… sagt VW-Chef Martin Winterkorn. Gemeint sind jene Daten, welche die Fahrzeuge von VW heute und zukünftig produzieren, wenn die Kunden sie benutzen. Diesen Anspruch leitet er zum einen daraus ab, dass man damit hervorragende Geschäfte machen könnte, z. B. den besten Wetterdienst der Welt aufbauen. Zum anderen wären die Daten bei den Autobauern besonders sicher. Angesichts der Tatsache, dass immer öfter Autos gehackt werden, weil die Hersteller den Datenverkehr zwischen dem Öffnungssender und dem Fahrzeug oder auch den Datenverkehr innerhalb des Fahrzeugs unverschlüsselt senden, ist das eine durchaus kühne Behauptung. Und angesichts der heterogenen und teils veralteten IT-Systeme der Hersteller eine freche noch dazu. Da kauft man sich ein Fahrzeug und der Hersteller ist der halsstarrigen Meinung, die Daten, die man damit produziere, gehören ihm? Das ist aber gar nicht der Punkt. Der liegt viel tiefer in der aktuellen Datenschutzdiskussion vergraben, als man an der Oberfläche sehen mag. Dazu ein paar vielleicht kontroverse Gedanken.
„Die Daten gehören uns“
Sag doch mal laut, dass Datenschutz in Deutschland möglicherweise leicht übertrieben gehandhabt wird. Oops, das würde einem sicherlich von vielen Seiten heftige Kritik einbringen. Politiker, Datenschützer und die Medien werden nicht müde, uns einzubläuen, wir hätten vor den Datensammlungen von Google, Facebook und Co. Angst zu haben.
Die deutschen Autobauer, die selbst ernannten zukünftigen Eigentümer unserer Bewegungsdaten, beeilen sich auch, zu versichern, dass man dort keinesfalls Daten an Google weitergeben wolle. Vielleicht in der Hoffnung, dass man damit die Gemüter beruhigen und von eigenen Sicherheitsproblemen ablenken könne? Per Umfrage lässt sich dies bei Bedarf auch schnell und leicht bestätigen: Wer würde schon auf bewusst oder unbewusst gelenkte Fragen wie „Ist es Ihnen recht, dass Google alles über Sie weiß?" oder „Sind Sie damit einverstanden, dass Facebook alles sammelt, was Sie im Netz tun, und an die Werbeindustrie weitergibt?" mit einem Ja antworten? Erst kürzlich war in einer Frage eines renommierten Instituts sogar das Wort „Datenkrake“ mit in die Frage verbaut. Alles neutral und gewissenhaft von Praktikanten erstellt? Eines haben fast alle die Studien, Berichte und Panikartikel gemeinsam: Die Fragenden haben in Wahrheit nur wenig Ahnung, worüber sie da sprechen. Selbst offizielle Datenschutzbeauftragte sind der Meinung, Google kenne und speichere unser aller Namen und Adressen und ordne diese unserem Interessenprofil zu. Und das ist auch verständlich. Der Nicht-IT-Kundige argwöhnt mit laienhaftem Verständnis (daran ist nichts Ehrenrühriges!) natürlich, dass es für eine Maschine ein Leichtes sei, z. B. aus Mails oder anderen Daten echte Adressen, das Geschlecht oder die wahren Namen zu generieren. Abgesehen davon, dass dies alles andere als trivial ist, stünde darüber aber noch eine viel wichtigere Frage: wozu? Wozu braucht Facebook unsere wahren Adressen? Die Geoposition? Ja. Auch, wo wir uns häufig aufhalten – aber ist es relevant, ob das unsere Wohnung, die der Eltern oder der Arbeitsplatz ist? Plant man in ferner Zukunft, wenn das Netz mal down wäre, uns Briefe zu schicken?
