entscheiden können. Das Video zeigt, wie eine offensichtlich interessengeleitete Gestaltung der Benutzerschnittstelle in der Praxis funktioniert – man müsste eine Viertelstunde im Web herumklicken, ohne am Ende zu wissen, was es gebracht hat. Ebenso weit verbreitet sind Zwangsfunktionen, welche die Nutzung von Websites verhindern oder erschweren, bis man in irgend etwas „eingewilligt“ hat.

Vermutlich ist diese Gestaltung nicht legal, doch bislang ist dazu vom organisierten Datenschutz wenig zu hören – er ist unter einer Welle von Anfragen zur DSGVO zusammengebrochen. Überraschend kommt diese Entwicklung allerdings nicht. Zum einen ist die formale Einhaltung von Vorschriften bei gleichzeitiger Optimierung auf die eigenen ökonomischen Interessen die typische Reaktion von Unternehmen auf Compliance-Vorschriften. Wer beispielsweise Geld anlegen möchte, muss seiner Bank heute hundert Seiten Papier unterschreiben – angeblich zu seinem Schutz, tatsächlich jedoch, damit die Bank unter allen denkbaren Umständen über genügend Dokumente verfügt, um sich aus der Affäre zu ziehen und ihre Hände in Unschuld zu waschen („Rechtssicherheit“).

Zum anderen passt das Interaktionsparadigma des Datenschutzes – eine Art Vertragsschluss bei Beginn der Verarbeitung – nicht dazu, wie das Internet funktioniert. Wir emittieren heute permanent Daten in den Cyberspace und die Idee, diese Emission über Verfügungen pro Interaktionskontext zu regeln, führt nicht zu tragfähigen Lösungen. Was man wirklich einmal regeln müsste, wären die Interaktion und die Machtverhältnisse im Web.

Digitaler Umweltschutz?

In der Süddeutschen fordert Adrian Lobe einen digitalen Umweltschutz und argumentiert dabei mit Datenemissionen. Das ist mir im Ansatz sympathisch, weil ich die Vorstellung der permanenten Datenemission für ein geeigneteres Modell der heutigen Datenverarbeitung halte. Andererseits geht mir jedoch seine Ausweitung des Gedankens auf eine Analogie zu Emissionen im Sinne des Umweltschutzes zu weit.

Unabhängig davon, was wir insgesamt von der personenbezogenen Datenverarbeitung halten und welche Schutzziele wir im Einzelnen verfolgen, brauchen wir als Grundlage ein passendes Modell davon, wie Daten entstehen, fließen und verarbeitet werden. In dieser Hinsicht beschreibt das Emissionsmodell die heutige Realität besser als die Begriffe des traditionellen Datenschutzes, die auf das Verarbeitungsparadigma isolierter Datenbanken gemünzt sind.

Der klassische Datenschutz in der Tradition des BDSG (alt) ist begrifflich und konzeptionell eng an die elektronische Datenverarbeitung in isolierten Datenbanken angelehnt. Daten werden „erhoben“ (jemand füllt ein Formular aus) und sodann „verarbeitet“, das heißt gespeichert, verändert, übermittelt gesperrt oder gelöscht, sowie vielleicht sogar „genutzt“ (diesen Begriff verfeinert das alte BDSG nicht weiter).

Diese Vorstellungen passen nicht zu einer Welt, in der jeder ein Smartphone in der Tasche hat, das permanent Daten in die Cloud sendet. Sie passen nicht einmal dazu, dass einer die Adresse und Telefonnummer eines anderen in der Cloud speichert. Aus dem Konflikt zwischen der veralteten Vorstellung und der heutigen Realität resultieren regelmäßig Blüten wie der Hinweis des Thüringer Datenschutzbeauftragten, die Nutzung von WhatsApp sei rechtswidrig, die den Datenschutz als realitätsfern dastehen lassen.

Mit dem Emissionsmodell bekommen wir eine neue Diskussionsgrundlage, die näher an der tatsächlichen Funktionsweise der Datentechnik liegt. Wenn wir die Schutzziele des Datenschutzes auf dieser Grundlage diskutieren, finden wir eher praktikable und wirksame Maßnahmen als auf der Basis veralteter Vorstellungen. Das ist die positive Seite des Emissionsgedankens.

Die negative Seite zeigt sich, wenn man den Gedanken zu weit treibt und daraus eine Analogie zu Emissionen im Sinne des Umweltschutzes macht. Das ist zwar verführerisch – wenn ich mich richtig erinnere, haben wir diese Frage beim Schreiben von „Emission statt Transaktion“ auch diskutiert – aber ein rückwärtsgewandter Irrweg.

Ein entscheidender Unterschied zwischen Umwelt- und Datenemissionen liegt darin, dass Umweltemissionen eine zwangsläufige Wirkung haben: Im verschmutzten Fluss sterben die Fische, Kohlendioxid ändert das Klima und Plutonium im Tee macht krank. Nach der Freisetzung lässt sich die Wirkung nur noch durch eine – meist aufwändige – Sanierung steuern und unter Umständen nicht einmal das.

Daten haben diese zwangsläufige Wirkung nicht. Wie wir miteinander und wie Organisationen mit uns umgehen, können wir unabhängig von Daten regeln. Wenn wir zum Beispiel Diskriminierung verbieten und dieses Verbot wirksam durchsetzen, dann kommt es auf die verwendeten Mittel nicht mehr an – was eine Organisation weiß, ist egal, denn sie darf damit nichts anfangen.

