Werbelinks 1

Es passiert grade sehr viel in Sachen Werbung. — also packe ich interessante Links und Schnippsel in mein Blog.

1. Das politische Narrativ ist: Wenn man nur etwas gegen die datenverschlingenden Konzerne aus dem Silicon Valley aktiv wird, ist nicht nur dem Datenschutz gedient, sondern automatisch auch dem Wettbewerb. Doch dies ist falsch und irreführend. Denn grade sind es ja die Konzerne aus dem Silicon Valley, die die Datenhaltung zurückfahren wollen. Gilad Edelman dröselt das bei Wired auf: Antitrust and Privacy Are on a Collision Course

Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.

auf Twitter anmerkt:

(Ihr wollt keine Cookie-Banner für Tweets in Euer Blog einbauen? Link und Screenshot!)

3. Das ist auch den Aufsichtsbehörden in Frankreich aufgefallen. Zwar darf Apple die Datensammlung im Interesse seiner Kunden reduzieren, ist dann aber auch rechenschaftspflichtig, wie Dusan Zivadinovic in der c’t schreibt:

Damit ist der Fall aber noch nicht abgeschlossen. Die Behörde will Apples Datenschutzinitiative näher beleuchten und sicherstellen, dass sie keine „Form der Diskriminierung“ oder gar Selbstbevorzugung darstellt. Apple betonte nach der Entscheidung erneut, dass Datenschutz ein „fundamentales Menschenrecht“ sei. Die ATT-Regeln seien auch für Apple selbst bindend.

4. Parallel hat die Datenaufsichtsbehörde CNIL in Frankreich zum April die Übergangsphase für korrekt gesetzte Cookie mit korrekt erhobenen Zustimmung der Kunden für beendet erklärt und will Verstöße nun endlich verfolgen. Dies ist vermutlich ein Grund, warum Google seine eigenen Cookie-Banner bereits etwas aufgepimpt hat.

Google-Cookiebanner

Die Bons und die Blockchain

Über Jahre habe ich mich lustig gemacht, dass es keine wirklich praktischen Anwendungen für die Blockchain-Technik gebe. Nun gibt es doch einen Use Case — und alle anderen machen sich drüber lustig.

Ihr habt sicher einige der Berichte gesehen. Ab 2020 sollen so ziemlich alle Geschäfte verpflichtend Kassenzettel ausdrucken. Auf Papier! Sogar beim Bäcker!! Wie zurückgeblieben!!! Und dann gab es noch dieses Facebook-Posting der Bäckerei, die mal eben alle Kassenzettel von zwei Tagen aus den Boden ausgeschüttet hat. Da wiehert der Amtsschimmel und der Laie wundert sich.

Bäckerei mit Bons auf dem Fußboden

Was aus unerfindlichen Gründen in all den Berichten nie erwähnt wird: Diese Bons sind nicht einfach nur Kassenzettel. Sie sind die absolut nachvollziehbare Anwendung der Blockchain-Technologie. In etwa wie Bitcoins — nur ausnahmsweise mal sinnvoll angewendet.

Eine Kasse ist ein Computer

Worum geht es? Nun, ich erinnere mich noch an meinen ersten Urlaub in Italien, eine Klassenfahrt. Dort gab es einen winzigen Laden in der Nähe des Strandes, bei dem etwas ganz merkwürdig war. Der Besitzer hatte eine große Registrierkasse neben sich stehen. Wenn wir dort aber ein Brot oder ein Eis kauften, tippte er die Beträge lediglich in einen großen Taschenrechner ein und kassierte den Betrag von uns. Erst Jahre später verstand ich: Das war praktizierte Steuerhinterziehung. Der Ladenbesitzer bezahlte nur Steuern auf die Beträge, die er in die Kasse tippte. Die Einnahmen, die nur im Taschenrechner landeten, waren steuerfrei.

Nun könnte man sich auf den stolz-teutonischen Standpunkt stellen: Ja, so ist das halt im Süden. Bei uns ist das doch etwas ganz anderes. Unsere Ladenbesitzer sind stolz auf ihre Registrierkassen und zahlen absolut korrekt ihre Steuern. Denn die Maschinen sind geeicht — und was gedruckt wird, lässt sich nicht so einfach wieder ausradieren.

Problem daran: Diese Vorstellung wurde zwar auch gerne von der Politik gepflegt, sie entsprach aber absolut nicht der Realität. Gerade im vergangenen Jahrzehnt wurde es immer offensichtlicher: Statt plump an der Registrierkasse vorbei Beträge zu kassieren, gab es einen schwunghaften Handel mit manipulierten oder manipulierbaren Registrierkassen. Auch wenn die Angestellten im Laden den ganzen Tag korrekt und richtige Beiträge eingaben, konnte der Besitzer am Abend mal eben die Kasse umprogrammieren und nach Belieben Buchungen wieder löschen. Folge: Der Umsatz schwindet, der Gewinn noch mehr und damit auch die Steuerlast.

Wirkliche Sorgen mussten sich die Schummler nicht machen. Denn die Methoden wurden immer raffinierter. So wurde etwa 2017 ein professionelles Betrugsnetzwerk abgeurteilt:

Der Saarländer soll die Kassen nebst Software dann 2006 an die Wirte im Saarland geliefert haben. Laut Aussage der Beteiligten lief der Steuerbetrug dann regelmäßig nach dem gleichen Muster ab. Zunächst wurde regulär abgerechnet und gebucht. Anschließend wurde ein Teil des Umsatzes aus der Kasse entnommen und in einen speziellen Tresor gebracht. Einmal im Monat kam dann einer der verantwortlichen Wirte mit dem USB-Stick und rechnete den Umsatz neu aus. Nach Erkenntnis der Ermittler soll der jeweilige Umsatz so in einer Größenordnung von bis zu 15, vielleicht sogar 20 Prozent nach unten korrigiert worden sein.