Unbedingt Adressen, Namen und möglichst viele persönliche Daten haben zu wollen, ist purste Old Economy. Zielgerichtete Werbung wird heute elektronisch zugeteilt, einer ID. Ob diese ID nun per Einloggen in einen Account oder per Cookie erkannt wird, ist dafür eigentlich unerheblich. Namen und postalische Adressen oder gar Geburtsdaten spielen bei dieser Art der Werbung gar keine Rolle. Die Werbung soll an den richtigen Stellen zum passenden Zeitpunkt erscheinen – und nicht irgendwann in einem Briefkasten. Von solchen Überlegungen müssen wir natürlich die unseriösen Firmen und vor allem die Adresshändler ausnehmen, denn deren Geschäftsmodell ist es ja, uns unter Vorspiegelung falscher Tatsachen (ein Gewinnspiel – Yeah!) Adressen abzutrotzen und sie weiterzuverkaufen. An die Old Economy.
Kennt Google das Geschlecht und unser Alter? Das kann man leicht unter www.google.com/ads/preferences nachsehen. Nur am Rande sei vermerkt, dass die Datenschutz-Kassandrarufer oft noch nicht mal wissen, dass diese Art gesammelter Profile für den Nutzer nicht selten, wie im Beispiel bei Google, offen, transparent und veränderbar einzusehen ist. Bei Google sehe ich z. B. in meinem Profil, dass mein Alter zwischen 25 und 35 Jahren läge (Abbildung 1). Hahaha – falsch, dummes Google! So was von falsch! Wie blöd bist du denn? Wer mein Bild im Editorial anschaut, erkennt zu meinem Leidwesen unschwer, dass diese Zeitspanne schon länger hinter mir liegt. Aber halt. Wie kommt Google bloß auf solch eine falsche Zuordnung?
Zunächst erkenne ich hier recht gut, dass die Angstmachlobby offenbar unrecht hat. Nein, Google kennt mein wahres Alter nicht. Aber warum bin ich dann um die 30 Jahre alt und männlich? Das Geschlecht hatte ich nirgends angegeben. Ganz einfach: Weil ich mich im Netz offenbar so verhalte. Der Maschine ist es piepschnurzegal, wie alt ich tatsächlich bin. Ich kenne mehrere weibliche Nutzer, die Informatik studieren und bei denen im Profil als algorithmische (!) Vermutung tatsächlich „männlich“ steht. Maschineller Chauvinismus? Nein, auch hier geht es rein um das Verhalten. Und eine sehr technikaffine Frau interessiert sich wahrscheinlich eher für Dinge, die viel häufiger von Männern nachgefragt werden. Dabei geht es den Maschinen nicht darum, (auch politisch) korrekt in die richtige Geschlechterkiste zu greifen. Es geht darum, den Werbetreibenden zu helfen, wenn sie ihre Werbung noch immer nach altem Denkmuster primär an Frauen oder Männer in einem bestimmten Alter (Old-Economy-Denke) ausliefern lassen wollen. Eigentlich genial – statt tumb auf das tatsächliche Alter zu schielen, versuchen Algorithmen, die wirklich „richtigen“ Nutzer zu ermitteln. Und wenn ein Werbetreibender für seine SSD-Festplatten primär Männer im Alter „von bis“ als Zuordnungskriterium (vulgo: „Targeting“) festlegt, teilt die Maschine das sehr viel besser über errechnete Wahrscheinlichkeiten zu – und sicherlich nicht nach eins oder null für „männlich“ oder „weiblich“, sondern vielleicht in einer Ausprägungsausdehnung von z. B. 1-100. Und unsere technikaffine Frau freut sich aller Wahrscheinlichkeit nach sogar, passendere Werbung zu bekommen, als das die alte Werbeindustrie mit ihrer Schubladendenke leisten könnte: Frauen bekommen Windelwerbung, Männer die für Bohrmaschinen. Das ist nicht nur klischeehaft, es ist gemessen an den heutigen Möglichkeiten schlicht dumme Geldverschwendung und ja, auch belästigend. Viele von uns haben eigentlich gar nichts gegen Werbung. Nur das dämliche, breit angelegte Überschütten mit unpassenden Dingen mögen wir so gar nicht.