Dem traditionellen Datenschutz ist diese Perspektive jedoch fremd, denn er verfolgt das Vorsorgeprinzip für den Umgang mit epistemischen Risiken: Wenn wir die Gefahren von etwas noch nicht gut genug verstehen, um sie quantifizieren zu können, lassen wir besser sehr große Vorsicht walten. Dieser Gedanke ist im Umweltschutz weit verbreitet und bezieht seine Berechtigung dort aus dem Maximalschadenszenario der Zerstörung unserer Lebensgrundlage. Selbst mit dieser Drohung im Gepäck bleibt das Vorsorgeprinzip freilich umstritten, denn epistemische Ungewissheit über Gefahren impliziert auch Ungewissheit über die Kosten und Auswirkungen von Vorsichtsmaßnahmen.

Im traditionellen Datenschutz – der, ob Zufall oder nicht, etwa zeitgleich mit dem Erstarken der Umwelt- und Anti-Atomkraft-Bewegung entstand – finden wir diesen Vorsorgegedanken an mehreren Stellen: in der Warnung des Bundesverfassungsgerichts im Volkszählungsurteil vor einer Gesellschafts- und Rechtsordnung, „in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß“, im grundsätzlichen Verbot der Verarbeitung personenbezogener Daten, das nur ausnahmsweise durch eine Rechtsvorschrift oder die Erlaubnis der Betroffenen aufgehoben werde, sowie in der Forderung nach Datenvermeidung und Datensparsamkeit.

All dem liegt die Vorstellung zugrunde, die Speicherung und Verarbeitung personenbezogener Daten sei mit unschätzbaren Gefahren verbunden und daher nur äußerst vorsichtig zu betreiben. Allerdings wissen wir heute, dass man damals so manche Gefahr grob überschätzte. So warnte das Verfassungsgericht weiter: „Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen“, und: „Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“ Das war zu kurz gedacht – heute zelebrieren viele von uns ihre abweichenden Verhaltensweisen in der Öffentlichkeit von Twitter, Facebook, Instagram und YouTube und träumen dabei von einer Karriere als Influencer.

Heute leben wir in jener Welt, vor der das Verfassungsgericht einst warnte, genießen ihren großen Nutzen und spüren nur geringe Schmerzen. Von den befürchteten Gefahren für die freie Entfaltung er Persönlichkeit ist wenig zu sehen. Zudem können wir inzwischen ganz gut einschätzen, welche Gefahren bestehen und was man dagegen zu welchem Preis tun kann. Der Vorsorgegedanke ist damit überholt und deshalb passt die Analogie zum Umweltschutz nicht so gut. Andererseits ist der Umweltschutz nicht nur Vorsorge, sondern beinhaltet auch die risikoorientierte Gefahrenabwehr und in dieser Hinsicht mag man sich an ihm als Vorbild orientieren.

Diebstahlschutz durch Technikgestaltung: Metallsparsamkeit

Geländerverzierung kein Metall!
Diebstahlschutz durch Materialwahl und Information

Gegenstände aus Metall werden gerne gestohlen, weil sie sogar als Schrott noch einen Wert haben. Um diesem Risiko zu begegnen, hat man bei der Erneuerung zweier Fußgängerbrücken auf größere Metallteile verzichtet und sie durch ähnlich aussehende alternative Materialien ersetzt. Man könnte analog zur Datensparsamkeit von Metallsparsamkeit sprechen und die Idee ist dieselbe – was nicht da ist, kann nicht geklaut werden. Das Hinweisschild soll vor dem sekundären Risiko schützen, dass jemand nicht so genau hinschaut, bevor der Teile abschraubt.

Metallsparsamkeit ist einfach, wenn es wie hier nur um Verzierungen geht, die keinen technischen Zweck erfüllen. In diesem Fall schränken nur wenige andere Anforderungen die Materialwahl ein. Die Verzierungen eines Brückengeländers müssen gut aussehen und den parktypischen Belastungen – Wind, Wetter, Vogelkacke, turnenden Kindern, übermütigen Jugendlichen usw. – widerstehen, das ist alles.

Schwieriger wird die Metallsparsamkeit, wenn das Material weiter Anforderungen erfüllen muss. Ein Fahrrad zum Beispiel lässt sich noch so einfach aus alternativen Materialien fertigen. Ein Fahrrad muss leicht sein, typischen Belastungen standhalten und sich zu Kosten unterhalb des Verkaufspreises fertigen lassen. Zwar lassen sich einige Teile aus alternativen Materialien fertigen, namentlich Rahmen und andere Teile aus kohlenstofffaserverstärktem Kunststoff, aber zu deutlich höheren Kosten und mit weiteren Nachteilen. Ein Fahrrad nur zum Diebstahlschutz  aus alternativen Materialien zu fertigen, kommt deswegen nicht in Frage.

Massenhafte Individualmanipulation ist viel zu teuer

Der aktuelle Skandal um Facebook und Cambridge Analytica ist gar nicht so neu. Die Geschichte von der psychometrischen Wahlkampfbeeinflussung geistert schon länger durch die Medien. Ganz knapp lautet die Erzählung: Jemand verwendet Daten aus Quellen wie Facebook, um Persönlichkeitsprofile von Wählern zu erstellen, und nutzt diese Profile zur gezielten Beeinflussung.

Das ist eine wunderbare Gruselgeschichte, aber nicht besonders plausibel. Zweifel an der Effektivität wurden bereits vor einem Jahr laut und auch im Zuge der aktuellen Diskussion sieht so mancher mit Ahnung mehr Angeberei als reale Fähigkeiten. Zu recht, denn die Geschichte von der Manipulation durch Persönlichkeitsprofile passt besser zu naiven Vorstellungen als zum real existierenden Internet. Sie ergibt ökonomisch keinen Sinn.