Die Betrüger hatten eins erkannt: Eine Registrierkasse ist an sich nichts weiter als ein Computer in einer merkwürdigen Bauform. Und wie jeden Computer kann man sie umprogrammieren. Waren die Beträge einmal gelöscht, dann konnte man dem Besitzer in der Praxis fast immer nichts nachweisen. So konnten Steuerfahnder nicht mal die Registrierkassen auf Manipulationen überprüfen — die falsche Software war auf einem externen USB-Stick gespeichert und hinterließ keine Spuren. Der geschätzte Schaden: Zwischen fünf und zehn Milliarden Euro jedes Jahr.

Eine der wenigen Möglichkeiten, den alltäglich gewordenen Betrug zu bekämpfen: Ein Finanzbeamter konnte in den Laden gehen und etwas kaufen. Löschte der Besitzer dann ausgerechnet diese Buchung, war er geliefert. Seine komplette Buchhaltung war als Betrug entlarvt.Erhärtete sich der Verdacht konnte dann das Finanzamt frei schätzen, wie viel Steuern der Geschäftsinhaber wirklich zu zahlen hat. Dann wurde es richtig, richtig teuer. Aber das passierte richtig, richtig selten.

Die Lösung: Stempeln gehen

Was ändert sich also mit der neuen Bon-Pflicht? Schließlich ist es immer noch sehr unwahrscheinlich, dass der Steuerfahnder genau einen Gegenstand kauft, der dann aus der Buchführung verschwindet. Nun: Hier ist der Clou: Die Bons enthalten eine — ich behandele den Begriff hier etwas frei — Blockchain-Signatur! Und damit quasi technologische Zauberkraft!

Aber nein, wie ich bereits einmal dargelegt habe, ist das Grundprinzip der Blockchain eine Art Stempel. Ein Stempel mit einem Kniff. Statt nur eine Quittung einzeln abzustempeln, ist in der Blockchain-Signatur ein kleines Stück von allen vorhergehenden Quittungen enthalten. Sprich: Mit einer Quittung kann man nachweisen, dass die gesamte Buchführung bis dahin in Ordnung war.

Nun — fragen mich so manche — Nun, Torsten, wenn wir eine Blockchain haben, wozu brauchen wir dann noch die Bons? Die Antwort in meiner Metapher ist: Die Blockchain-Technik ist ja nur der Stempel. Wir brauchen immer noch etwas, was wir abstempeln können. Oder eine etwas technisch korrektere Analogie: Bei dem Bon handelt es sich sozusagen um den zweiten Faktor einer Zwei-Faktor-Authentifizierung.

Die Sache funktioniert so: Auch mit Blockchain-Technik könnte ein Besitzer seine Registrierkasse nehmen und sie umprogrammieren. Würde er ein paar Buchungen löschen, ändert sich die Blockchain-Signatur sofort komplett. Das könnte ihm aber egal sein: Das Finanzamt kennt ja nicht die korrekte Signatur. Und da kommen die Bons ins Spiel. Nur wenn jeder Kunde tatsächlich einen Kassenzettel angeboten bekommt, kann der Besitzer seine Buchführung nicht mehr nachträglich ändern. Würde man Bons nur auf Verlangen ausdrucken, hätte es der Ladenbesitzer einfach. Da kaum ein Kunde Bons haben will, bleibt die Buchung so lange korrekt, bis niemand mehr einen Bon haben will. Der Rest ist frei zur Manipulation. Denn die Registrierkasse ist ein Computer und macht, was ihr Besitzer will. So ist es bei Spielekonsolen, so ist es bei Wahlcomputern. Computer sind Computer — auch wenn sie merkwürdig aussehen.

Gibt es denn wirklich keinen anderen Weg als Milliarden Bons auszudrucken? Natürlich gäbe es die. Aber auch die haben ihren Preis. So könnte das Finanzamt fordern, dass alle Buchungen in Echtzeit an den Staat übermittelt werden. Was gar nicht gut für den Datenschutz von uns allen wäre. Eine andere Möglichkeit ist schon im Gesetz vorgesehen: Bons müssen nicht in Papierform übermittelt werden. Stattdessen könnte man sie dem Kunden per E-Mail schicken, etwa auf sein PayBack-Konto buchen oder parallel zu ApplePay und GooglePay direkt ans Handy übermitteln. Dem Bäcker würde das wohl nicht so viel helfen, aber würden zum Beispiel die Supermärkte in die Gänge kommen, wären die Mehr-Bons ganz schnell eingespart. Und wenn wenigstens vier Milliarden pro Jahr dabei rausspringen, ist es für den Steuerzahler ein sehr gutes Geschäft. Danke, Merkle Tree.

PS: Hier noch ein paar Antworten auf noch offene Fragen.

Brave: Push-Nachrichten für Cents

Ex-Mozilla-Manager und JavaScript-Erfinder Brandon Eich will mit seinem chromium-basierten Browser Brave das Web umkrempeln. Brave hat nicht nur einen Werbeblocker integriert, sondern soll auch über eine Crypto-Währung einen neuen privatsphäre-schonenden Werbemarkt aufbauen. Im Prinzip ähnelt Brave hier dem Geschäftsmodell von Adblock Plus: Der Werbeblocker verdient sein Geld mit Werbung. Dabei sollte Brave jedoch etwas weiter gehen. So beschrieb CNet.com vor drei Jahren den Plan:

Brave blocks ads from websites and eventually will insert new ads targeted toward user interests by software running in the browser itself. Those ads won’t affect page performance or come with privacy concerns. Brave will share ad revenue with publishers — and with the people using its browser.

Vor ein paar Wochen begann nun Brave in der Desktop-Version Werbung auszuliefern, nun zog die Mobil-Version nach. Die ursprünglichen Pläne musste Eich deutlich reduzieren. So hat er offenbar zu wenig Unterstützung von Publishern gefunden, die ihre existierende Werbung durch Brave-Werbung ersetzen lassen wollen. Einfach ohne Zustimmung die Werbung auszutauschen dürfte teure Klagen nach sich ziehen.

Also geht Brave den anderen Weg: Auf dem Desktop liefert der Browser Werbung in Form schmuckloser Popup-Nachrichten am unteren Bildschirm, auf Android-Smartphones erscheint die Werbung in Form von Push-Notifications. Da diese Werbung nicht auf den Websites selbst erscheint, muss Brave den Publishern auch nichts von den Einnahmen abgeben.