Dieser kleine Gedankenausflug zeigt, dass die althergebrachten Klassifizierungen von Menschen für die New Economy völlig irrelevant sind. Einem Online-Player reicht in der Regel eine Mailadresse, um mit einem Kunden zu kommunizieren. Datenschützer setzen die oft gleich mit der postalischen Adresse. Dazwischen liegt aber ein großer Unterschied! Wer meine echte Adresse hat, kann morgen bei mir vor der Tür stehen und für den Fall, dass ich es mit bösen Menschen zu tun habe, fühle ich mich sicher unwohl. Hat ein russischer Hacker meine Mailadresse (nicht den Zugang zum Mailkonto wohlgemerkt), dann schlafe ich dagegen durchaus noch ruhig ein.
„Virtuelle vs. reale Adresse – alles über einen Kamm scheren?“
Die oft genauso leidenschaftlich wie fachlich nicht selten uninformiert diskutierenden Datenschützer argumentieren, dass man schließlich nicht wüsste, ob Unternehmen wie Google nicht doch Namen und Adressen sammeln. Heimlich. Klar weiß man das nicht. Abgesehen von dem fehlenden Sinn dahinter – siehe oben: Wäre das für die Unternehmen nicht ein großes Risiko? Man „generiert“ irgendwie aus Mails den Klarnamen und weitere persönliche Daten und speichert sie einfach ab, ohne sie wirklich zu brauchen. Was würde passieren, wenn diese Daten missbraucht würden? Wenn öffentlich würde, dass dies passiert ist? Wenn ein ehemaliger Mitarbeiter „auspackt“ und sich nicht an die angedichteten ominösen Schweigegelübde hält, die ja auch immer wieder laut herbeispekuliert werden? Nun ist die Tatsache, dass wir davon noch nichts erfahren haben, kein Garant für die Richtigkeit der Sinnlosigkeit der Speicherung solcher wirklich persönlichen Daten. Umgekehrt erscheint es doch recht unwahrscheinlich, in Zeiten von Whistleblowern derartig brisante Daten in großem Stil zu erzeugen (jemand muss das ja auch programmieren und warten) und so heimlich zu speichern, dass es niemand außerhalb je erfahren wird.
Und dann sind da noch die Nutzer. Sie, ich, der, der Ihnen beim Lesen gerade über die Schulter schaut, und all die anderen. Denen ist das hochgepushte Thema offenbar Mett- und Leberwurst. Ich mag passende Werbung, und wenn ich meinen Facebookstream aufmache, finde ich häufig Themen, die mich interessieren. Wenn ich mir das alles selbst aus dem Web klauben müsste? Wie überhaupt? Meine Freunde sind meine Crowd und die graben Sachen aus, die ich (nicht immer, aber genügend oft) hilfreich finde, von denen ich lernen kann. Die Datenschützer schleudern mir entgegen, dass ich dafür mit meinen Daten bezahle. Das wusste aber auch mein Großvater schon, dass nichts im Leben umsonst ist. Ich gehe den Deal trotzdem ein. Und das tun offenbar sehr viele Menschen. Sie nutzen völlig kostenlos grandiose Plattformen, um mit anderen Menschen zu interagieren. Und schon schreit eine Gruppe Volkserzieher wieder: „Nein! Es ist eben nicht kostenlos! Du bezahlst mit Deiner Privatsphäre!" Was für eine Überstrapazierung des Wortes „bezahlen“ und was für ein völliges Missverständnis der eigentlichen Bedeutung des Wortes „kostenlos“!