Individuen wählen bereits ohne Nachhilfe aus den verfügbaren Informationen diejenigen aus, die zu ihrem Weltbild passen. Bestätigungsfehler nennt man das – wir richten unsere Überzeugungen nicht nach rational abgewogenen Argumenten, sondern wir legen uns zu unseren Überzeugungen die passenden Argumente zurecht und ignorieren, was ihnen widerspricht. Diesen Effekt könnt Ihr beispielsweise in jeder Diskussion über Fahrradhelme beobachten, wo nie jemand seine Ansichten ändert. Das ist natürlich in dieser Form etwas übertrieben, denn nicht alle Ansichten sind fest gefügt und etwas Spielraum für erfolgreiche Überzeugungsarbeit bleibt.

Wenn sich jeder zu seinem Weltbild die bestätigenden Inputs sucht und inkompatible Aussagen verwirft, gibt es keinen Grund, Kampagnen aufwändig an individuelle Ansichten und Vorlieben anzupassen. Man kann einfach alle mit allen Botschaften in allen möglichen Versionen zuschütten, selbst wenn man eigentlich nur auf ein paar Zweifler und Wankelmütige zielt. Nichts anderes geschieht in einem klassischen Wahlkampf oder auch bei herkömmlicher Werbung.

Dass man dennoch bei jeder Werbung, ob politisch oder nicht, eine Optimierung durch Targeting versucht, hat vor allem einen ökonomischen Hintergrund. Ein Werbekontakt, der von vornherein ohne Erfolgschance beibt, weil das Ziel am Inhalt kein Interesse hat, ist rausgeworfenes Geld. Man wird deshalb versuchen, absehbar überflüssige Werbekontakte zu vermeiden.

Bei einem Plakat am Straßenrand geht das nicht. In den herkömmlichen Medien kann man sich an der Demografie der Konsumentinnen orientieren und seine politische Werbung wahlweise in der FAZ, der taz, dem Neuen Deutschland oder dem Bayernkurier schalten und damit grob verschiedene Zielgruppen ansprechen. Außerhalb der Politik tun Zeitschriftenverlage nichts anderes als zielgruppenspezifische Werberahmenprogramme zu gestalten, etwa Computermagazine für Anfänger, Fortgeschrittene und Profis, Automagazine, Sportzeitschriften (getrennt nach Sportarten) und so weiter.

Absehbar überflüssig ist statistisch gesehen alle Werbung – die Reaktionsraten bleiben, Optimierung hin oder her, verschwindend gering. Das dürfte ähnlich auch für Beeinflussungsversuche gelten, die im Gewand von Nachrichten oder Gerüchten daherkommen (Test: Wer von Euch ist so leichtgläubig, dass er sich von plumpen Fake News beeinflussen ließe?). Weiter optimieren als mit einer groben Zielgruppensegmentierung lässt sich herkömmliche Werbung jedoch kaum, ohne dass der Aufwand zu groß würde.

Das Internet erlaubt in dieser Situation einen neuen Optimierungsansatz. Man kann hier mit geringen Kosten nahezu alle ansprechen – und aus den Reaktionen in Form von Klicks ersehen, wer für welche Ansprache anfällig ist. Cormac Herley hat sich unter dem Gesichtspunkt der IT-Sicherheit mit solchen Ansätzen beschäftigt und unter anderem dieses Paper veröffentlicht: „Why do Nigerian Scammers Say They are from Nigeria?“. Darin beschreibt er am Beispiel der Betrugsmasche der Nigeria Connection genau diesen interaktiven Ansatz. Die Betrüger streuen breit ihre absurde Geschichte von herrenlosen Millionen, die man außer Landes bringen wolle, und beschäftigen sich dann einzeln mit den wenigen Trotteln, die blöd genug sind, darauf einzugehen.

Der Schlüssel zum Erfolg ist hier die Interaktion. Man durchleuchtet nicht ganz viele Menschen, um dann auf die passende Weise mit ihnen zu reden, sondern man versucht es bei allen und lernt aus den Reaktionen.

Mit einer ähnlichen Methode kann man Werbung gezielter verbreiten und ihre Erfolgsraten – im Rahmen der bescheidenen Möglichkeiten – optimieren. Dazu misst man, welche Werbung in welchem Kontext (Website, Inhalt, Nutzergruppe, Uhrzeit usw.) wie oft angeklickt wird, und optimiert die Auswahlkriterien anhand dieser Daten. Werbenetze tun so etwas, optimieren aber nicht stur die Klickrate, sondern ihre daraus resultierenden Einnahmen.

Dabei müssen sie gar nicht besonders persönlich werden. Im Gegenteil, über einzelne Nutzer erfährt man auch aus all ihren Facebook-Daten zu wenig, um individuelle Voraussagen über so ungewisses Verhalten wie die Reaktion auf eine Werbung oder Nachricht vorhersagen zu können. Hingegen erfährt man aus der wiederholten Einblendung einer Anzeige in verschiedenen Situationen nach und nach, unter welchen Umständen diese Anzeige häufiger oder weniger häufig Reaktionen hervorruft.

Ökonomisch nicht plausibel ist demgegenüber die Vorstellung, man könne ohne weiteres zwei Elemente kombinieren: die Skalierbarkeit einer Massenansprache mit sehr geringen Kosten pro Einzelfall und die individuelle Beeinflussung nach ausgefeilten Kriterien. Unabhängig davon, welche Daten ein Laden wie Cambridge Analytica über Menschen hat, kann er nicht zu geringen Kosten Millionen individuell zugeschnittener Botschaften entwerfen. Andererseits braucht man die ganze schöne Psychometrie überhaupt nicht, wo man Reaktionen messen und sie statistisch mit vielfältigen Parametern in Beziehung setzen kann. Deswegen ist die Erzählung von der massenhaften individualisierten Manipulation ökonomischer Blödsinn.

