Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt. Albert Einstein

Spione, die wir jetzt weniger lieben

Der amerikanische Kongress und der Bundestag möchten die Verantwortlichen von Facebook, allen voran Marc Zuckerberg, vorladen. Wie ein Damokles-Schwert schwebt über Facebook der Verdacht, unmittelbar – mit Werbung, Desinformation oder Manipulation – oder mittelbar die Präsidentschaftswahlen in den USA oder die Bundestagswahlen in Deutschland beeinflusst zu haben.

Am 16. März teilte Paul Grewal, Deputy General Counsel von Facebook, mit, man hätte die Firma Strategic Communication Laboratories (SCL) sowie seine auf politische Datenanalysen spezialisierte Firma Cambridge Analytica von Facebook suspendiert. Mittels einer App „thisisyourdigitallive“, die von rund 270.000 Personen installiert wurde, konnten detaillierte Daten über die Nutzer, ihr Verhalten und ihre Standorte etc. gesammelt und übermittelt werden. Der Aufforderung, diese Daten zu löschen, sind die Verantwortlichen, wobei Facebook Cambridge Analytica Dr. Aleksandr Kogan und Christopher Wylie, den ehemaligen Mitarbeiter von Cambridge Analytica und heute Whistleblower, in einem Atemzug nennt, nicht nachgekommen, weswegen sie ihre Mitgliedschaft im sozialen Netzwerk verloren.

So die Pressemeldung, die der Auftakt zum bisher größten Skandal rund um das soziale Netzwerk Facebook war. Unter dem Hashtag #FacebookGate tauchen immer noch fast täglich neue Fragen und Erkenntnisse auf. Die Zahl der Betroffenen steigt. Android-Nutzer erfuhren, dass ihre Textnachrichten und Anruflisten von Facebook erfasst wurden. Bisher war es Facebook, das entschieden hat, wem gekündigt und wessen Profil gelöscht wird. Nun wird Facebook gekündigt: Unter dem Hashtag #DeleteFacebook versammeln sich viele Prominente, die, wie Tesla-Gründer Elon Musk, ihre Facebook-Profile öffentlichkeitswirksam löschen. Der amerikanische Kongress und der Bundestag möchten die Verantwortlichen von Facebook, den Gründer Marc Zuckerberg und die Geschäftsführerin Sheryl Sandberg, vorladen. Wie ein Damokles-Schwert schwebt über Facebook der Verdacht, unmittelbar, also mit Werbung, Desinformation oder Manipulation, oder mittelbar (indem es Daten zur Verfügung gestellt hat, die Manipulation und Wählerbeeinflussung ermöglicht hätten) die Präsidentschaftswahlen in den USA oder die Bundestagswahlen in Deutschland beeinflusst zu haben.

Die deutsche Justizministerin, Katarina Barley, forderte in ihrer Regierungserklärung, Facebook möge sich erklären, was mit den Daten von 30 Millionen deutscher Nutzer ist, denn das sei eine zentrale Frage des Datenschutzes. Was passiert, wenn sie es erfährt? Gibt es dann gegebenenfalls in Deutschland Neuwahlen? Das steht noch nicht fest. Die Justizministerin möchte sich aber für Datensouveränität einsetzen: Daten seien das Erdöl des 21. Jahrhunderts, sagte sie im Bundestag. Die Nutzer sollten ihre Rechte kennen. Bereits vor knapp einem Jahr forderte das „Forum Netzpolitik“ der SPD Berlin im Positionspapier „Grundsätze für das sozialdemokratische Datenzeitalter“: „Anstatt an einer Regelung des 20. Jahrhunderts festzuhalten und damit immer wieder zu scheitern, muss sich die Politik den neuen Gegebenheiten anpassen.“ Die Selbstbestimmung über eigene Daten sei „notwendiger denn je“ und die bevorzugte Alternative zur Datenvermeidung. Wie aber soll der Nutzer die Entscheidungshoheit über die Verwendung seiner Daten behalten? Mithilfe der „Transparenz“, und zwar der „wirklichen Transparenz“, womit gemeint war: „Die Unternehmen müssen verpflichtet werden, den Nutzer*innen eine Rückmeldung zu geben, welche Daten erhoben werden und was sie mit diesen machen.“ Verständlich und für alle Unternehmen verbindlich: „Der Grundsatz der reinen Datenvermeidung ist für uns überholt.“