Eine Frage der Datenschützer muss uns aber wirklich im Kopf rumspuken. Was ist, wenn diese unsere Daten missbraucht werden? Und gehen wir mal davon aus, dass dann auch tatsächlich eine Zuordnung realer Personen zu IDs gemacht wurde oder wird. Doch was ist überhaupt ein Missbrauch solcher Daten? Dass uns jemand Geld vom Konto klaut? Ja, das wäre schlimm und auch böse. Dass uns jemand ungefragt Werbepost schickt? Oh ja, meine Papiertonne findet das auch böse, weil sie diesen Mist jeden Tag schlucken muss, und ich, weil ich dafür an die Gemeinde Abfallgebühren bezahlen muss – und nicht zu knapp (allerdings hab ich bisher nur Werbemist von Old-Economy-Unternehmen bekommen, weder Facebook, Google, Pinterest, Amazon noch sonst ein Online-Shop hat mich je mit physischem Werbeabfall belästigt).
„Meine Papiertonne ist voll von persönlich adressiertem Werbemüll der Old Economy.“
Apropos Amazon: Da könnte sich doch sicher Jeff Bezos (der CIO) jederzeit mein Einkaufsprofil ansehen, wenn er Lust darauf hätte. Oder ein Mitarbeiter bei Visa sieht sich an, wo ich letzten Monat eingekauft habe, wo ich wann war und wie viel Geld ich ausgegeben habe. Er könnte bei Restaurantrechnungen hochrechnen, wie viele Leute ich bewirtet habe. Und mein Mobilfunkbetreiber? Was könnte dort jemand alles sehen und über mich in Erfahrung bringen? Und wenn ich so eine PayGag-Karte nutze? Mein Gott, da könnte jemand sehen, wann ich vielleicht Kondome gekauft habe, dass ich neun Monate später Windeln gekauft habe, und sofort schlussfolgern, dass ich vielleicht zu doof war, die richtig zu benutzen? Alles mehr oder weniger bedenklich, und je mehr man zu verbergen hat oder verbergen will, desto unwohler fühlt man sich dabei. Die Alternative ist natürlich, solche Dienste einfach nicht zu nutzen. Klar, das ist leicht gesagt. Aber ist das wirklich schon der Kern des Problems? Nein, noch immer nicht.
Vor wem haben wir eigentlich Angst?
Dass Unternehmen unsere Daten aufzeichnen, mag uns nicht passen – andererseits wird das in der heutigen Zeit wohl keine Magengeschwüre mehr bei den Kunden verursachen. Warum haben wir dann trotzdem Angst vor größeren Datensammlungen? Vor wem eigentlich? Wer erscheint uns da dubios, wer ist der wahre Sammelwütige? Und warum? Wer will uns wirklich überwachen? Jetzt kommen wir dem Problem vielleicht etwas näher.
Haben wir vielleicht gar am Ende Angst vor dem Staat? Der findet ja alles interessant, was wir tun, und möchte am liebsten auch auf alles live Zugriff haben. Auf unsere Bankkonten? Klar, kein Problem. Gesetz gemacht, nachgeguckt – die Anzahl der Zugriffe staatlicher Stellen auf unsere Konten hat sich im letzten Jahr gleich mal verdoppelt. Das Finanzamt würde wahrscheinlich am liebsten präventiv unsere Smartphones anzapfen, um den Generalverdacht der Steuerhinterziehung bei Bedarf zu bestätigen und am besten auch gleich aus dem Telefonat mit Tante Helga nachzuweisen. Und vergessen wir nicht, dass eben erst in Europa und bei uns diverse Gesetze auf den Weg gebracht wurden, um interessante Datendrehscheiben, bei denen genügend Daten anfallen, zu zwingen, diese präventiv für den staatlichen Zugriff aufzuheben. Man weiß ja nie, wann man das rückwirkend mal brauchen kann.