Problem daran: Brave würde die Publisher sehr gerne einbeziehen. Das anvisierte Geschäftsmodell basiert darauf, einen Werbemarkt auf der Kunstwährung BAT aufzubauen. Werbetreibende kaufen Werbeflächen mit BAT, Publisher und Nutzer bekommen BAT ausgezahlt. Brave könnte dann über Währungsgeschäfte ihr Geld verdienen.

In dem Browser ist auch ein Flattr-haftes Vergütungssystem eingebaut. Fernziel: In Zukunft könnten sogar Abogebühren in BAT abgerechnet werden. Ein Milliardengeschäft, bei dem Brave nur die Hand aufhalten müsste.

Momentan sieht es also so aus: Nutzer bekommen für jede aufpoppende Werbung ein paar Cents in der Kunstwährung auf ihre im Browser installierte Wallet geschrieben. Dieses Geld wird aber in der Voreinstellung direkt weiterverteilt an Publisher, die sich an dem BAT-Programm beteiligen. Ich habe aber nur zwei Medienseiten gefunden, bei denen das der Fall ist: The Guardian und die LA Times. Bei allen anderen Websites steht „not yet verified“ – sprich: Die Betreiber finden Brave nicht mal relevant, interessant oder sympathisch genug, um Geld von ihnen anzunehmen. Und das bedeutet: Viel zu wenig Geld kommt rein und viel zu wenig Geld geht raus.

Also versucht Brave den Markt anzukurbeln. Den Usern wird immer mal wieder ein Betrag in BAT auf die Wallet aufgebucht. 5 BAT hier, 10 BAT da. Doch das Geld kann ich mir als User nicht in Dollar oder Euro auszahlen lassen – die Funktion fehlt in Brave wohlweislich. Vermutlich kann ich irgendwie versuchen, die BAT aus meinem Browser herauszueisen — aber bei den geringen Beträgen ist der Aufwand wohl kaum gerechtfertigt. Die Beträge reichen aber aus, um einen Markt zu simuliert, in dem Brave-Nutzer eine nachhaltige Einkommensquelle darstellen, weil diese Geld einzahlen oder durch freiwillig angesehene Werbung relevante Beträge verdienen. Würden Brave sein Pseudo-Geld nicht verschenken, gäbe es wohl kaum Geschäftsaktivität. Die ersten Werbekunden sind folgerichtig auch meist irgendwelche Kleinfirmen, die im Markt der Pseudowährungen unterwegs sind.

Alles in allem: Ich sehe hier zwar eine Strategie, ein auf Spekulationsgewinnen aufbauende Geschäftsmodell für Brave zu etablieren. Was ich nicht sehe: Einen gangbaren Weg zu besserer und privatsphäre-schonender Werbung. Zum einen sind Pop-Ups einfach nervig, die Antithese zu besserer Werbung. Zum anderer wird mit der BAT-Wallet im Browser hat Brave den Nutzern ja eine Art Super-Tracker verpasst: Eine eindeutige ID, an die sich alle Nutzungsgewohnheiten, gesehene Werbung und schließlich auch vollzogene Käufe koppeln lassen könnten, wenn es denn so käme, wie Brave will. Nach drei Jahren sieht es aber nicht so aus, als sei dies noch eine realistische Erwartung.

Assange und die Pressefreiheit

Nach all den Jahren des Wartens hat die US-Justiz heute nach der Verhaftungs Julian Assanges endlich die Anklage veröffentlicht, die auf den Australier wartet. Und es sieht nicht gut für ihn aus.

Es geht um seine Zusammenarbeit mit Chelsea Manning, die unter anderem in der Veröffentlichung „Collateral Murder“ gemündet ist. Und wenn die Ankläger ihre Beschuldigungen beweisen können — und die Chancen stehen dafür gut, da die Ankläger offenbar den kompletten Chatverlauf zwischen Manning und Assange haben — sieht es nicht gut für den Wikileaks-Gründer aus.

Laut Anklage hat sich Manning mit einem Linux-System Zugang zu seinem Arbeitsrechner verschafft, der ihr eigentlich nicht zustand. Damit hat sie dann den Hashwert eines Passwortes eines anderen Nutzers ausgelesen, um Zugriff auf größere Dokumentenmengen zu erlangen, als Manning bereits übermittelt hatte. Und jetzt kommt der wichtige Part: Die Entschlüsselung dieses Hashwertes sollte Assange übernehmen.

Es scheint trivial, aber dieser Vorwurf ist vermutlich der, der juristisch jede Frage nach der Pressefreiheit beiseite wischen wird.

Ich bin Journalist, Artikel 5 garantiert mir Pressefreiheit. Dazu gehört auch der Informantenschutz. Das heißt: Ich kann zum Beispiel Dokumente annehmen, die aus nicht-legaler Quelle stammen. Ich kann auch drüber schreiben, solange ich sorgfältig arbeite und beispielsweise die Dokumente soweit wie möglich verifiziere. Und ich muss dem Staat nicht dabei helfen, meine Quelle zu finden.

Dieser Quellenschutz hat aber Grenzen. Wenn ich beispielsweise die Motorwerte von Volkswagen haben will, darf ich mich natürlich nicht in die internen Volkswagen-Server hacken, um die Dokumente zu bekommen. Ich darf nicht heimlich Mailboxen von VW-Mitarbeitern abhören. Ich darf auch keine aktive Hilfe leisten, wenn jemand anders diese Dokumente hackt, um sie mir zu übermitteln.

Am einfachsten ist diese Trennung für Journalisten, wenn sie die Dokumente im berühmten braunen Briefumschlag in ihrem Briefkasten finden – ohne Nennung der Quelle. Wenn ich meinen Informanten nicht kenne, kann ich ihn nicht verraten. Eigentlich nicht. Problem dabei: Woher weiß ich, dass da jemand nicht totalen Unsinn zusammengeschrieben hat?

Woher weiß ich, dass die Dokumente authentisch sind? Also ist es gut, wenn ich dem Informanten dazu einige Fragen stellen kann. Mittlerweile haben einige Redaktionen digitale Briefkästen für Informanten eingerichtet. Diese ermöglichen einerseits die anonyme Übermittlung von Dokumenten, aber auch den direkten Kontakt mit recherchierenden Journalisten.