Beschränkter Horizont

Die Forderung nach Ende-zu-Ende-Sicherheit für das besondere elektronische Anwaltspostfach (beA) und andere Dienste geht auf missverstandene Anforderungen und eine eingeschränkte Sicht auf den Lösungsraum zurück. Die missverstandene Anforderung liegt in der Vorstellung, der rechtlicher Schutz der Kommunikation verlange nach technischen Garantien. Die eingeschränkte Sicht auf den Lösungsraum berücksichtigt nur ausgewählte technische Mechanismen, deren Wirkung sie überschätzt, und lässt andere Aspekte des Risikomanagements außer Acht.

✹✹✹

Die Befürworter der Ende-zu-Ende-Verschlüsselung argumentieren, der Schriftverkehr von Rechtsanwältinnen sei besonders sensibel und man müsse ihn deshalb technisch besonders gut vor unbefugter Kenntnisnahme schützen. Die besondere Sensibilität mag man annehmen, wenngleich das beA nicht der Kommunikation zwischen Anwältinnen und ihren Mandantinnen dient, sondern dem Schriftwechsel zwischen Anwältinnen und Gerichten sowie der Anwältinnen untereinander. Jedoch steht die Telekommunikation ganz allgemein unter rechtlichem Schutz durch das Telekommunikationsgeheimnis. Selbst wer sie abhören könnte, darf dies nicht und wird andernfalls verfolgt und bestraft.

Ein wirksamer rechtlicher Schutz macht kann technische Maßnahmen überflüssig machen. Umgekehrt sind individuelle Schutzmaßnahmen dort nötig, wo keine Hilfe zu erwarten ist. Im Alltag verstehen wir das auch und verzichten zum Beispiel meist darauf, unsere leicht verwundbaren Körper besonders gegen Angriffe zu schützen. Wir wissen, dass die Wahrscheinlichkeit eines körperlichen Angriffs gering ist, denn dafür sorgen Polizei und Justiz. Anders verhalten sich etwa Menschen in Kriegsgebieten, die mit solchem Schutz nicht rechnen können.Im Spektrum zwischen diesen Extremen gibt es Mischlösungen, deren Schwerpunkt auf der einen oder anderen Seite liegt. Das Ziel ist letztlich ein akzeptables Restrisiko, ganz gleich mit welchen Mitteln es erreicht wird.

Die Motivation für technische IT-Sicherheit entspringt der eingeschränkten Möglichkeit zur Strafverfolgung im Netz. Zwar gelten Gesetze auch online, doch können sich Täter leichter verstecken und selbst bekannte Täter entgehen der Verfolgung, wenn sie im Ausland sitzen. Ganz ohne Sicherheitstechnik wird ein Anwaltspostfach also nicht auskommen. Allerdings muss man sich sowohl den Schutzbedarf als auch die Sicherheitsstrategie genauer anschauen.

Interessanterweise haben Juristen in dieser Hinsicht realistischere Vorstellungen als Hacker, die perfekte Sicherheit fordern. Juristen gehen ganz selbstverständlich davon aus, dass man Sicherheitsanforderungen nicht überspitzen darf. Das Schutzniveau soll dem alternativer Kommunikationsmittel wie Telefax und Briefpost entsprechen. Auf ein theoretisches Ideal kommt es nicht an. Aus rechtlicher Sicht interessant sind dann rechtliche Implikationen, die sich beispielsweise aus der zeitversetzten Kommunikation ergeben.

Ende-zu-Ende-Verschlüsselung erfüllt keine reale Sicherheitsanforderung, sondern sie strebt ein technisch motiviertes theoretisches Ideal an. Wie ich im vorigen Beitrag erläutert habe, ist dieses theoretische Ideal im realen System kaum zu erreichen. Das ist jedoch kein Problem, da sich die realen Sicherheitsanforderungen am Sicherheitsniveau realer Kommunikationsmittel wie Post, Fax und Telefon orientieren.

✹✹✹

Den Lösungsraum verengt die Forderung nach Ende-zu-Ende-Sicherheit auf scheinbar ideale kryptografische Ansätze. Diese Ansätze sind jedoch nicht nur nicht sinnvoll, wenn man – im Gegensatz zur Gesundheits-Telematik – in endlicher Zeit ein funktionsfähiges System bauen möchte. Es gibt auch Alternativen und Aspekte, von denen die Fokussierung auf das theoretische Ideal ablenkt.

Die Befürworter der kryptografischen Ende-zu-Ende-Sicherheit kritisieren die Umschlüsselung von Nachrichten in einem Hardware-Sicherheitsmodul (HSM). Bei der Umschlüsselung wird eine Nachricht ent- und mit einem anderen Schlüssel verschlüsselt. Auf diese Weise lassen sich die Zugriffsrechte auf der Empfängerseite von der ursprünglichen Verschlüsselung auf der Absenderseite entkoppeln. So kann man Beispielsweise Vertretern Zugriff auf Nachrichten geben, die bereits vor Beginn der Vertretung vom Absender verschlüsselt wurden.

Dies schaffe einen Single Point of Failure, der das ganze System „extrem verwundbar“ mache, argumentieren die Kritiker. Das ist insofern richtig, als ein erfolgreicher Angriff auf die entsprechende Systemkomponente, ein Hardware-Sicherheitsmodul (HSM), tatsächlich sämtliche Kommunikation beträfe. Solche Angriffspunkte gäbe es freilich auch bei einer Ende-zu-Ende-Lösung noch. Alle Kommunikation ausspähen könnte beispielsweise, wer den beA-Nutzerinnen eine manipulierte Version der Software unterjubelt oder wer in die Produktion der zur Nutzung erforderlichen Smartcards eingreift.