Das Recht auf Aussageverweigerung bei einer Beschuldigung? Kann so bleiben, denn auf unsere Aussagen sind die Behörden gar nicht mehr angewiesen. Wo wir wann waren, was wir getan haben, in welcher Millisekunde wir gebremst haben oder ob wir in Zürich vor einer Schweizer Bank ein Parkticket per SMS bezahlt haben – all das lässt sich bequem und ohne das Wissen des Betroffenen rekonstruieren. Das Auto wird als Zeuge geladen. Ein Datenschutzbeauftragter machte mich einmal darauf aufmerksam, dass die NSA Vollzugriff auf meine Daten hätte, wenn ich sie bei Google speichere. Mensch klar, ich Vollpfosten, dass mir das nicht selbst eingefallen ist! Da würde ich gern einhaken. Werft Steine nach mir, aber das mit der NSA wäre mir vergleichsweise egal – unabhängig davon, ob die nun tatsächlich Zugriff haben oder nicht. Sollen die doch meine Mails lesen. Bombe! Hahaha … Aber bei deutschen Behörden wäre mir da schon irgendwie mulmiger. Nicht, dass ich etwas zu verbergen hätte. Aber dass eine hiesige Behörde einfach alles nach Belieben nachsehen könnte? Jemand Fremdem im fernen Australien erzählen wir wahrscheinlich lieber persönliche Dinge als dem Nachbarn nebenan.
„Ihr Auto wurde als Zeuge geladen!“
Das würde ja aber bedeuten, ich wäre dann tatsächlich ein Vollpfosten, wenn ich meine Daten (jeglicher Art) hier bei deutschen Unternehmen speichern würde? Da reden uns Politiker, Datenschutzbeauftragte und die Werbung ein, der Standort Germany sei sehr viel sicherer vor Fremdzugriff, weil die Gesetze hier sehr viel strenger seien. Aua! Auf die Google-Server haben sie keinen Zugriff (außer bei Kapitalverbrechen etc.), aber hierzulande geht das vergleichsweise einfach. Soll ich deshalb alles hier speichern? Sicher vor allen, außer vor dem staatlichen Zugriff?
Irgendwie dreht sich jetzt alles bei mir im Kopf. Die Politiker verabschieden Gesetze, dass Unternehmen möglichst alles präventiv speichern sollen, nennen es Vorratsdatenspeicherung und wollen die Zugriffe technisch sogar so gestalten, dass nicht mal die Unternehmen mitbekommen, wenn sie, die staatliche Organe, darauf zugreifen. Gleichzeitig schreien alle Zeter und Mordio, wenn der Datenschutz nicht gewährleistet ist – was man vor allem auf die USA projiziert und gern auch auf Google, Facebook und Co.
Alle sollen sich an den Datenschutz halten, aber wenn schon gesammelt wird, möchte der Staat aber bitte Zugang. Darf mir das irgendwie Angst machen? Klar, es geht auch darum, schwere Verbrechen zu vermeiden oder zu ahnden. Leider wird das nach einem einfachen Prinzip immer mehr aufgeweicht: Erst geht es nur um die Terrorabwehr, und wenn wir schon mal dabei sind und Zugriff haben, hängt man den Korb des berechtigten Datenabgriffs Stück für Stück tiefer. Die Daten der Mautbrücken dienen nur der Erfassung von Lkws und der Maut. Hieß es. Natürlich können neben Lkw-Kennzeichen auch Pkw-Kennzeichen erfasst werden. Die Technik wurde damals gleich darauf ausgelegt, noch viel mehr erkennen zu können. Und als kurz nach Errichtung der Kameras ein Mord auf einem Autobahnrastplatz geschah, versuchten die Kriminalbehörden, ob man hier nicht doch ausnahmsweise darauf zugreifen könnte, um herauszufinden, wer zu dem fraglichen Zeitpunkt dort unterwegs war. Das ist durchaus verständlich, und hey – wer würde Nein sagen, wenn man einen Mörder damit dingfest machen kann? Morgen ist es eine Fahrerflucht, übermorgen dann eine Plastiktüte, die jemand unerlaubt aus dem Auto geworfen hat und den man hart dafür bestrafen muss.