Hier kommt aber die rote Linie: Wenn ich mit Informanten im Gespräch bin, darf ich sie nicht auffordern, das Gesetz zu übertreten. Und erst recht darf ich ihnen nicht dabei aktiv Hilfe leisten. Die Pressefreiheit wird natürlich in jedem Land anders gehandhabt — aber die rote Linie muss überall existieren.

Wenn Assange wie dargestellt diese rote Linie überschritten hat, dann hat er den Anklägern ein riesiges Geschenk gemacht. Denn es ermöglicht ihnen — Pressefreiheit oder nicht — Assange wie einen gewöhnlichen Computer-Einbrecher zu behandeln.

Ob die Vorwürfe reichen, eine Auslieferung zu erreichen und am Ende dann eine Verurteilung — das steht allerdings noch in den Sternen. Mit großem Misstrauen sehe ich zum Beispiel den Part der Pressemitteilung der US-Regierung, in der die Höchststrafe von fünf Jahren für das vorgeworfene Verbrechen angemerkt wird. Denn wenn Assange sich einmal im Zugriff der US-Justiz befindet, gibt es wenige Hindernisse, die eine Erweiterung der Anklage ausschließen könnten.

Nachtrag: Tatsächlich ist das Auslieferungsabkommen zwischen UK und USA ein großes Hindernis, weswegen das US-Justizministerium schließlich doch mit der kompletten Anklage herausrücken musste, bevor die Auslieferung verhandelt werden konnte. Und bei den nachgereichten Punkten ist ziemlich klar, dass die Anklage auch die allgemeine Pressefreiheit angreift.

ApplePay – Alltagstauglich, doch kein Selbstläufer.

Da grade ApplePay in Deutschland eingeführt wird, schreiben alle über Bezahlen per Handy. Natürlich mit Vorbehalten. So heißt es auf tagesschau.de:

Richtig alltagstauglich ist mobiles Bezahlen aber noch nicht. „Das fängt schon bei den Grundvoraussetzungen an“, kritisiert Maike Strudthoff, Mobile-Payment-Expertin und Autorin für Digitalthemen. „Kunden brauchen das richtige Handy, nämlich NFC-fähig, und müssen die passende Bank haben, die wiederum eine kompatible Zahlungskarte anbietet. Das ist verwirrend und noch nicht unbedingt für die Masse nutzerfreundlich.“

In meinen Augen ist das falsch. Denn wenn die beschriebene Verwirrung erst einmal geklärt ist — fast jeder in der Zielgruppe hat bereits ein NFC-fähiges Handy — ist die Technik sehr alltagstauglich. Denn gerade im Alltag gibt es die Verwirrung nicht mehr: Wir kramen nicht in Handtaschen und Rucksäcken, welches von zehn Handies wir jetzt benutzen sollen. Und wir müssen auch nicht zwischen fünf verschiedenen Girokonten wählen. Einfach das Handy an die bezeichnete Fläche an der Supermarktkasse halten — fertig. In den viel zitierten Bäckerein müssen wir wohl weiterhin bar zahlen – big deal.

Insbesondere die Geschwindigkeit begeistert. Von alten Supermarktkassen bin ich es noch gewohnt, dass man den halben Einkauf einpacken kann, bis denn endlich der Beleg zum Unterschreiben aus der Kasse gezuckelt kommt. Diese Wartepause ist verschwunden.

Ich glaube dennoch, dass diese Zahlungsmethode nicht plötzlich von allen Deutschen adaptiert wird. Aus zwei Gründen:

Zum einen sind mittlerweile auch Kontokarten der verschnarchtesten Sparkassen mit NFC ausgestattet. Der Geschwindigkeitsgewinn ist also kein Alleinstellungsmerkmal des Handyzahlens.

Zum zweiten: Auch wenn Apple seit einem Jahr unentwegt dafür wirbt, dass sie nie, nie, niemals die Daten ihrer Kunden verkaufen (halt nur einen Milliardendeal mit Google, aber Schwamm drüber) – will man wirklich alle Käufe über Silicon Valley und deren Dienstleister abwickeln? Mit dem Hersteller, der buchstäblich den Puls vieler Kunden erfassen kann?

Die Blockchain und die Zensur

Ich mach mich ja oft über Blockchain-Enthusiasten lustig — und ab und zu denke ich: Ja, absolut zurecht. Jetzt springt auch noch die US-Bürgerrechtsbewegung ACLU auf den Blockchain-Zug auf — und lässt Edward Snowden erklären, warum die Technik so super ist.

Einer der Punkte, der aufkommt: Die Zensurresistenz der Blockchain. Wenn einmal ein Artikel mit der Technik veröffentlicht ist, kann er nicht mehr getilgt werden.

Ben Wizner: So even if Peter Thiel won his case and got a court order that some article about his vampire diet had to be removed, there would be no way to enforce it. Yes? That is, if Blockchain Magazine republished it.

Edward Snowden: Right — so long as Blockchain Magazine is publishing to a decentralized, public blockchain, they could have a judgment ordering them to set their office on fire and it wouldn’t make a difference to the network.

Peter-Thiel-resistant?

Das ist natürlich Quark. Gerichte stecken keine Büros in Brand. Sie können aber Leute zu Geldstrafen verurteilen oder sogar ins Gefängnis stecken. Nehmen wir an, es gäbe ein Blockchain-Magazin, das total dezentralisiert ist. (Eine theoretische Annahme, denn die meisten Blockchains sind sehr zentralisiert oder tendieren nach kurzer Zeit dorthin.) Die Technik verhindert nicht wirklich, dass ein Artikel herausgestrichen werden. Es ist halt schwer und teuer. Und zwar teuer für die Leute, die diese Blockchain betreiben. Sie müssen quasi alle Blöcke löschen, die seit dem zu zensierenden Artikel herauskamen und dann die Blockchain neu berechnen.

Der Blockchain-Idealist sagt nun: Ha, aber niemand kann sie zwingen! Es ist ja dezentral!!

Dazu sagt der hypothetische Peter Thiel aber: Das ist mir ziemlich egal.