So es der Nutzer wollte

Diese und ähnliche Vorschläge lassen aufhorchen. Was folgt daraus, dass der Nutzer „weiß“ (denn jetzt wissen wir es ja), was Unternehmen mit seinen Daten machen? Vorläufig nichts. Es scheint, als liefe es am Ende doch darauf hinaus, dass der Nutzer bitte aufmerksam die AGBs und Datenschutzerklärungen lesen und nicht gleich „Okay“ drücken möchte. Dies würde auch zu der Argumentation von Facebook passen. Derek Scally berichtete in der Irish Times über die Ergebnisse der Audits, welche die irische Regulierungsbehörde Data Protection Commissioner (DPC) bei Facebook durchgeführt hatte – und kritisierte die Behörde scharf. Eine der Erkenntnisse der Audits bei Facebook war, dass die Erfassung von Daten durch Apps von Drittanbietern auf der Basis sogenanntem third-party consent legal sei. Eine Auffassung, die die Regulierungsbehörde offenbar jahrelang mitgetragen hat, obwohl, so Scally, dieses juristische Konstrukt dem EU-Recht unbekannt sei.

Auch wenn der Nutzer nichts davon wusste, dass seine persönlichen Daten von einer App gesammelt wurden, die er nicht installiert hat, um dann von einer Firma verarbeitet und verkauft zu werden, von der er nichts gehört hat, so, nach Auffassung von Facebook, hätte er es wissen müssen. Das würde ganz vorne in der App, gleich am Anfang stehen, teilte Facebook in einem Statement der britischen Tageszeitung The Guardian mit. Und der Nutzer hätte gekonnt, falls er damit ein Problem hätte, dass seine Textnachrichten, Anrufe und weitere Äußerungen über PC und Mobiltelefon erfasst und Facebook mitgeteilt werden, die Default-Einstellung „share“ in seinem Profil ausschalten können.

Blaming the victim

Genau das ist der Grund, warum der Autor von Das Digital und Jurist an dem OII, Viktor Mayer-Schönberger, die Datenschutzgrundverordnung (DSGVO) im Interview mit der Wiener Zeitung nur als einen „halben Schritt voraus“ bezeichnet. „Wir haben gedacht, dass die Betroffenen der beste Weg sind, um den Datenschutz durchzusetzen“, sagte er. Konkret: Datenschutz sollte dadurch gewährleistet werden, „dass Betroffene das Recht haben, der Verwendung ihrer Daten zu einem bestimmten Zweck zuzustimmen“, indem sie Auskunft oder Löschung der Daten verlangen können. „Allerdings zeigt sich, dass – wenn man nicht gerade Max Schrems heißt […] – man sich als Einzelner gegen die großen Datenkraken kaum zur Wehr setzen kann.“ Das Gute an DSGVO sei, dass sie „die Verantwortlichkeit der Datenkraken gegenüber den Datenverarbeitern in den Vordergrund rückt“, doch immer noch würden die Individualrechte „eine große Rolle einnehmen“.

Dies zeigte sich auch dort als unwirksam, wo es auf die Rechteabwägung ankommt. Das Grundrecht eines Einzelnen auf informationelle Selbstbestimmung ist dem wirtschaftlichen Zweck, der Profitorientierung etc., der Konzerne gegebenenfalls unterlegen. „Die Wahrscheinlichkeit, wegen eines Datenschutzvorgehens abgeurteilt zu werden, ist äußerst gering“, wertete die Journalistin Christiane Schulzki-Haddouti in c’t (10/2016) die Wirksamkeit der Strafvorschrift des BDSG, § 44 (bzw. § 43 BDSG (neu) und ab Mai auch Art. 84 DSGVO), aus: „Im Zehnjahresverlauf wird von 52 Tatverdächtigen gerade mal einer am Ende abgeurteilt.“ Die Strafvorschrift „legt die Latte hoch, da [sie] eine ‚vorsätzliche Handlung gegen Entgelt‘ oder in Schädigungsabsicht voraussetzt“. In der Gesetzeskonstruktion würde das Problem liegen: „§ 44 sei kaum geeignet, strafwidriges Unrecht von ordnungswidrigem Verhalten abzugrenzen.“ Das Ergebnis: Die Polizei hätte Tausende von Verdächtigen hinsichtlich von Datenschutzverletzungen ermittelt, nach § 44 verurteilt wurden nicht einmal drei Dutzend, schreibt Schulzki-Haddouti.

Manchmal auch schizo

Den Umgang der Nutzer mit der Selbstbestimmung beschreibt Mayer-Schönberger wie folgt: Zwar würden die Menschen „abstrakt immer mehr Datenschutz verlangen, aber in der konkreten Situation dann einfach auf den ‚OK‘-Button drücken, um Zugang zu bestimmten Datenservices zu bekommen, ohne weiter nachzudenken.“ Für Andrea Nahles sei der Bürger „manchmal auch schizo“, sagte sie auf der Konferenz „Digital Capitalism“ der Friedrich-Ebert-Stiftung: Er würde sich mehr Datenschutz wünschen und werfe doch mit seinen Daten um sich.