„Daten wecken Begehrlichkeiten – vor allem beim Staat!“
Wir erkennen hier zweierlei: Zum einen gibt es ein durchaus verständliches Interesse des Staates, die Einhaltung von Recht und Ordnung zu überwachen. Und in allen Einzelfällen stimmen Bürger gern zu. Umgekehrt wecken Datensammlungen auch immer Begehrlichkeiten. Begehrlichkeiten der werbetreibenden Industrie stören uns da in der Regel nicht so sehr – wenn die ihren Job gut machen, profitieren wir ggf. sogar davon. Die Begehrlichkeiten des Datenzugriffs durch den Staat querbeet über möglichst alles sind da schon ein anderes Kaliber.
Wer schützt uns eigentlich davor? Die Datenschutzbeauftragten? Lachhaft, die haben offenbar noch nicht mal die Kompetenz, der Regierung das Betreiben von Facebook-Seiten zu untersagen. Zumindest ignoriert man deren Hinweise, dass dies nach deutschem Recht nicht legal wäre. Aber ein Gesetz wäre doch bei Bedarf schnell gemacht? Neuerdings gibt’s das per Lobbybestellung im Eilverfahren (siehe das Leistungsschutzrecht). Warum dann nicht ein Merkel-Facebook-Ausnahmegesetz? Aber wir schweifen ab.
Man kann festhalten: Die Unternehmen mögen bitte nur die Daten erheben, die sie benötigen (Datenminimierungsgebot). Für den Staat möge man aber bitte möglichst auch Bewegungsdaten präventiv speichern und Zugriff gewähren, damit er das Tun seiner Bürger besser überwachen und kontrollieren kann. Daten im Ausland zu speichern, ist nicht gut, weil dort der „Datenschutz“ nicht gewährleistet ist. Und weil man dort seitens der Behörden sehr viel schlechter und oft gar keinen Zugriff darauf bekommt. Der Bürger möge sich bitte im eigenen Land und Rechtsraum transparent (auf-)halten. Vor Datenkraken wird gewarnt, für Risiken und Nebenwirkungen lassen Sie sich von Ihrem Datenschützern oder -schutzbeauftragten Angst machen.
Ja, Datenschutz ist wichtig, und wenn man in Deutschland Verstöße ordentlich und spürbar ahnden würde, hätten wir vielleicht auch tatsächlich sicherere Systeme in den Unternehmen. Und wir müssten nicht jeden Tag lesen, wem unsere Daten diesmal abhandengekommen sind. Dazu bräuchten die Kontrollbehörden mehr personelle Ressourcen mit aktuellem Fachwissen und die müssten sie sehr viel besser bezahlen. Bis es so weit ist, hab ich gestrichen die Nase voll von dem unqualifizierten Geplapper darüber, dass man keine ausländischen Plattformen nutzen solle, weil unsere Daten dort nicht sicher seien. Und noch schlimmer finde ich die völlig verfehlte Einschätzung von Managern wie Martin Winterkorn, für deren Produkte wir richtig viel Geld bezahlen und die der Meinung sind, die damit produzierten Daten gehörten ihnen. Da lob ich mir dann doch umgekehrt wieder Facebook, Google, Twitter, Pinterest und wie sie alle heißen. Die geben mir ihre Produkte wenigstens umsonst.
Liebe Politiker: Hört endlich auf zu meckern über Dinge, die ihr noch nicht mal ansatzweise verstanden habt. Schafft lieber bessere Voraussetzungen für innovative Gründungen, statt sie mit immer mehr regulierungswütigen Einschränkungen zu gängeln. Das brauchen wir hier in Deutschland mehr als alles andere, um wettbewerbsfähig zu sein. Ideen hätten wir hier genug, wenn nicht alle mit beiden Beinen auf der Bremse stehen würden. Die anderen Länder runterziehen zu wollen auf unser pingelig kleinteilig bis ins Detail geregeltes Niveau? Glaubt Ihr wirklich, dass wir so wieder den Anschluss kriegen?