Wir erinnern uns, wofür der reale Peter Thiel der Allgemeinheit bekannt wurde. Er hatte einen Konflikt mir dem Klatsch-Portal Gawker, fand einen Schwachpunkt und stellte seine enormen Ressourcen der Klage von Hulk Hogan zur Verfügung. Ergebnis: Gawker existiert nicht mehr.

Wie würde der hypothetische Kläger gegen den Artikel im Blockchain-Magazin vorgehen? Nun, er würde einfach alle die verklagen, die mit dem Blockchain-Magazin assoziiert sind. Den Autor des Artikels, den Betreiber der Website, den Payment-Provider, die Anzeigenkunden des Magazins. Er würde in London Klagen, in Delaware, in Hamburg. Er könnte auch eine PR-Agentur engagieren, die ein paar Artikel in das Blockchain-Magazin stellen, die in China wirklich nicht gut ankommen. Und die Behörden dort ihren Job machen lassen.

Dezentralität als Stärke?

Dezentralität mag als Stärke erscheinen — die Kehrseite ist aber: Der Einzelne in diesem Netz ist verdammt schwach. Die einzelnen Nodes haben keine Rechtsabteilung mit Millionenbudget. Hat ein Kläger einen Schwachpunkt gefunden, kann er so viele Beteiligte des Netzes sehr effektiv attackieren und ausschalten. Er kann jedem Autoren und Redakteur klarmachen: Sobald du dich mit diesem Magazin assoziierst, wird es verdammt teuer für Dich.

Die Argumentation beißt sich an allen Punkten selbst in den Schwanz. Wenn die Gemeinschaft des Blockchain-Schwarms den einzelnen Nodes einen Anwalt zur Verfügung stellen würde, die die Kläger in die Knie zwingen kann, wäre das Blockchain-Magazin gerettet – aber gleichzeitig auch wieder überflüssig.

Ein anderer Punkt: Das Blockchain-Magazin löst vermeintlich ein Problem, das wir derzeit effektiv nicht haben. Mit mittlerem finanziellen Aufwand wäre es kein Problem, einen Gawker-Mirror mit allen Geschichten der Klatschseite online zu stellen. Einige haben sogar damit angefangen. (PS: Ein archiv von Gawker Valleywag ist tatsächlich noch unter der Urspungs-Domain online.) Nur wer interessiert sich wirklich für den Quatsch und Tratsch von vor drei Jahren? Wer wühlt sich durch die Textberge und entscheidet nachträglich: Dies hier war korrekt, dies hingegen nicht? Wenn wir optimistisch sind: Ein paar Historiker. Gawker ist jedoch nach wie vor tot und Vergangenheit.

(Hier sollte ich noch ergänzen: Die Blockchain selbst ist kein zensurresistentes Kommunikationsprotokoll wie beispielsweise Tor. Die vermeintliche Dezentralität beruht darauf, dass jeder Teile der Blockchain abrufen und auf eigenen Ressourcen neu veröffentlichen kann. Wenn das allerdings nur normale Websites sind, können sie auch genau so einfach gesperrt werden, wie gewöhnliche Websites. Gegen die Große Firewall von China ist die Blockchain deshalb absolut kein Rezept.)

No crypto for you!

Zur Ehrenrettung von Snowden muss man aber sagen. In dem vom ACLU promoteten Interview sagt er, auf die Frage, dass die Ablösung von Technikgiganten durch die Blockchain-Technik „wishful thinking“ ist. Dann aber kommt es nochmal dicke.

If a teenager in Venezuela wants to get paid in a hard currency for a web development gig they did for someone in Paris, something prohibited by local currency controls, cryptocurrencies can make it possible. Bitcoin may not yet really be private money, but it is the first “free” money.

Snowden mag zurecht frustriert darüber sein, dass US-basierte oder von den USA abhängige Zahlungsprovider Spenden für Organisationen wie Wikileaks sehr schwer machen. Das Problem ist aber: Der Teenager in Venezuela hat von den Cryptocurrencies ziemlich wenig zu erwarten. Denn seine Regierung kontrolliert die Bäckereien. Und sie hat eine eigene Krypto-Währung, den Petro. Und sie hat sich ein Ausweis-System aus China eingekauft, mit dem kontrolliert werden kann, was der Teenager kauft – und ob er es überhaupt kaufen darf.

Am Schluss sagt Snowden etwas, dem ich mich anschließen kann.

Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.

bullshitfreie Version zu ersetzen.

Die Legende von mythischen Datenschätzen

Gestern bin ich auf Twitter in eine interessante Diskussion geraten: Soll man Geschäftsmodelle wie Uber und AirBnB erlauben, wenn diese Unternehmen dafür versprechen, ihre Daten öffentlich freizugeben? Schließlich kann man so vieles mit öffentlichen Daten machen. Denn Daten sind Wissen. Und Wissen ist Macht. Und all die innovativen deutschen Startups, die niemals an Google und Facebook verkauft werden, könnten so die Wertschöpfung vom Silicon Valley zurückholen.

Obwohl ich offene Daten, bzw Open Data prinzipiell sehr unterstütze, muss ich hier sagen: Nein!

Erstens: Man gibt Unternehmen keinen Bonus, wenn sie Transparenzpflichten erfüllen. Man sorgt für vernünftige Regulierungen und dann haben sich die Unternehmen dran zu halten. Punktum.

Regulieren, aber richtig

Neulich habe ich mal die AirBnB-Hilfsseiten durchstöbert, wie denn Gastgeber dabei unterstützt werden, sich an örtliche Regulierungen zu halten. Und das Ergebnis war: fast gar nicht. Es gibt ein paar schwer auffindbare und kaum verständliche Hilfstexte und den ultimativen Hinweis, dass das der Gastgeber doch bitte selbst mit den Behörden zu klären habe.

Nein, AirBnB — wenn ihr Provision kassiert, solltet ihr hier eine aktive Rolle übernehmen. Zumindest eine kostenlose Hotline, wo juristisch gebildete Mitarbeiter Einzelfälle kompetent bewerten können und auch im Zweifelsfall eine Haftung von AirBnB auslösen. Das ist meine persönliche Meinung, die konkrete Umsetzung wäre eine Sache der Politik. Denn mein Anspruch kollidiert natürlich mit solchen Dingen wie dem Rechtsberatungsgesetz.