Die damit verbundenen Restrisiken nehmen wir jedoch notgedrungen in Kauf und ergreifen Maßnahmen, um sie zu klein zu halten. So wird man beispielsweise die Smartcard-Produktion durch Zugangskontrollen und Überwachung so gut wie eben praktikabel vor unbefugten Eingriffen schützen. Nichts spricht grundsätzlich dagegen, dies auch für die Umschlüsselung zu tun – deswegen unter anderem das Sicherheitsmodul. Die Fokussierung auf das vermeintliche Allheilmittel Ende-zu-Ende-Verschlüsselung verstellt jedoch den Blick auf solche Maßnahmen, die zum Risikomanagement beitragen.

Falls wir in einem Single Point of Failure ein grundsätzliches Problem sähen und die damit verbundenen Risiken für nicht beherrschbar hielten, müssten wir jedoch nach ganz anderen Wegen Ausschau halten. Wir müssten dann nämlich nach einer organisatorischen und technischen Architektur suchen, welche die Auswirkungen eines einzelnen erfolgreichen Angriffs auf einen Teil des Systems, der Nutzer und der Inhalte begrenzt und verlässlich dafür sorgt, dass der Aufwand für erfolgreiche Angriffe proportional zu ihren Auswirkungen wächst.

Solche Ansätze hätten erst einmal überhaupt nichts mit Kryptografie zu tun, sondern mit Organisationsprinzipien. Man könnte beispielsweise ein Ökosystem verschiedener unabhängiger Lösungen und Anbieter schaffen und die Haftung angemessen regeln.  Angriffe auf einen Anbieter beträfen dann nur dessen Nutzer. Mit DE-Mail gibt es sogar bereits ein solches Ökosystem, welches weitgehend brachliegt und sich nach Anwendungen sehnt.

Auf solche Fragen und Ansätze – deren Nutzen und Notwendigkeit allerdings erst nach einer gründlichen Bedrohungs- und Risikoanalyse klar wird – kommt man gar nicht erst, wenn man eine Abkürzung nimmt und blind die Anwendung bestimmter technischer Entwurfsmuster fordert.

Von der Datentransaktion zur Datenemission

Datenschutz ist regelmäßig ein Thema in diesem Blog, denn seine Schutzziele und Mechanismen überschneiden sich mit denen der IT-Sicherheit oder stehen mit ihnen in Wechselwirkung. Datenschutz ist auch regelmäßig der Gegenstand öffentlicher Debatten. Das ist einerseits verständlich, denn wir sind heute überall von vernetzter IT umgeben. Andererseits verlaufen solche Debatten oft bizarr, weil der Datenschutz politisch instrumentalisiert und mit sachfremden Aspekten vermischt wird. Dabei ist die Frage für sich und ohne Ballast schon schwer genug: Was soll, was kann, was bedeutet Datenschutz heute und in Zukunft?

Mit einem Aspekt dieser Frage habe ich mich zusammen mit Jürgen Geuter und Andreas Poller in einem Beitrag zur Konferenz Die Zukunft der informationellen Selbstbestimmung des Forums Privatheit Ende 2015 beschäftigt, der jetzt endlich im Konferenzband erschienen ist. Wir beschäftigen uns darin mit der Frage, wie sich die Paradigmen der Informationstechnologie seit der Entstehungszeit des deutschen Datenschutzrechts verändert haben und unter welchen Bedingungen Persönlichkeitsrechte im Zusammenhang mit der Datenverarbeitung heute geschützt werden sollen.

Der Datenschutz hat seine Wurzeln in den 1970er und 1980er Jahren. Das vorherrschende Verarbeitungsparadigma der EDV, wie man die IT damals nannte, war das der Datenbank. Darauf sind die Regeln des BDSG erkennbar zugeschnitten; sie geben der Datenerfassung und -verarbeitung ein Gerüst aus expliziten Transaktionen zwischen Betroffenen und verarbeitenden Stellen, mit denen die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen.

Heute prägen andere Paradigmen die Informationstechnik: die allgegenwärtige Vernetzung, die eine detaillierte Kontrolle durch explizite Transaktionen unpraktikabel macht, und das maschinelle Lernen, welches das Verständnis der Verarbeitungsvorgänge und die Einflussnahme darauf erschwert. Die Vorstellung einer expliziten Datenerhebung nebst informierter Einwilligung passt deshalb nicht mehr zur Technik und ihren vielfältigen Anwendungen.

Wir haben die neuen Bedingungen in eine Emissionsmetapher gepackt: Jeder von uns sendet fortlaufend Daten aus, die sich im Netz verbreiten und dort von verschiedenen Akteuren aufgefangen und verarbeitet werden, vergleichbar der Art und Weise, wie sich Licht von einer Lichtquelle im Raum ausbreitet. Das schließt Eingriffe nicht aus, aber sie müssen auf diese Verhältnisse zugeschnitten sein. Eine umfassende Lösung dafür können wir nicht präsentieren, aber wir diskutieren einige Ansätze.

Der ganze Beitrag:

Sven Türpe; Jürgen Geuter; Andreas Poller: Emission statt Transaktion: Weshalb das klassische Datenschutzparadigma nicht mehr funktioniert. In: Friedewald, M.; Roßnagel, A.; Lamla, J. (Hrsg.) (2017): Informationelle Selbstbestimmung im digitalen Wandel. Wiesbaden: Springer Vieweg DOI: 10.1007/978-3-658-17662-4_14, © Springer. [BibTeX]

What the Cypherpunks Got Wrong

Cypherpunk ideas have a long legacy and continue to influence how we are discussion matters of security and privacy, particularly in the relationship between citizens and governments. In a nutshell, cypherpunks posit that we can and should keep government intervention minimal by force-protecting our privacy by means of encryption.

Let us begin with what they got right:

“For privacy to be widespread it must be part of a social contract.”