Oft fehlen die Alternativen. Datenkraken würden dies mit einem „gedanklichen Trick“ rechtfertigen, erklärte der Silicon-Valley-Aktivist Maciej Ceglowski: „Sie versichern, dass wir unsere Daten frei und im Tausch für wertvolle Dienstleistungen preisgeben. Aber aus dem Überwachungskapitalismus auszusteigen, ist wie auf Strom oder gekochtes Essen zu verzichten. Theoretisch kann man das tun. Praktisch würde es das eigene Leben auf den Kopf stellen.“ Das Beispiel Facebook zeigt, wie sehr der Verbraucher die soziale Teilhabe vor die Kenntnisnahme von unliebsamen und nachteiligen Klauseln stellt. „Auch der mündigste Verbraucher verschließt sich bewusst, um nicht ausgeschlossen zu werden“, kommentierte die Juristin Claudia Otto.

Verhandlungsmöglichkeiten sind derweil offenbar eine Scheinoption: „Niemand kann sich mit Facebook an einen Verhandlungstisch setzen und darüber diskutieren, ob man die Klausel fünf der Nutzer-Vereinbarung streichen und durch eine andere Vereinbarung ersetzen kann“, sagte Mayer-Schönberger der Wiener Zeitung. „Entweder ich akzeptiere die Nutzervereinbarung oder ich nutze die Dienste eben nicht.“ Er fordert vom Gesetzgeber, „verantwortungslose Verwendung von personenbezogenen Daten“ zu verbieten, ähnlich der geltenden Rechtsordnung, die den Verkauf von Organen verbietet, ohne Rücksicht darauf, wie willig oder verzweifelt der Betroffene ist, seine Niere an den Meistbietenden zu veräußern.

KI lernt Datenschutz

Der Staat und die Regulierer können dem Nutzer Instrumente und Technologien an die Hand geben, mit denen er seine Entscheidung für oder gegen eine Einwilligung unterstützen kann. Doch das erfordert die Existenz realer Alternativen. Und das bedeutet, dass, wenn jemand nicht zustimmt, ihm die Nutzung von Diensten oder Produkten nicht verweigert werden darf. Oder der Staat kann selbst die Technologien und Instrumente nutzen, um zu prüfen und zu kontrollieren, ob seine Vorgaben und Verbote eingehalten werden. Im Oktober 2017 stellten sechs Wissenschaftler aus der Schweiz und USA ein Rahmenwerk „Polisis“ vor, das die automatisierte Analyse von Datenschutzerklärungen ermöglicht.

Mit dem Tool PriBot, das für einige Browser frei verfügbar ist, lassen sich nicht nur Privacy Policies auswerten, sondern auch in einer leicht verständlichen Sprache automatisch zusammenfassen und Vergleiche zwischen verschiedenen Produkten, also Apps, anstellen. Das Tool wurde nicht nur entwickelt, um Unternehmen, Nutzern oder Wissenschaftlern dabei zu helfen, mit der Tiefe und Breite der Datenschutzerklärungen klar zu kommen, sondern explizit auch für Regulierer. Man kann mehrere Millionen Nutzer dazu verpflichten, dass jeder einzeln die Nutzungsbedingungen der Websites oder Software studiert, oder man kann sie einmal durch „sachverständige Dritte“ prüfen und eine Empfehlung zur Nutzung abgeben. Warum dürfen die AGBs überhaupt erst Abschnitte enthalten, die offensichtlich gesetzeswidrig sind? Ob dies in Form von Bußgeldern, Sanktionen oder Verbote gegenüber dem Anbieter durchgesetzt wird – oder in Form eines Zertifikats, in dem objektiv Konformität mit den bestehenden Gesetzen bescheinigt wird: Es stehen verschiedene Optionen zur Wahl. „Privacy-One-Pager“, adieu? Nun, mit Polisis kann man ihn jedenfalls, ohne gleich Ausschuss und Unterausschuss zu gründen, einfach automatisch erstellen lassen.