Der zweite Punkt ist aber: Ich möchte AirBnBs Daten nicht. Ich will auch nicht wirklich dringend die Daten von Uber haben. Denn: Diese Daten mögen höchst praktisch für die Marktaufsicht sein, um eben diese Unternehmen zu überprüfen und nachzufragen, ob auch jeder Teilnehmer seine Steuern brav bezahlt. Ansonsten sind sie weitgehend nutzlos für die Allgemeinheit.

Marketing, nicht Daten!

Denn diese Unternehmen sind nicht so groß geworden, weil sie Datenanalyse auf einen neuen Gipfel gehoben hätten. Uber zum Beispiel hat es geschafft, sich als billige und gastfreundliche Alternative zum Taxi zu etablieren — mit Marketing. (Und mit den verbrannten Milliarden von Investoren, die diese beim baldigen Börsengang zurückhaben wollen.) AirBnB hat auch keinen geheimen Algorithmus, der neue Wohnungen generiert – Leute melden sich freiwillig auf der Plattform an, weil mittlerweile keine US-Sitcom mehr ohne eine Folge über die erstaunlichen Verdienstmöglichkeiten auskommt.

Wenn ihr Ubers Daten haben wollt, um mehr über den Verkehr in Eurer Stadt zu erfahren, kann ich nur sagen: Ihr seid auf dieses Marketing reingefallen. Denn Uber ist nur ein vergleichsweise kleiner Over-the-top-Player, der einen winzigen Ausschnitt des Verkehrsgeschehens wahrnimmt und sich auf Daten von anderen verlässt. Wisst ihr, wer sehr viel mehr Daten über innerstädtischen Verkehr erfasst? Busse. Denn sie müssen fast überall hin und sind nicht bevorzugt unterwegs um Millennials vom Club nach Hause zu bringen.

Die Daten liegen näher als das Silicon Valley

Aber selbst die Busse sind eine unterlegene Datenquelle. Wenn ihr heute zum Beispiel das WDR-Radio einschaltet, werdet ihr alle halbe Stunde die Verkehrsnachrichten überhören. Falls ihr aber mal wirklich zuhört, wird Euch auffallen, dass dort nicht mehr nur die physische Länge eines Staus durchgegeben wird, sondern auch wie lange die Verzögerung voraussichtlich dauern wird. Diese Daten werden aus den Bewegungsdaten errechnet, die notwendigerweise in Mobilfunknetzen anfallen. Denn fast jeder Autofahrer hat ein Handy dabei, das konstant seinen Standpunkt an die umliegenden Funkmasten sendet.

Oder anders formuliert: Alle Daten, die bei Uber anfallen, fallen auch bei Apple, Google und den Mobilfunkherstellern an. Also: Wozu soll Uber zur Verfügung stellen, was sie eh nur nachnutzen? Sicher: Wenn man sie bekommen kann und ihre systematischen Mängel berücksichtigt – warum nicht? Aber: Wollen wir wirklich, das all unsere Bewegungsdaten öffentlich werden? Zwar kann man Daten aggregieren und verschleiern, aber gerade in Randbereichen ist die nachträgliche Identifikation nicht hundertprozentig zu vermeiden.

Unterirdische Datenqualität

Eine weitere These: Die Datenqualität von kommerziellen Unternehmen ist oft unterirdisch. Schaut mal in Eure Werbeprofile bei Facebook und Google. Darunter wird vieles sein, was erstaunlich korrekt sind: Alter, Geschlecht, Interessen. Doch wann immer ich in solche Profile gucke, sind lächerliche Fehlannahmen darunter. Facebook meinte zum Beispiel, ich höre als liebstes Blues-Musik. Was nicht stimmt. Facebook ist das jedoch ziemlich egal. Aufgrund meiner vermeintlichen Vorlieben wird mir Werbung gezeigt. Wenn mir eine Werbung angezeigt wird, die mich nicht wirklich interessiert, muss sie dennoch bezahlt werden. Und selbst wenn nicht: Ab einem gewissen Punkt rechnet sich die Optimierung auf meine tatsächlichen Interessen nicht mehr.

Es ist aber nicht nur das Desinteresse von kommerziellen Entitäten an durchweg korrekten Daten – der profitorientierte Ansatz produziert andere Daten als Entitäten, die das Gemeinwohl im Blick haben. Beispielsweise veröffentlichte Forbes neulich einen Artikel darüber, wie Fodoora entdeckt hat, das Fahrräder das effizientere Verkehrsmittel sind, weil sie im Stadtverkehr Autos und sogar Motorroller hinter sich lassen.

Dabei darf man jedoch nicht vergessen, worum es hier geht. Die Lieferfahrer haben ein sehr spezielles Bewegungsprofil. Zum einen: Sie fahren immer nur wenige Kilometer. Wenn jemand vom anderen Ende der Stadt eine Pizza bestellt, wird sie auch von dort geliefert. Für mich als Radfahrer in Köln sind diese Daten nur beschränkt übertragbar. Denn ich kann mich nicht in die nächste Lieferpizzeria teleportieren lassen, um von dort meinen Weg zu meinem Ziel fortzusetzen.

Gut genug ist nicht genug

Doch die Daten, die ein Unternehmen produziert, sind auch auf andere Weise verzerrt. Wenn ich in den Straßenverkehr schaue, wird recht deutlich, dass sich Lieferfahrer deutlich anders verhalten als andere Verkehrsteilnehmer. So sind sie ökonomisch motiviert, jede Art von Abkürzung zu nehmen, sie wissen besser als andere, wo sie was können. Dadurch werden die Daten sozusagen verseucht: Nur weil ein Lieferfahrer eine Straße langgefahren ist, ist es noch lange kein Beweis dafür, dass es sich um keine Einbahnstraße in anderer Richtung handelt — nicht einmal, wenn es 100 Lieferfahrer machen. Eine Navigation, die auf solchen Daten aufzusetzen versucht, wird notwendigerweise Probleme bekommen.