 (Eric Hughes: A Cypherpunk’s Manifesto)

Social contracts are the basis of every society; they define a society and are represented in its formal and informal norms. Privacy is indeed a matter of social contract as it concerns very fundamental question of what the members of a society should know about each other, how they should they should learn it, and how they may or may not use what they know about others.

Privacy is not merely a matter of hiding information so that it cannot be found. The absence of expected features or utterances carries information, too. Some societies, for example, expect their members to actively demonstrate their allegiance. Members of such a society cannot merely hide what they think, they also have to perform their role as expected if they have no desire to become a leper.

What the cypherpunks got entirely wrong was their conception of social contracts and the hope that cryptography could be the foundation upon which they, the cypherpunks, would build their own. Cypherpunks believe that cryptography would allow them to define their own social contract on top of or next to the existing ones. This has not worked and it cannot work. On the one hand, this is not how social contracts work. They are a dimension of a society’s culture that evolves, for better or worse, with this society.

On the other hand, cryptography–or security technology in general–does not change power relationships as much as cypherpunks hope it would. Governments are by definition institutions of power: “Government is the means by which state policy is enforced.” Cypherpunks believe that cryptography and other means of keeping data private would limit the power of their governments and lay it into the cypherpunks’ hands. However, the most fundamental power that any working government has is the power to detain members of the society it is governing.

In an echo of cypherpunk thinking, some people react to an increased interest of the U.S. Customs and Border Protection (CBP) in travelers’ mobile devices with the suggestion to leave those devices at home while traveling. After all, the CBP cannot force you to surrender what you do not have on you, so the reasoning. This thinking has, however, several flaws.

First, from a security point of view, leaving your phone at home means to leave it just as unattended as it would be in the hands of a CBP agent. If the government really wants your data, nothing better could happen to them than getting access to your phone while you are not even in the country.

Second, the government is interested in phones for a reason. Cryptography and other security mechanisms do not solve security problems, they only transform them. Cryptography in particular transforms the problem of securing data into a problem of securing keys. The use of technology has evolved in many societies to the point where our phones have become our keys to almost everything we do and own online; they have become our primary window into the cloud. This makes phones and the data on them valuable in every respect, for those trying to exert power as well as for ourselves. You lose this value if you refrain from using your phone. Although it seems easy to just leave your phone at home, the hidden cost of it is hefty. Advice suggesting that you do so is therefore not very practical.

Third, this is not about you (or if it is, see #1 above). Everyone is using mobile phones and cloud services because of their tremendous value. Any government interested in private information will adapt its approach to collecting this information to the ways people usually behave. You can indeed gain an advantage sometimes by just being different, by not behaving as everyone else would. This can work for you, particularly if the government’s interest in your affairs is only a general one and they spend only average effort on you. However, this same strategy will not work for everyone as everyone cannot be different. If everyone left their phones at home, your government would find a different way of collecting information.

By ignoring a bit of context, cypherpunks manage to arrive at wrong conclusions from right axioms:

“We cannot expect governments, corporations, or other large, faceless organizations to grant us privacy out of their beneficence.”

“We must defend our own privacy if we expect to have any.”

(Eric Hughes: A Cypherpunk’s Manifesto)

This is true, but incomplete. Power must be contained at its source (and containment failures are a real possibility). Cryptography and other security technology does not do that. Cryptography can perhaps help you evade power under certain circumstances, but it will by no means reverse power relationships. What you really need is a social contract that guarantees your freedom ad dignity.

 

(Expanded version of a G+ comment)

 

Re: Offener Brief zu DNA-Analysen in der Forensik

Mahnungen vor dräuenden Gefahren verkaufen sich immer, sind doch vorhergesagte Probleme nie auszuschließen, ohne dass man ein Risiko eingeht und etwas ausprobiert. So lässt sich beliebig lange spekulieren, was alles passieren könnte, wenn man täte, was man wegen der Risiken besser bleiben ließe. Als neuester Gegenstand solcher „kritischen“ Betrachtungen bietet sich die Forderung nach einer Ausweitung der zulässigen DNA-Analysen in der Polizeiarbeit an. Folgerichtig haben Sozialwissenschaftler einen Offenen Brief zu DNA-Analysen in der Forensik verfasst der zur Vorsicht mahnt und seine Autorinnen als unverzichtbare Expertinnen anbietet. Der Tenor: Erweiterte DNA-Analysen seien viel zu kompliziert als dass man einfache Polizisten unbegleitet mit ihren Ergebnissen arbeiten lassen dürfe. Am Ende steht wenig mehr als die Schlussfolgerung, dass es zu Fehlern kommen könne. Dies jedoch ist eine banale Aussage: Fehler sind in der Polizeiarbeit Alltag und das System aus Gesetzgebung, Polizei und Justiz kann damit gut umgehen. Selbstverständlich muss man die Auswirkungen neuer Methoden betrachten, aber zur Panik gibt es keinen Anlass. Unser Rechtsstaat irrt sich recht zuverlässig zugunsten der Verdächtigen und die Forensiker wissen selbst ganz gut, wo die Grenzen der verschiedenen Analyseverfahren liegen. Unschätzbare Risiken können wir jeder Technik unterstellen, das hilft nur niemandem.

 

Lernmaschine

Vor vier Jahren schrieb ich Datenkrake Google, weil ich die landläufige Vorstellung von Google als einer großen Datenbank für unpassend hielt. In Wirklichkeit, so meine These, sei maschinelles Lernen der Kern von Google. Inzwischen gibt es daran nicht mehr viel zu zweifeln. Google hat mit AlphaGo Aufsehen erregt, einer KI, die menschliche Go-Meister schlägt. Mit Tensor Flow stellt Google eine KI-Bibliothek als Open Source bereit. Vor zwei Wochen wurde bekannt, dass man sogar spezielle Hardware für Deep-Learning-Anwendungen entwickelt hat: Tensor-Prozessoren, auf denen AlphaGo seine Berechnungen ausführte. Dazu passend hat Google gerade das Startup Nervana übernommen, das ebenfalls optimierte Hardwarearchitekturen für das maschinelle Lernen entwickelt hat.