Reguliere – oder du wirst reguliert

Der Lösungsansatz dürfte sich in Abhängigkeit von der tatsächlichen Absicht der Regulierung unterscheiden. Im Zweifel gilt der Satz von Montesquieu, dass, wenn es nicht notwendig sei, ein Gesetz zu machen, es eben notwendig sei, kein Gesetz zu machen. Abhängig davon, ob das Ziel der Regulierung die Verbesserung des Daten- und Verbraucherschutzes für den Bürger sei – oder ob es sich um einen Kreuzzug gegen einzelne Unternehmen handelt, die politisch zu viel Einfluss bekommen und zu mächtig geworden sind und drohen, der Politik überlegen zu sein. „In unserem Versuch, die Welt an Software zu verfüttern, haben Techies den größten Überwachungsapparat der Weltgeschichte erschaffen“, bestätigte Maciej Ceglowski. „Wir als Techies haben eine geladene Pistole herumliegen lassen, in der Hoffnung, dass niemand sie jemals nehmen und benutzen würde.“

Die Regierungen könnten selbst Interesse daran haben, den Status quo aufrechtzuerhalten. Man sei zwar daran gewöhnt, so Ceglowski, zwischen dem privaten und öffentlichen Sektor zu unterscheiden, „aber in der Überwachungswirtschaft gibt es diese Unterscheidung nicht. „Wenn globale Konzerne Daten global verknüpfen, so ist es oftmals rechtlich erlaubt oder wird bewusst nicht geahndet. Wenn westliche Hersteller Überwachungssoftware an beliebige Drittsaaten liefern, so geschieht das vielfach nicht ungeregelt, sondern von Exportgesetzen gedeckt“, schrieb Rainer Rehak im Informatik Spektrum (6/2016). Die aktuelle Situation entstand nicht im regel- und gesetzesfreien Raum, sondern ist „den durchgesetzten, handfesten Interessen der jeweiligen Profiteure“ entsprungen. So bezeichnen Rehak und Scally in der Irish Tribune die Unfähigkeit der Behörden, mächtige Unternehmen daran zu hindern, Datenschutzgesetze zu verletzen, bemerkenswerterweise sogar als „Komplizenschaft“.

Dennoch sei es notwendig, dass Politik involviert ist. „Politik ist es, die uns davon abhält, uns gegenseitig umzubringen“, so Ceglowski. Bisweilen gibt es offenbar Spione, die die Regierungen lieben, und solche, die die Regierungen weniger lieben, bedenkt man, dass bisher als Datenkraken neben Facebook auch Amazon, Apple und Google in einem Satz genannt wurden. Heute fordert bspw. Apple selbst eine schärfere Regulierung. Laut Scally sollte die Botschaft aus Europa an die irische Regulierungsbehörde sein: Reguliere oder du wirst reguliert. Klemme dich daran – oder du wirst festgeklemmt. „Wir sollten […], statt die Technologie als Ursache des Übels zu verdammen, nicht in ihre Apologie verfallen, sondern ganz einfach begreifen, daß die präregulative Ära zu Ende geht“, schrieb Stanislaw Lem in Summa Technologiae.

Der Staat und die Bürger stehen heute einer Übermacht der Techkonzerne gegenüber. Eine Herausforderung, der sich die Regierungen stellen müssen, möglichst ohne dabei der Versuchung zu erliegen, den Staat zu bevormunden. Oder die Wirtschaft. Die Strategie, an erster Stelle den Staat zu stellen, an zweiter die Wirtschaft und an … vierter der Bürger, mag der Sicherheitspolitik und der Überwachung Rechnung tragen, nicht aber der Wiederherstellung einer Machtbalance. „Die Sache des Gesetzgebers ist es, dem Geist der Nation entgegenzukommen, falls dieser nicht im Gegensatz zu den Regierungsprinzipien steht“, riet für einen solchen Fall der Baron de Montesquieu. Dieser kluge Satz passt ganz hervorragend in die heutige Zeit – und Montesquieu hat ihn ganz ohne Google und Facebook gefunden.

Diese Kolumne erschien zuerst in Ihrer BÖRSE am Sonntag.

Lesen Sie auch die neuste Kolumne von Aleksandra Sowa: Das liest die Maschine nicht

Leserbriefe

comments powered by Disqus

Mehr zum Thema: Deutscher-bundestag, Usa,

Debatte

Rede von Netanjahu im US-Kongress

Medium_9ec04685b4

Netanjahus Geschichtsstunde

Bei seiner Rede im US-Kongress zieht Benjamin Netanjahu historische Vergleiche, um vor einem Atom-Deal mit dem Iran zu warnen. Eine konkrete Alternative nennt er nicht. weiterlesen

Medium_c2a59232f5
von Thore Schröder
04.03.2015

Kolumne

Medium_44b6c3f0e4
von Heather De Lisle
26.06.2011
meistgelesen / meistkommentiert