Kurzum: Für Privatunternehmen ist die Maxime: Es reicht, wenn Daten gut genug für meinen Zweck sind. Öffentliche Daten sollten jedoch einem höheren Anspruch genügen.

Den Datenschutz mit dem Klingelschild ausschütten

Es gibt viel an der Datenschutz-Grundverordnung zu kritisieren. Mit gutem Recht. Zum einen: Wir sind mit der Umsetzung ein bis zwei Jahre im Rückstand. Viele Chancen wurden verschenkt. So hätte ich mir gewünscht, dass ich meine Datenschutzerklärung nicht auf der Seite einer Anwaltskanzlei zusammenklicken musste, so etwas hätten nun wirklich die Datenschutzbehörden anbieten können. Und dann hätten sie diese Datenschutzerklärung maschinenlesbar machen können, so dass Nutzer ihre Daten tatsächlich verwalten können, statt nur stumpf sechs Seiten Text wegzuklicken. Ich wünschte die Datenschutzbehörden hätten Dark Patterns vorhergesagt und Richtlinien gegeben.

Diese ganze Aufregung um Klingelschilder zusammengefasst: ES GIBT KEIN VERDAMMTES PROBLEM MIT DEN VERDAMMTEN KLINGELSCHILDERN! Natürlich kann jeder seinen Briefkasten beschriften. Und natürlich kann dies auch von Hausmeistern übernommen werden, damit das Ganze sauber aussieht. Wir lieben saubere Klingelschilder. Wenn eine Wohnungsgesellschaft 15000 Wohnungen quer durch die Stadt automatisch beschriften will, kann man sich mal Gedanken machen. Zum Beispiel: Die Mieter fragen, was denn draufstehen soll. Erscheint Euch das zu kompliziert?

Was für persönlich mich eher ein Problem ist: Ich wohne in einem Haus mit verdammt vielen Wohnungen. Wie zunehmend viele Menschen. Trotzdem haben sich Versender bis heute nicht angewöhnt, ihre Adressformulare so einzurichten, dass man seine Wohnungsnummer eingeben kann. Ein Elektroversender hat mir tatsächlich geraten, ich soll die Wohnungsnummer doch in irgendein anderes Feld schreiben. Hallo ich bin Torsten Wohnungsnummer Kleinz 2718. Nur wurde das andere Feld auf dem Formular für den Lieferfahrer abgeschnitten. Are you kidding me??? Hättet ihr das nicht fixen können, als ihr die DSGVO umgesetzt habt?

Dass sich BILD und Co unqualifiziert und polemisch über die DSGVO mokieren — geschenkt. Ich bin jedoch verwundert, wie schnell auch andere Leute quasi alles vergessen, was sie zu Datenschutz mal gehört haben und flugs im Ton der vermeintlichen Vernunft in die Ecke der Ignoranz abschweifen, weil es eben grade günstig scheint.

Dieser Kommentar auf FAZ.Net gehört dazu.

Ein unbehebbarer Fehler ist die Konstruktion des Datenschutzrechts: Es verbietet praktisch sämtliches Hantieren mit persönlichen Daten. […]Aus dieser Strenge spricht der Geist des Volkszählungsurteils: Das Bundesverfassungsgericht erblickte in jeder Information des Staates über die Bürger ein Risiko. Dieses Konzept ungefiltert auf die Wirtschaft auszudehnen war ein Fehler.

Nein, das ist kein Konstruktionsfehler. Denn ist der verdammte Sinn des Ganzen. Ein Datenschutzrecht, das sich nicht auf Konzerne erstreckt, wäre schlichtweg kein Datenschutzrecht. Und es würde auch die Schutzrechte gegen den Staat abschaffen. „Ach, wir können nicht die Wohnung von X abhören? Kein Problem — fordern wir das Protokoll beim Google, Facebook oder dem intelligenten Stromzähler an.“

Und:

Allein Deutschland hat 18 Datenschutzbehörden und mindestens so viele Rechtsauffassungen. Das ist unzumutbar.

Das wäre unzumutbar… und ist falsch. In den meisten Fragen liegen die Datenschützer ganz eng beisammen – wenn es in einzelnen Fragen einen Ausreißer gibt, dann ist das frustrierend, aber halt immer noch ein Ausreißer. Eine Reduzierung der Zahl der Datenschutzbehörden würde hier leider auch gar nichts helfen — denn die Regeln müssen nun auch durch Gerichte interpretiert werden. Und wer sich mal mit deutschen Landgerichten beschäftigt hat, weiß: Das wird noch um einiges frustrierender und zeitraubender.

Richtig ist: Viele kritische Fragen wurden verschleppt. Dass in letzter Minute erst ein Konsens zum Nutzerkonsens gefunden wurde – unzumutbar. Aber bisher ist das große Problem ausgeblieben.

Es bleibt die Verwirrung der Bevölkerung. Eltern bestehen plötzlich darauf, dass Bilder ihrer Kinder bloß nicht erscheinen sollen. Oder im Gegenteil: Sie bestehen auf Fotos. Das wirkt lächerlich — ist aber auf gewisse Weise notwendig. Denn dass Privatfotos plötzlich in eine bereite Öffentlichkeit dringen und damit nicht mehr kontrolliert werden können, ist für viele ein neues Phänomen. Ich sehe alltäglich auf sozialen Medien, wie ein Konsens gesucht wird, damit umzugehen. So haben mittlerweile viele Eltern für ihre Kinder eine Art Codenamen ersonnen: „Der Große“, „Kind 2“ oder „der Schnuppel“. Dabei ist es nicht notwendig, dass diese Leute Angst haben, dass ihr Kind entführt wird, nur weil jemand den vollen Namen weiß. Es ist schlichtweg eine Linie im Sand. Ich weiß, dass es da Probleme geben könnte. Ich überblicke nicht, welche Konsequenzen mein Handeln haben kann. Also bin ich lieber vorsichtig.

Die Datenschutz-Grundverordnung wird uns in den kommenden Jahren noch viel Frust bescheren. Was jedoch fehlt: Eine grundsätzliche Alternative. Jetzt einfach die Augen zu schließen und die ignorantesten Standpunkte aufzuhübschen, ist nicht hilfreich. Den Datenschutz mit dem Klingelschild auszuschütten – das wäre einfach dämlich. Verdammt dämlich.