Das kann in diesem Tempo noch eine Weile weitergehen. Halten unsere Debatten mit der Entwicklung Schritt?

Unexpected Moves

When AlphaGo played and won against Sedol, it made innovative moves not only unexpected by human experts but also not easily understandable for humans. Apparently this shocked and scared some folks.

However, AI coming up with different concepts than humans is nothing new. Consider this article recounting the story of Eurisko, a genetic programming experiment in the late 1970s. This experiment, too, aimed at competing in a tournament; the game played, Traveller TCS, was apparently about designing fleets of ships and letting them fight against each other. Even this early, simple, and small-scale AI thing surprised human observers:

“To the humans in the tournament, the program’s solution to Traveller must have seemed bizarre. Most of the contestants squandered their trillion-credit budgets on fancy weaponry, designing agile fleets of about twenty lightly armored ships, each armed with one enormous gun and numerous beam weapons.”

(G. Johnson:
Eurisko, The Computer With A Mind Of Its Own)

Keep in mind there was nothing scary in the algorithm, it was really just simulated evolution in a rather small design space and the computer needed some help by its programmers to succeed.

The Eurisko “AI” even rediscovered the concept of outnumbering the enemy instead of overpowering him, a concept humans might associate with Lanchester’s models of predator-prey systems:

“Eurisko, however, had judged that defense was more important than offense, that many cheap, invulnerable ships would outlast fleets consisting of a few high-priced, sophisticated vessels. (…) In any single exchange of gunfire, Eurisko would lose more ships than it destroyed, but it had plenty to spare.”

(G. Johnson:
Eurisko, The Computer With A Mind Of Its Own)

Although Eurisko’s approach seemed “un-human”, it really was not. Eurisko only ignored all human biases and intuition, making decisions strictly by cold, hard data. This is a common theme in data mining, machine learning, and AI applications. Recommender systems, for example, create and use concepts unlike those a human would apply to the same situation; an article in IEEE Spectrum a couple of years ago (J. A. Konstan, J. Riedl: Deconstructing Recommender Systems) outlined a food recommender example and pointed out that concepts like “salty” would not appear in their models.

Transparency and auditability are surely problems if such technology is being used in critical applications. Whether we should be scared beyond this particular problem remains an open question.

 

(This is a slightly revised version of my G+ post, https://plus.google.com/+SvenT%C3%BCrpe/posts/5QE9KeFKKch)

Besondere Arten personenbezogener Daten

Das Bundesdatenschutzgesetz hebt einige Arten personenbezogener Daten heraus und stellt sie an mehreren Stellen unter einen noch strengeren Schutz. Die Definition:

»Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.« (§ 3 (9) BDSG)

Die Idee dahinter ist so einfach wie plausibel: Datenschutz geht nicht nur selbst aus den Grundrechten hervor, er soll auch vor Eingriffen in andere Grundrechte schützen.

Angela Merkel am Rednerpult auf einem CDU-Parteitag
(Quelle: CDU/CSU-Bundestagsfraktion, CC-BY-SA, https://commons.wikimedia.org/wiki/File:Cdu_parteitag_dezember_2012_merkel_rede_04.JPG)

Was heißt das? Nehmen wir unsere Bundeskanzlerin als Beispiel. Dass sie Deutsche ist, der CDU nahesteht und sich zur evangelischen Spielart des christlichen Glauben bekennt, diese Angaben gehören zu den besonderen Arten personenbezogener Daten. Je nach Auslegung fallen diese Angaben vielleicht sogar hier im Blog unter das BDSG, immerhin ist ein Blog was mit Computern.

Nicht zu den besonderen Arten personenbezogener Daten gehören zum Beispiel ihre  Wohnanschrift oder die Vorratsdaten ihres privaten Mobiltelefons (deren Speicherung  allerdings eine eigene Rechtsgrundlage neben dem BDSG hat).

Ist das eine sinnvolle Risikorientierung des Datenschutzes? Fürs Individuum nicht unbedingt. Welche Daten welche Risiken implizieren, lässt sich im Einzelfall nicht an so einer Grobklassifikation festmachen. Im Fall der Kanzlerin gäbe es sicher so manchen, der sie gerne mal zu Hause besuchen würde (vor ungewollten Besuchen schützt sie freilich der Personen- und nicht der Datenschutz), und wann sie mit wem telefoniert, dürfte so manchen mehr interessieren als ihr religiöses Bekenntnis oder Aspekte ihres Lebenslaufs. Das bleibt so, wenn wir eine weniger im Licht der Öffentlichkeit stehende Person wählen; auch dann korrespondieren die individuellen Risiken nicht unbedingt mit den Datenarten nach BDSG.

Mehr Sinn ergeben die besonderen Arten personenbezogener Daten, wenn wir eine Kollektivperspektive annehmen. Eigentlich möchten wir erreichen, dass bestimmte Arten der Datenverarbeitung gar nicht versucht oder sehr erschwert werden, etwa ein Gesundheitsscoring durch Arbeitgeber als Grundlage für Einstellungs- und Kündigungsentscheidungen. Nicht ohne Grund ähneln die Kategorien aus § 3 (9) BDSG jenen des Antidiskriminierungsgesetzes AGG.