Datenschutz-Basishygiene

Ein neuer Facebook-Hack macht die Runde. Der Clou dabei: Da die unbekannten Angreifer Zugriffs-Tokens erbeutet haben, könnten sie sich prinzipiell bei allen Diensten einloggen, bei denen sich ein Nutzer per Facebook-Login angemeldet hat. Das reicht von Facebook-eigenen Diensten wie Instagram bis zu der Website der Lokalzeitung. Online-Shops, Dating-Apps, Messenger.

In meinem Fall sind das Null Dienste — zumindest wenn ich nicht grob irregeführt wurde. Denn ich habe mir vor vielen Jahren eine Standard-Routine angewöhnt. Wann immer ich einen neuen Dienst ausprobieren will, ignoriere ich die bequemen Buttons „Log in with Facebook“, „Log in with Google“, „Log in with Twitter“.

So viele E-Mail-Adressen

Stattdessen nutze ich das Einloggen per E-Mail-Adresse. Eigentlich jeder Dienst bietet die Option an — manchmal muss man etwas weiterscrollen, um den alternativen Login-Modus zu finden. Meist reicht es aus, eine E-Mail-Adresse und ein Passwort einzugeben — und man ist drin. Oft muss man seinen Account per Linkklick noch bestätigen, aber so viel Arbeit ist das nun auch nicht.

Meine Basis-Hygiene geht jedoch ein wenig weiter. Ich habe ein Webhosting-Paket, das mir erlaubt quasi unbegrenzt E-Mail-Adressen anzulegen. Wann immer ich einen neuen Dienst brauche, kann ich mir in einer bis zwei Minuten eine neue E-Mail-Adresse anlegen, die dann automatisch zu einer meiner anderen Adressen umgeleitet wird. Ich brauche dazu nicht mal ein neues Passwort.

Warum mache ich das? Nun — eine der beliebtesten Angriffsvarianten ist: Man sucht sich eine bereits gehackte Kundendatenbank und versucht dann mit den Zugangsdaten Zugriff auf andere Dienste zu nehmen. Menschen sind faul und sie können sich nicht unbegrenzt Passworte merken. Zudem ist es eine simple Anti-Phishing-Massnahme. Wenn ich die Nachricht bekomme, dass ich doch dringend mein Passwort für Dienst XYZ ändern soll, dann weiß ich direkt, dass die Nachricht an die falsche Adresse ging.

No Match

Zum Zweiten: Neben dem Geburtsdatum dient die E-Mail-Adresse als Match-Kriterium, um Daten zwischen unterschiedlichen Diensten auszutauschen. Wenn ich zum Beispiel etwas bei einem Versandhändler bestelle, kann er meine Adresse nehmen, um mir auf mich personalisierte Werbung bei Facebook auszuspielen.

Gleichzeitig kann aber auch ein Angreifer diese Daten nutzen. Stellt euch vor, dass alle Dienste, die ihr in den vergangen 15 Jahren genutzt habt und die gehackt wurden, Eure Daten in eine kollektive Datenbank zusammengeworfen haben, die unentwegt von 17jährigen durchforstet wird. Ziemlich beunruhigend, nicht?

Wozu denn anders?

Ich bin nicht paranoid. Glaube ich. Ich schreibe seit über 15 Jahren zu IT-Themen und mache mir nicht allzu viele Illusionen darüber, wie sicher meine Daten sind. Die oben beschriebene Routine habe ich mir nicht angewöhnt, weil ich Facebook und Google für die absolut bösesten Konzerne aller Zeiten halte. Sondern weil ich schlicht keinen Sinn daran sah, meine Login-Daten zu kombinieren.

Wenn ich mir ansehe, welche Dinge mir Google empfiehlt, trotz extensiver Daten aus meinem Google-Account – no, thanks. Netflix wird auch nicht besser, wenn man es mit Facebook kombiniert. Weniger Personalisierung ist zuweilen doch mehr. Und will ich wirklich jedem dauernd mitteilen, welche Musik ich höre?

Die oben beschriebenen Maßnahmen sind auch keine Anti-Hack-Garantie. Mit genug Hirnschmalz kann man wahrscheinlich ein enormes Datenprofil über mich zusammenführen. Aber wer macht sich schon die Arbeit?

Der Preis auf meiner Seite ist gering, aber er existiert. Zum einen ist es ein wenig lästig. Statt den neusten Bilder-/Musik-/Messenger-Service direkt auszuprobieren, sitze ich viele Trends einfach aus. Facebook hat mein Geburtsdatum nicht, also gratulieren mir jedes Jahr sehr wenige Leute zum Geburtstag. Ich bin nicht auf Tinder. Ich kann damit leben.

Regulierung muss moderne Geschäftsmodelle verhindern

Der Satz wird so oft gesagt, dass man ihn schon nicht mehr wahrnimmt. „Regulierung darf moderne Geschäftsmodelle nicht verhindern“, heißt es immer wieder. Und jeder nickt.

 

Dabei ist der Satz grundfalsch. Denn es ist gerade die Aufgabe von Regulierung moderne Geschäftsmodelle zu verhindern. Früher verhinderte die Regulierung den Verkauf äußerst preisgünstiger und immens arbeitplätzeschaffender Dampfkessel, die dann beim Kunden irgendwann explodierten. Das war ein äußerst modernes Geschäftsmodell. Heute muss Regulierung Geschäftsmodelle verhindern, die rücksichtlos und dauerhaft schädigend mit Daten umgehen. Auch Crypto-Trojaner, die ganze Unternehmensnetzwerke lahmlegen, bis denn eine Zahlung geleistet wurde, sind ein sehr modernes und lukratives Geschäftsmodell.

Nun kann man drüber streiten, welches Geschäftsmodell genau mit welchen Mitteln verhindert oder eingeschränkt werden darf. Die Modernität ist jedenfalls kein Kriterium, das einen Regulierungs-Freibrief begründen könnte. Oder kurz gesagt: Regulierung muss moderne Geschäftsmodelle verhindern. Sonst kann man sie sich auch sparen.