Gesellschaftliche Entwicklungen sind immer mit einem gewissen Konformitätsdruck auf Individuen verbunden. Die Kollektivperspektive gehört deshalb in den Datenschutz; individuelle Rechte sind nur dann etwas wert, wenn man sie auch praktisch ohne Nachteile ausüben kann. Dass sie dort auf den ersten Blick unpassend (und in manchen Ausprägungen paternalistisch) wirkt, liegt an der starken Grundrechtsbetonung. Datenschutz kommt als Grundrecht daher, das ich persönlich in Anspruch nehme. Die kollektive Klimapflege ist Voraussetzung dafür, aber der Zusammenhang ist nicht offensichtlich.

Hintertüren für den Staat

Smartphones und Tablets sind neben vielen anderen Funktionen auch persönliche mobile Datenträger. Für deren Inhalt – Kontakte, Termine, Fotos, Anrufprotokolle, Kurznachrichten und so weiter – interessieren sich naturgemäß auch Strafverfolger. Die Mobilplattformen iOS und Android können gespeicherte Daten verschlüsseln, wie es sich für ein verlust- und diebstahlgefährdetes Gerät gehört. Neuerdings verspricht Apple, selbst keine Daten aus verschlüsselten Geräten auslesen zu können. Google kündigt für die nächste Android-Version an, die Verschlüsselung standardmäßig zu aktivieren und gibt ebenfalls an, über keinen Zugriffsmöglichkeit zu verfügen. Daraufhin melden sich der FBI-Direktor, der US-Justizminister und andere und kochen die alte Diskussion um Hintertüren für die Strafverfolgung neu auf. Ein Aufschrei ist ihnen sicher.

An anderer Stelle sind Hintertüren für staatliche Organisationen üblich und niemanden juckt es: Viele Gebäude verfügen über ein Feuerwehrschlüsseldepot, das der Feuerwehr den Zugang ermöglicht. Technisch handelt es sich um dasselbe Problem und denselben Lösungsansatz mit denselben Risiken wie im Fall der Verschlüsselung. Warum ist die eine Hintertür im Sicherheitskonzept ein Aufreger, die andere hingegen nicht? Bei näherer Betrachtung fallen allerlei Unterschiede auf:

  • Feuerwehr, Gebäudebetreiber und Gebäudenutzer verfolgen gemeinsame Interessen und profitieren von der Lösung. Alle drei Parteien wollen Brände schnell gelöscht und Fehlalarme ohne unnötige Nebenschäden abgestellt sehen. Strafverfolger hingegen sind für die Verfolgten, ob schuldig oder unschuldig, stets ein Gegner und für Dienstanbieter mindestens lästig. Die Krypto-Hintertür schafft keine Win-Win-Situation.
  • Im Fall der Schlüsseldepots wirkt ein weiterer Player, der ein eigennütziges Interesse an optimaler Sicherheit hat: die Versicherer, die weder für Brandschäden noch für Einbrüche mehr als unbedingt nötig zahlen möchten. Sie setzen sich mit handfesten wirtschaftlichen Mitteln dafür ein, dass das Missbrauchsrisiko gering bleibt. Kryptohintertüren könnte man zwar prinzipiell der gerichtlichen Kontrolle unterwerfen, aber den Gerichten fehlt das ökonomische Optimierungsinteresse.
  • Es gibt ein sichtbares und plausibles Risikomanagement. Feuerwehrschlüsseldepots geben bei richtiger Implementierung der Feuerwehr Darmstadt Zugang zu ausgewählten Gebäuden in und um Darmstadt und der Feuerwehr Kassel Zugang zu ausgewählten Gebäuden in Kassel. Ein Secure Golden Key™, wie es in der Neuauflage der Kryptodiskussion heißt, gäbe vermutlich den Strafverfolgungsbehörden mehrerer Länder Zugriff auf alle Geräte der jeweiligen Plattform – man wäre sonst machtlos gegen kriminelle Touristen und im Ausland gekaufte Telefone.
  • Schlüsseldepots werden vorwiegend in öffentlichen und halböffentlichen Gebäuden (Kaufhäuser, Bürogebäude, Industrieanlagen usw.) eingesetzt. Das Reihenhaus von Tante Erna hat keins.
  • Die gewährten Zugangsrechte sind begrenzt. Der Generalschlüssel aus dem Depot öffnet eine definierte Menge von Zugängen; der Safe im Büro gehört nicht dazu. Demgegenüber ermöglicht ein Kryptogeneralschlüssel mit hoher Wahrscheinlichkeit eine Privilegieneskalation, wenn sich damit  Zugangsdaten (neben Passworten zum Beispiel Session-IDs) für weitere Dienste oder Geräte lesen lassen.
  • Die Betroffenen haben subjektiv und objektiv mehr Kontrolle über die Verwendung der deponierten Schlüssel: Das Feuerwehrschlüsseldepot ist gut sichtbar vor Ort installiert, was unbemerkte Zugriffe erschwert. Dass jemand meine Daten entschlüsselt, bekomme ich dagegen nie mit.
  • Der relative Sicherheitsverlust bei Missbrauch ist geringer. Sowohl die Feuerwehr als auch Einbrecher kommen sowieso rein, wenn sie das wirklich wollen und eine Weile Lärm machen dürfen. Ein Schlüssel macht es einfacher, aber selten überhaupt erst möglich. Das ist auch jedem klar. Von verschlüsselten Daten erwarten wir, dass sie ohne Schlüssel so gut wie gelöscht sind.

Hintertüren beziehungsweise Generalschlüssel für den Staat können akzeptabel sein – wenn der Kontext und die Implementierung stimmen. Ob man sie dann auch braucht und haben möchte, ist noch einmal eine andere Frage. Die Notwendigkeit, Beweise mit einem gewissen Ermittlungsaufwand beschaffen zu müssen, statt sie einfach irgendwo auszulesen, kann ein ganz brauchbarer Kontrollmechanismus sein.